Bagaimana Memahami Kejatuhan Peretasan Rusia

Bagaimana Memahami Kejatuhan Peretasan Rusia

[ad_1]

Ini berarti sebenarnya ada tiga subgrup dalam calon korban serangan ini: Pengguna Orion yang memasang pintu belakang tetapi tidak pernah dieksploitasi; korban yang memiliki aktivitas jahat di jaringan mereka, tetapi pada akhirnya tidak menarik target penyerang; dan korban yang benar-benar sangat disusupi karena mereka menyimpan data berharga.

“Jika mereka tidak mengekstrak data, itu karena mereka tidak menginginkannya,” kata Jake Williams, mantan peretas NSA dan pendiri perusahaan keamanan Rendition Infosec. “Jika mereka tidak mengambil akses, itu karena mereka tidak tertarik.”

Tidak Ada Yang Tahu Seberapa Jauh Kemarahan Peretasan Rusia

Meski begitu, kelompok pertama dan kedua tersebut tetap perlu mensterilkan backdoor untuk mencegah akses di masa mendatang. Karena mampu menganalisis indikator dari pelanggarannya sendiri, FireEye memimpin upaya yang kemudian diikuti oleh perusahaan lain untuk mempublikasikan informasi tentang anatomi serangan tersebut. Beberapa “indikator penyusupan” termasuk alamat IP dan tanggapan catatan Layanan Nama Domain yang terkait dengan infrastruktur jahat penyerang. Responden dan korban dapat menggunakan informasi ini untuk memeriksa apakah server atau perangkat lain di jaringan mereka telah berkomunikasi dengan sistem peretas. Microsoft juga bekerja dengan FireEye dan GoDaddy untuk mengembangkan semacam “tombol pemutus” untuk pintu belakang dengan mengambil kendali alamat IP yang berkomunikasi dengan malware, sehingga tidak dapat menerima perintah lagi.

Menghilangkan pintu belakang sangat penting, terutama karena penyerang masih aktif mengeksploitasinya. Dan sekarang detail teknis tentang infrastruktur mereka terbuka untuk umum, ada juga risiko bahwa peretas lain dapat mendukung akses jahat juga jika tidak dikunci.

Di dalam rumah

Namun, bagi korban yang mengalami kompromi yang lebih dalam, menutup pintu saja tidak cukup, karena penyerang telah menempatkan diri di dalam.

Untuk target yang jelas seperti lembaga pemerintah AS, pertanyaannya adalah apa sebenarnya yang dapat diakses oleh penyerang dan gambaran besar apa yang dapat dilukiskan oleh informasi dalam hal geopolitik, kemampuan pertahanan dan ofensif AS di seluruh Departemen Pertahanan, infrastruktur penting, dan banyak lagi.

Mengidentifikasi dengan tepat apa yang diambil itu menantang dan memakan waktu. Misalnya, beberapa laporan menunjukkan bahwa peretas melanggar sistem kritis Administrasi Keamanan Nuklir Nasional Departemen Energi, yang bertanggung jawab atas persenjataan senjata nuklir AS. Tetapi juru bicara DOE Shaylyn Hynes mengatakan dalam sebuah pernyataan Kamis malam bahwa sementara penyerang mengakses “jaringan bisnis” DOE, mereka tidak melanggar “fungsi keamanan nasional penting dari Departemen itu.”

“Penyelidikan sedang berlangsung, dan tanggapan atas insiden ini terjadi secara real time,” kata Hynes.

Ini adalah situasi untuk semua korban pada saat ini. Beberapa target akan menemukan bahwa mereka terpengaruh lebih dalam dari yang mereka yakini semula; orang lain mungkin menemukan bahwa para peretas telah menendang ban tetapi tidak melangkah lebih jauh. Ini adalah bahaya inti dari serangan rantai pasokan seperti pelanggaran SolarWinds. Penyerang mendapatkan sejumlah besar akses sekaligus dan dapat memilih korbannya sementara responden dibiarkan bermain mengejar ketinggalan.

Meskipun sulit untuk menetapkan cakupan penuh dari situasi tersebut, para peneliti telah melakukan upaya bersama untuk memilah siapa yang terkena dan seberapa parah. Dengan melacak dan menautkan alamat IP, catatan DNS, dan tanda penyerang lainnya, analis keamanan bahkan mengembangkan metode untuk mengidentifikasi target secara proaktif. Lab Kaspersky, misalnya, merilis alat pada hari Jumat yang menerjemahkan permintaan DNS dari infrastruktur perintah-dan-kontrol penyerang yang dapat membantu menunjukkan target mana yang diprioritaskan peretas.

Berita tentang peretasan besar-besaran kemungkinan akan berlanjut selama berminggu-minggu karena lebih banyak organisasi mengidentifikasi di mana mereka cocok dalam rubrik target potensial. Presiden Microsoft Brad Smith menulis pada hari Kamis bahwa perusahaan telah memberi tahu lebih dari 40 pelanggan tentang tanda-tanda gangguan mendalam di jaringan mereka. Dan Microsoft mengatakan bahwa sebagian besar dari korban ini berada di AS, beberapa di tujuh negara lain: Kanada, Meksiko, Belgia, Spanyol, Inggris, Israel, dan Uni Emirat Arab. “Jumlah dan lokasi korban pasti akan terus bertambah,” tambah Smith.

Malamnya, Microsoft mengonfirmasi bahwa itu juga telah disusupi dalam kampanye.


Lebih Banyak Kisah WIRED Hebat

Diposting oleh : SGP Prize

Releated

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

[ad_1] Perbedaan utama antara Perlindungan Lengkap dan AFU terkait dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Ketika data dalam status Perlindungan Lengkap, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda untuk pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan […]