Spree Sprees China dan Rusia Akan Butuh Waktu Bertahun-tahun untuk Dibongkar


Pertama Solarwinds, sebuah kampanye peretasan Rusia yang dilaporkan telah berlangsung hampir setahun, dan telah menumbangkan setidaknya sembilan lembaga pemerintah AS dan perusahaan swasta yang tak terhitung jumlahnya. Sekarang Hafnium, grup China yang menyerang kerentanan di Microsoft Exchange Server untuk menyelinap ke kotak masuk email korban dan seterusnya. Korban kolektif dari spionase sprees ini masih terungkap. Itu mungkin tidak pernah sepenuhnya diketahui.

Negara saling memata-matai, di mana saja, sepanjang waktu. Mereka selalu begitu. Tetapi tingkat dan kecanggihan upaya terbaru Rusia dan China masih cukup mengejutkan. Dan dampak jangka pendek dari keduanya menggarisbawahi betapa sulitnya mengambil ukuran penuh kampanye bahkan setelah Anda mengendusnya.

Sekarang Anda mungkin sudah familiar dengan dasar-dasar serangan Solarwinds: kemungkinan besar peretas Rusia membobol jaringan perusahaan manajemen TI dan mengubah versi alat pemantauan jaringan Orion, mengekspos sebanyak 18.000 organisasi. Jumlah sebenarnya dari korban Solarwinds diasumsikan jauh lebih kecil, meskipun sejauh ini analis keamanan telah mematoknya setidaknya di ratusan terendah. Dan seperti yang ditunjukkan oleh CEO Solarwinds Sudhakar Ramakrishna dengan penuh semangat kepada siapa pun yang mau mendengarkan, dia bukanlah satu-satunya perusahaan rantai pasokan perangkat lunak yang diretas Rusia dalam kampanye ini, menyiratkan ekosistem korban yang jauh lebih luas daripada yang pernah diperkirakan siapa pun.

“Menjadi jelas bahwa masih banyak yang harus dipelajari tentang insiden ini, penyebabnya, cakupannya, skalanya, dan ke mana kita pergi dari sini,” kata ketua Komite Intelijen Senat Mark Warner (D-VA) pada dengar pendapat terkait dengan Solarwinds hack minggu lalu. Brandon Wales, penjabat direktur Badan Keamanan Siber dan Infrastruktur AS, memperkirakan dalam sebuah wawancara dengan Ulasan Teknologi MIT minggu ini yang bisa memakan waktu hingga 18 bulan bagi sistem pemerintah AS sendiri untuk pulih dari peretasan, belum lagi sektor swasta.

Kurangnya kejelasan itu menjadi dua kali lipat untuk kampanye peretasan China yang diungkapkan Microsoft Selasa. Pertama kali ditemukan oleh perusahaan keamanan Volexity, grup negara-bangsa yang disebut Microsoft sebagai Hafnium telah menggunakan beberapa eksploitasi zero-day — yang menyerang kerentanan yang sebelumnya tidak diketahui dalam perangkat lunak — untuk membobol Exchange Server, yang mengelola klien email termasuk Outlook. Di sana, mereka bisa diam-diam membaca akun email dari target bernilai tinggi.

“Anda tidak akan menyalahkan siapa pun karena melewatkan ini,” kata pendiri Veloxity Steven Adair, yang mengatakan aktivitas yang mereka amati dimulai pada 6 Januari tahun ini. “Mereka sangat bertarget, dan tidak berbuat banyak untuk meningkatkan kewaspadaan.”

Namun, akhir pekan terakhir ini, Veloxity mengamati perubahan perilaku yang nyata, karena peretas mulai menggunakan pijakan Exchange Server mereka untuk secara agresif menggali lebih dalam ke jaringan korban. “Sebelumnya benar-benar serius; Seseorang yang memiliki akses tidak terbatas ke email Anda sesuka hati berada dalam skenario terburuk, ”kata Adair. “Kemampuan mereka untuk juga menerobos jaringan Anda dan menulis file meningkatkannya dalam hal apa yang dapat dicapai seseorang dan seberapa sulit pembersihannya.”

Baik Solarwinds maupun serangan Hafnium tidak berhenti, yang berarti konsep pembersihan, setidaknya secara luas, tetap menjadi impian yang jauh. Ini seperti mencoba mengepel kapal tanker minyak yang menyembur secara aktif. “Tampaknya serangan ini masih berlangsung, dan pelaku ancaman secara aktif memindai internet dengan gaya ‘semprot-dan-berdoa’, menargetkan apa pun yang tampak rentan,” kata John Hammond, peneliti keamanan senior di deteksi ancaman perusahaan Huntress, tentang kampanye Hafnium.

Microsoft telah merilis tambalan yang akan melindungi siapa pun yang menggunakan Exchange Server dari serangan itu. Tetapi hanya masalah waktu sebelum peretas lain merekayasa balik perbaikan untuk mencari tahu cara mengeksploitasi kerentanan itu sendiri; Anda dapat mengharapkan grup ransomware dan cryptojacking untuk ikut serta dalam tindakan posthaste.

Diposting oleh : SGP Prize