Potensi Serangan Balasan AS Terkait SolarWinds, Rusia Keluarkan Peringatan Keamanan

Cyberthreat.id – Pemerintah Rusia merilis peringatan keamanan pada Kamis (22 Januari 2021) kepada seluruh perusahaan swasta terkait potensi serangan siber balasan dari Amerika Serikat menyusul peretasan SolarWinds.

Pengumuman dalam bentuk buletin keamanan tersebut merespons komentar yang dikeluarkan pemerintahan baru AS di bawah Presiden Joe Biden. Gedung Putih mengatakan “berhak untuk merespons setiap serangan siber pada waktu dan cara yang dipilih.”

Pernyataan pendek tersebut ditanggapi dan ditafsirkan Rusia sebagai “ancaman”, tulis ZDNet, diakses Minggu (24 Januari).

Buletin tersebut dikeluarkan oleh Pusat Koordinasi Nasional untuk Insiden Komputer Rusia (NKTSKI), badan keamanan yang didirikan oleh Dinas Keamanan Federal Rusia (FSB)—badan intelijen dan keamanan internal Rusia.

NKTSKI pun memberikan sejumlah daftar langkah-langka yang harus dipatuhi perusahaan swasta agar tetap aman saat terkoneksi dengan internet

Yang disarankan pemerintah Rusia tersebut sebetulnya saran keamanan pabrik dan bukan sesuatu yang baru. “Peringatan keamanan diterbitkan lebih sebagai tanggapan atas pernyataan agresif pemerintahan Biden,” tulis ZDNet.

Terlebih, dalam jumpa persnya pada 21 Januari, pemerintahan Biden juga berjanji untuk memberikan US$ 9 miliar untuk keamanan siber setelah peretasan SolarWinds. (Baca: Usai Peretasan Besar-besaran, Joe Biden Rombak Tim Keamanan Siber)

Pada awal Januari 2021, pemerintah AS secara resmi menuding bahwa aktor di balik serangan perangkat lunak Orion SolarWinds, sehingga merembet ke sejumlah instansi pemerintah dan swasta, adalah Rusia. (Baca: Pemerintah AS Resmi Salahkan Rusia Terkait Peretasan SolarWinds)

Awal serangan

Pada 13 Desember 2020, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya.

Peretas canggih itu menaruh perangkat lunak jahat (malware) “pintu belakang” (backdoor) di pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware bernama “Sunburst” atau “Solorigate” tersebut kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia yang juga memakai Orion.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion bermasalah itu.

Dua hari kemudian, SolarWinds mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan aplikasi trojan itu sekitar 18.000 pelanggan (disebut trojan karena malware menyaru sebagai Orion).

Sejauh ini badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.

Pada 17 Desember 2020, Microsoft mengakui sebagai pelanggan Orion dan menemukan malware di sistemnya. Namun, perusahaan mengklaim tak mendapati bahwa produk-produk digitalnya dipakai serangan lanjutan.

Hanya, pada 31 Desember, setelah investigasi internal, Microsoft menemukan, peretas telah berhasil mendapatkan sejumlah kecil akun internal perusahaan yang dipakai untuk mengakses repositori (penyimpanan) kode sumber perusahaan. (Baca: Hacker SolarWinds Akses Kode Sumber Microsoft)

Russsophobia

Rusia membantah bahwa mereka terlibat dalam serangan siber terhadap SolarWidns.

“Rusia tidak terlibat dalam serangan semacam itu. Kami menyatakan ini secara resmi dan tegas,” ujar Juru Bicara Istana Presiden Rusia, Dmitry Peskov seperti dikutip dari TASS, kantor berita Rusia, Senin (21 Desember 2020).

“Setiap tuduhan keterlibatan Rusia sama sekali tidak berdasar, itu lebih seperti Russophobia yang gelap mata jika terjadi insiden apa pun,” ujar dia.

Menurut Peskov, pembahasan publik terkait serangan siber bertambah populer di AS, karena AS-lah yang menjadi korban serangan.

“Yang pasti, pembahasan tersebut tidak ada kaitannya dengan kami,” Pesko menegaskan.

Berikut ini yang disarankan pusat siber NKTSKI untuk menghindari ancaman siber:

1. Perbarui rencana, instruksi, dan pedoman organisasi yang sudah ada untuk merespons insiden komputer.
2. Beritahu karyawan tentang kemungkinan serangan phishing menggunakan manipulasi psikologis.
3. Lakukan audit keamanan informasi jaringan dan perangkat lunak anti-virus, pastikan pengaturannya benar dan berfungsi pada semua node jaringan yang signifikan.
4. Hindari menggunakan server DNS pihak ketiga.
5. Gunakan otentikasi multi-faktor (MFA) untuk mengakses jaringan organisasi dari jarak jauh.
6. Tentukan daftar perangkat lunak tepercaya untuk akses ke jaringan perusahaan dan batasi penggunaan dana yang tidak termasuk di dalamnya.
7. Pastikan pencatatan yang benar dari jaringan dan peristiwa sistem pada elemen penting infrastruktur informasi, mengatur koleksi mereka dan penyimpanan terpusat.
8. Pastikan memiliki dan frekuensi pencadangan data yang benar untuk elemen penting infrastruktur informasi.
9. Pastikan bahwa kebijakan yang ada untuk diferensiasi hak akses untuk perangkat di jaringan sudah benar.
10. Batasi akses ke layanan di jaringan internal melalui firewall, jika Anda perlu membagikannya, atur melalui zona demiliterisasi.
11. Untuk bekerja dengan sumber daya eksternal, termasuk Internet, gunakan akses terminal melalui layanan internal organisasi.
12. Perbarui kata sandi semua pengguna sesuai dengan kebijakan kata sandi.
13. Memberikan perlindungan anti-virus untuk email masuk dan keluar.
14. Pantau keamanan sistem dengan kewaspadaan yang ditingkatkan.
15. Pastikan memiliki pembaruan keamanan yang diperlukan untuk perangkat lunak Anda.[]