Peretas Rusia yang dicurigai menggunakan vendor Microsoft untuk membobol pelanggan


WASHINGTON – Para tersangka peretas Rusia di balik serangan dunia maya terburuk di AS dalam beberapa tahun memanfaatkan akses pengecer ke layanan Microsoft Corp untuk menembus target yang tidak memiliki perangkat lunak jaringan yang dikompromikan dari SolarWinds Corp., kata para penyelidik.

Sementara pembaruan untuk perangkat lunak Orion SolarWinds sebelumnya satu-satunya titik masuk yang diketahui, perusahaan keamanan CrowdStrike Holdings Inc mengatakan hari Kamis peretas telah memenangkan akses ke vendor yang menjual lisensi Office dan menggunakannya untuk mencoba membaca email CrowdStrike. Itu tidak secara khusus mengidentifikasi peretas sebagai orang-orang yang membahayakan SolarWinds, tetapi dua orang yang akrab dengan penyelidikan CrowdStrike mengatakan mereka melakukannya.

CrowdStrike menggunakan program Office untuk pengolah kata tetapi tidak untuk email. Upaya yang gagal, yang dilakukan beberapa bulan lalu, ditunjukkan ke CrowdStrike oleh Microsoft pada 15 Desember.

CrowdStrike, yang tidak menggunakan SolarWinds, mengatakan tidak menemukan dampak dari upaya penyusupan dan menolak menyebutkan nama resellernya.

“Mereka masuk melalui akses pengecer dan mencoba mengaktifkan hak istimewa ‘membaca’ surat,” kata salah satu orang yang mengetahui penyelidikan itu kepada Reuters. “Jika telah menggunakan Office 365 untuk email, itu akan berakhir.”

Banyak lisensi perangkat lunak Microsoft dijual melalui pihak ketiga, dan perusahaan tersebut dapat memiliki akses yang hampir konstan ke sistem klien saat pelanggan menambahkan produk atau karyawan.

Microsoft mengatakan hari Kamis bahwa pelanggan tersebut perlu waspada.

“Investigasi kami terhadap serangan baru-baru ini menemukan insiden yang melibatkan penyalahgunaan kredensial untuk mendapatkan akses, yang dapat terjadi dalam beberapa bentuk,” kata Direktur senior Microsoft Jeff Jones. “Kami belum mengidentifikasi kerentanan atau penyusupan produk atau layanan cloud Microsoft.”

Penggunaan pengecer Microsoft untuk mencoba masuk ke perusahaan pertahanan digital teratas menimbulkan pertanyaan baru tentang berapa banyak jalan yang dimiliki para peretas, yang diduga pejabat AS beroperasi atas nama pemerintah Rusia, yang mereka miliki.

Korban yang diketahui sejauh ini termasuk saingan keamanan CrowdStrike FireEye Inc dan Departemen Pertahanan AS, Negara Bagian, Perdagangan, Keuangan, dan Keamanan Dalam Negeri. Perusahaan besar lainnya, termasuk Microsoft dan Cisco Systems Inc, mengatakan mereka menemukan perangkat lunak SolarWinds yang tercemar secara internal tetapi tidak menemukan tanda-tanda bahwa peretas menggunakannya untuk menjangkau secara luas di jaringan mereka.

Hingga saat ini, SolarWinds yang berbasis di Texas adalah satu-satunya saluran yang dikonfirmasi secara publik untuk pembobolan awal, meskipun para pejabat telah memperingatkan selama berhari-hari bahwa peretas memiliki cara lain.

Reuters melaporkan seminggu yang lalu bahwa produk Microsoft digunakan dalam serangan. Tetapi pejabat federal mengatakan mereka belum melihatnya sebagai vektor awal, dan raksasa perangkat lunak mengatakan sistemnya tidak digunakan dalam kampanye. (https://www.reuters.com/article/idUSKBN28R2ZJ)

Microsoft kemudian mengisyaratkan bahwa pelanggannya harus tetap waspada. Di akhir posting blog teknis yang panjang pada hari Selasa, itu menggunakan satu kalimat untuk menyebutkan melihat peretas mencapai Microsoft 365 Cloud “dari akun vendor tepercaya tempat penyerang telah menyusupi lingkungan vendor.”

Microsoft mengharuskan vendornya memiliki akses ke sistem klien untuk menginstal produk dan mengizinkan pengguna baru. Tetapi menemukan vendor mana yang masih memiliki hak akses pada waktu tertentu sangatlah sulit sehingga CrowdStrike mengembangkan dan merilis alat audit untuk melakukannya.

Setelah serangkaian pelanggaran lain melalui penyedia cloud, termasuk serangkaian serangan besar yang dikaitkan dengan peretas yang didukung pemerintah China dan dikenal sebagai CloudHopper, Microsoft tahun ini memberlakukan kontrol baru pada pengecernya, termasuk persyaratan untuk otentikasi multifaktor.

Badan Keamanan Siber dan Infrastruktur dan Badan Keamanan Nasional tidak segera berkomentar.

Juga hari Kamis, SolarWinds merilis pembaruan untuk memperbaiki kerentanan dalam perangkat lunak manajemen jaringan andalannya, Orion, menyusul penemuan kelompok peretas kedua yang menargetkan produk perusahaan.

Itu mengikuti posting blog Microsoft yang terpisah pada hari Jumat yang mengatakan bahwa SolarWinds memiliki perangkat lunaknya yang ditargetkan oleh kelompok peretas kedua dan tidak terkait selain yang terkait dengan Rusia.

Identitas kelompok peretas kedua, atau sejauh mana mereka mungkin berhasil membobol di mana saja, tetap tidak jelas.

Rusia membantah memiliki peran dalam peretasan tersebut.

(Pelaporan oleh Joseph Menn dan Raphael Satter. Pelaporan tambahan oleh Munsif Vengattil Editing oleh Chizu Nomiyama, Alistair Bell dan Richard Chang)

Source : Totobet SGP