Peretas SolarWinds Tidak ‘Kembali.’ Mereka Tidak Pernah Pergi


Peretas Rusia yang melanggar perangkat lunak manajemen TI SolarWinds untuk berkompromi dengan banyak lembaga pemerintah dan bisnis Amerika Serikat kembali menjadi pusat perhatian. Microsoft mengatakan pada hari Kamis bahwa kelompok mata-mata “Nobelium” yang sama telah membangun kampanye phishing agresif sejak Januari tahun ini dan meningkatkannya secara signifikan minggu ini, menargetkan sekitar 3.000 individu di lebih dari 150 organisasi di 24 negara.

Pengungkapan itu menimbulkan kegemparan, menyoroti seperti halnya kampanye spionase digital Rusia yang sedang berlangsung dan lazim. Tetapi seharusnya tidak mengejutkan sama sekali bahwa Rusia pada umumnya, dan peretas SolarWinds pada khususnya, terus memata-matai bahkan setelah AS memberlakukan sanksi pembalasan pada bulan April. Dan relatif terhadap SolarWinds, kampanye phishing tampaknya sangat biasa.

“Saya tidak berpikir ini eskalasi, saya pikir ini bisnis seperti biasa,” kata John Hultquist, wakil presiden analisis intelijen di perusahaan keamanan FireEye, yang pertama kali menemukan intrusi SolarWinds. “Saya tidak berpikir mereka dihalangi dan saya tidak berpikir mereka kemungkinan akan dihalangi.”

Kampanye terbaru Rusia tentu layak disebut. Nobelium mengkompromikan akun sah dari layanan email massal Kontak Konstan, termasuk milik Badan Pembangunan Internasional Amerika Serikat. Dari sana para peretas, yang dilaporkan anggota badan intelijen asing SVR Rusia, dapat mengirimkan email spearphishing yang dibuat khusus yang benar-benar berasal dari akun email organisasi yang mereka tiru. Email tersebut menyertakan tautan sah yang kemudian dialihkan ke infrastruktur Nobelium yang berbahaya dan memasang malware untuk mengendalikan perangkat target.

Meskipun jumlah target tampak besar, dan USAID bekerja dengan banyak orang di posisi sensitif, dampak sebenarnya mungkin tidak separah kedengarannya. Sementara Microsoft mengakui bahwa beberapa pesan mungkin telah terkirim, perusahaan mengatakan bahwa sistem spam otomatis memblokir banyak pesan phishing. Wakil presiden perusahaan Microsoft untuk keamanan dan kepercayaan pelanggan Tom Burt menulis dalam sebuah posting blog pada hari Kamis bahwa perusahaan memandang aktivitas itu sebagai “canggih,” dan bahwa Nobelium mengembangkan dan menyempurnakan strateginya untuk kampanye selama berbulan-bulan menjelang penargetan minggu ini.

“Kemungkinan pengamatan ini mewakili perubahan dalam keahlian aktor dan kemungkinan eksperimen menyusul pengungkapan luas dari insiden sebelumnya,” tulis Burt. Dengan kata lain, ini bisa menjadi poros setelah penutup SolarWinds mereka meledak.

Namun taktik dalam kampanye phishing terbaru ini juga mencerminkan praktik umum Nobelium dalam membangun akses pada satu sistem atau akun dan kemudian menggunakannya untuk mendapatkan akses ke yang lain dan melompati banyak target. Ini adalah agen mata-mata; ini adalah apa yang dilakukannya sebagai hal yang biasa.

“Jika ini terjadi sebelum SolarWinds, kami tidak akan memikirkannya. Hanya konteks SolarWinds yang membuat kita melihatnya secara berbeda,” kata Jason Healey, mantan staf Gedung Putih Bush dan peneliti konflik siber saat ini di Universitas Columbia. akan mengedipkan mata pada ini. ”

Seperti yang ditunjukkan Microsoft, tidak ada yang tidak terduga tentang mata-mata Rusia, dan Nobelium khususnya, yang menargetkan lembaga pemerintah, USAID khususnya, LSM, think tank, kelompok penelitian, atau kontraktor layanan militer dan TI.

“LSM dan lembaga pemikir DC telah menjadi sasaran empuk bernilai tinggi selama beberapa dekade,” kata seorang mantan konsultan keamanan siber Departemen Keamanan Dalam Negeri. “Dan sudah menjadi rahasia umum di dunia respons insiden bahwa USAID dan Departemen Luar Negeri adalah kekacauan jaringan dan infrastruktur TI subkontrak yang tidak bertanggung jawab. Di masa lalu, beberapa dari sistem tersebut telah dikompromikan selama bertahun-tahun.

Terutama dibandingkan dengan cakupan dan kecanggihan pelanggaran SolarWinds, kampanye phishing yang tersebar luas terasa hampir seperti penurunan. Penting juga untuk diingat bahwa dampak SolarWinds tetap berlangsung; bahkan setelah berbulan-bulan publisitas tentang insiden tersebut, kemungkinan Nobelium masih menghantui setidaknya beberapa sistem yang dikompromikan selama upaya itu.

“Saya yakin mereka masih memiliki akses di beberapa tempat dari kampanye SolarWinds,” kata Hultquist dari FireEye. “Dorongan utama dari aktivitas tersebut telah berkurang, tetapi kemungkinan besar masih ada di beberapa tempat.”

Yang hanya realitas spionase digital. Itu tidak berhenti dan mulai berdasarkan mempermalukan publik. Aktivitas Nobelium tentu saja tidak disukai, tetapi tidak dengan sendirinya menandakan eskalasi besar.

Pelaporan tambahan oleh Andy Greenberg.


Lebih Banyak Cerita WIRED yang Hebat

Diposting oleh : SGP Prize