FireEye Rilis Alat Pendeteksi Efek Peretasan SolarWinds
SolarWinds. | Foto: wrbco.com
Cyberthreat.id – FireEye Mandiant, perusahaan keamanan siber AS, merilis alat sumber terbuka (open source) yang dirancang untuk mengecek perangkat lunak Microsoft 365 yang mungkin terkena imbas serangan peretas SolarWinds.
FireEye selama ini menjuluki peretas SolarWinds dengan “UNC2452”. Peretas menggunakan teknik canggih untuk membobol sistem internal SolarWinds dan selanjutnya melakukan serangan ke pelanggan mereka.
Dalam serangan jaringan lokal ke sistem cloud Microsoft, FireEye mengatakan, penyerang menggunakan kombinasi empat teknik. FireEye dan Microsoft adalah perusahaan swasta pertama yang mengumumkan mereka menjadi korban peretasan SolarWinds.
Pertama, pencurian sertifikat penandatanganan token Active Directory Federation Services (ADFS) yang berfungsi untuk mengautentikasi ke akun pengguna yang ditargetkan.
Kedua, membuat pintu belakang (backdoor) pada layanan cloud computing Azure AD. Ketiga, mendapatkan kredensial untuk akun lokal dengan hak istimewa yang disinkronkan dengan Microsoft 365, dan terakhir, menyalahgunakan aplikasi 365 yang ada untuk mendapatkan akses ke data penting.
Dalam rilisnya, Selasa (19 Januari 2021, alat yang dirancang Mandiant tersebut diberi nama “Azure AD Investigator”—kode sumber juga telah tersedia di GitHub.
Alat tersebut membantu organisasi untuk mengecek cloud Microsoft mereka guna mencari bukti serangan.
Selain menggunakan alat tersebut, FireEye mengatakan, pemeriksaan manual mungkin juga diperlukan dalam beberapa kasus. Ini karena beberapa bukti serangan yang ditemukan oleh alat tersebut mungkin terkait dengan aktivitas yang sah.
Selain alat tersebut, FireEye juga menerbitkan buku putih berjudul “Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452.”
Buku tersebut berisi rekomendasi bagaimana organisasi dapat mengurangi dan mengatasi potensi serangan yang menargetkan lingkungan Microsoft 365.
Buku tersebut menawarkan panduan remediasi untuk organisasi yang terkena serangan UNC2452, panduan penguatan sistem, dan panduan deteksi.
“Ada banyak informasi yang tersebar di luar sana sehingga mempersulit perusahaan untuk menentukan apa yang perlu mereka lakukan untuk menyelidiki di lingkungan sistem mereka,” kata Douglas Bienstock, manajer di Mandiant seperti dikutip dari SecurityWeek, diakses Kamis (21 Januari).[]
