Tidak Ada yang Tahu Seberapa Jauh Amukan Peretasan Rusia

Tidak Ada yang Tahu Seberapa Jauh Amukan Peretasan Rusia

[ad_1]

Sejak jauh kembali ke bulan Maret, peretas Rusia telah menangis jahat. Dengan menyelipkan pembaruan yang tercemar ke dalam platform manajemen TI yang banyak digunakan, mereka dapat mencapai departemen Perdagangan, Perbendaharaan, dan Keamanan Dalam Negeri Amerika Serikat, serta perusahaan keamanan FireEye. Sebenarnya, tidak ada yang tahu di mana kerusakan itu berakhir; Mengingat sifat serangan itu, ribuan perusahaan dan organisasi telah menghadapi risiko selama berbulan-bulan. Ini hanya menjadi lebih buruk dari sini.

Serangan tersebut, yang pertama kali dilaporkan oleh Reuters pada hari Minggu, tampaknya dilakukan oleh peretas dari SVR, dinas intelijen luar negeri Rusia. Aktor-aktor ini sering diklasifikasikan sebagai APT 29 atau “Cozy Bear”, tetapi penanggap insiden masih berusaha untuk mengumpulkan asal-usul yang tepat dari serangan dalam aparat peretasan militer Rusia. Semua kompromi tersebut dapat ditelusuri kembali ke SolarWinds, sebuah infrastruktur TI dan perusahaan manajemen jaringan yang produknya digunakan di seluruh pemerintah AS, oleh banyak kontraktor pertahanan, dan sebagian besar perusahaan Fortune 500. SolarWinds mengatakan dalam sebuah pernyataan pada hari Minggu bahwa peretas telah berhasil mengubah versi pemantauan jaringan yang juga disebut Orion yang dirilis perusahaan antara Maret dan Juni.

“Kami telah diberitahu bahwa serangan ini kemungkinan besar dilakukan oleh negara luar dan dimaksudkan sebagai serangan yang sempit, sangat bertarget, dan dilakukan secara manual, sebagai lawan dari serangan luas sistem,” tulis perusahaan itu.

SolarWinds memiliki ratusan ribu klien secara keseluruhan; Badan tersebut mengatakan dalam pengungkapan Komisi Sekuritas dan Bursa pada hari Senin bahwa sebanyak 18.000 dari mereka berpotensi rentan terhadap serangan itu.

Baik FireEye dan Microsoft alur serangan itu. Pertama, para peretas mengkompromikan mekanisme pembaruan Orion SolarWinds sehingga sistemnya dapat mendistribusikan perangkat lunak yang tercemar ke ribuan organisasi. Para penyerang kemudian dapat menggunakan perangkat lunak Orion yang dimanipulasi sebagai pintu belakang ke jaringan korban. Dari sana, mereka dapat menyebar ke dalam sistem target, seringkali dengan mencuri token akses administratif. Akhirnya, dengan kunci kerajaan — atau sebagian besar dari tiap kerajaan — para peretas bebas melakukan pengintaian dan eksfiltrasi data.

Serangan rantai pasokan semacam ini dapat memiliki konsekuensi yang mengerikan. Dengan mengorbankan satu entitas atau pabrikan, peretas dapat merusak keamanan target secara efisien dan dalam skala besar.

Ini bukan pertama kalinya Rusia mengandalkan serangan rantai pasokan untuk dampak yang meluas. Pada 2017, intelijen militer GRU negara itu menggunakan akses ke perangkat lunak akuntansi Ukraina MeDoc untuk melepaskan malware NotPetya yang merusak di seluruh dunia. Serangan terhadap SolarWinds dan pelanggannya tampaknya berfokus pada pengintaian yang ditargetkan daripada penghancuran. Tetapi dengan operasi yang tenang dan bernuansa masih ada risiko yang sangat nyata bahwa tingkat kerusakan sepenuhnya tidak akan segera terlihat. Begitu penyerang telah menyematkan diri di jaringan target — sering disebut “membangun ketekunan” —memperbarui perangkat lunak yang disusupi saja tidak cukup untuk mengusir penyerang. Hanya karena Cozy Bear tertangkap, bukan berarti masalahnya teratasi.

Faktanya, FireEye menekankan pada hari Minggu bahwa serangan itu sedang berlangsung. Proses mengidentifikasi infeksi potensial dan menelusuri sumbernya akan memakan waktu.

“Para penyerang tersebut sangat berhati-hati dalam menggunakan infrastruktur jaringan,” kata Joe Slowik, seorang peneliti di firma intelijen ancaman DomainTools. “Terutama, mereka tampaknya sangat bergantung pada pembaruan atau pendaftaran ulang domain yang ada daripada membuat item yang benar-benar baru, dan menggunakan berbagai layanan hosting awan untuk infrastruktur jaringan.” Teknik ini membantu penyerang menyembunyikan petunjuk tentang identitas mereka, menutupi jejak mereka, dan umumnya berbaur dengan lalu lintas yang sah.

Tingkat kerusakan juga sulit untuk ditangani karena Orion sendiri merupakan alat pemantau, menyiapkan sedikit masalah “siapa yang mengawasi para pengamat”. Untuk alasan yang sama, sistem juga memberikan kepercayaan dan hak istimewa Orion pada jaringan pengguna yang memiliki nilai bagi penyerang. Korban dan target potensial harus mempertimbangkan kemungkinan serangan tersebut juga dikompromikan banyak dari infrastruktur dan mekanisme otentikasi mereka yang lain menggunakan akses pervasif Orion. Sejauh mana eksposur di lembaga pemerintah AS masih belum diketahui; pengungkapan bahwa DHS juga terkena dampak tidak datang sampai Senin sore.


Diposting oleh : SGP Prize

Releated

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

[ad_1] Perbedaan utama antara Perlindungan Lengkap dan AFU terkait dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Ketika data dalam status Perlindungan Lengkap, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda untuk pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan […]