Korban Serangan ke Server Microsoft Berskala Global, Dituding Kerjaan China
Peretasan Microsoft Exhange | Ilustrasi via Threat Post
Cyberthreat.id- Peretasan dalam skala besar kembali dialami raksasa teknologi Amerika. Setelah sebelumnya menargetkan banyak organisasi dengan memanfaatkan celah keamanan di perangkat lunak Orion milik SolarWinds, kini metode serupa menyasar Microsoft.
Diumumkan pertama kali oleh perusahaan keamanan siber AS, Veloxity, pada 2 Maret lalu, kini gambaran seberapa besar dampak serangan itu perlahan mulai tersingkap.
Menurut Veloxity, peretas yang diduga dari China telah menjarah kotak masuk email Microsoft dari jarak jauh dengan memanfaatkan lubang keamanan di Microsoft Exchange, produk Microsoft yang menyediakan layanan akun email. Layanan ini terintegrasi dengan server Exchange.
Pada hari yang sama, Microsoft juga mengumumkan insiden itu yang disebut sebagai "serangan siber terbaru oleh negara-bangsa."
"Hari ini, kami membagikan informasi tentang pelaku ancaman yang disponsori negara yang diidentifikasi oleh Pusat Intelijen Ancaman Microsoft (MSTIC) yang kami sebut Hafnium. Hafnium beroperasi dari China, dan ini pertama kalinya kami mendiskusikan aktivitasnya. Ini adalah aktor yang sangat terampil dan canggih," kata Microsoft yang hari itu juga merilis pembaruan aplikasi untuk menambal lubang keamanannya (patching).
Microsoft mengatakan serangan itu memanfaatkan empat lubang keamanan yang sebelumnya terdeteksi dalam berbagai versi perangkat lunaknya.
Secara historis, kata Microsoft, Hafnium menargetkan entitas di Amerika Serikat untuk tujuan mengekstrak informasi dari sejumlah sektor industri termasuk penyakit menular, firma hukum, perguruan tinggi, perusahaan kontraktor pertahanan, lembaga pemikir kebijakan, dan LSM.
"Meskipun berbasis di China, Hafnium melakukan operasinya terutama dari server pribadi virtual (VPS) yang disewa di Amerika Serikat," kata Microsoft.
Serangan itu, kata Microsoft, mencakup tiga langkah. Pertama, pelaku mendapatkan akses ke Exchange Server baik dengan kata sandi yang dicuri atau dengan menggunakan kerentanan yang belum ditemukan sebelumnya untuk menyamar sebagai seseorang yang seharusnya memiliki akses.
Kedua, itu akan membuat apa yang disebut "web shell" untuk mengontrol server yang disusupi dari jarak jauh. Dan, ketiga, menggunakan akses jarak jauh itu - dijalankan dari server pribadi yang berbasis di AS - untuk mencuri data dari jaringan organisasi.
Peretasan Skala Besar dan Menyisakan Bom Waktu
Laporan terbaru dari KrebonSecurity menyebut setidaknya 30 ribu organisasi pemerintah dan swasta di Amerika saja telah menjadi korban serangan itu. Angka itu disebut berasal dari sejumlah sumber terpercaya yang terlibat dalam penyelidikan.
Sementara media teknologi WIRED, mengutip pernyataan seorang peneliti keamanan yang terlibat dalam penyelidikan namun menolak namanya dimunculkan, menyebut bahwa jumlah server Exchange yang diretas lebih dari 30 ribu di Amerika saja, dan ratusan ribu di seluruh dunia.
"Ini sangat besar. Benar-benar sangat besar," kta seorang mantan pejabat keamanan nasional Amerika yang mengetahui investigasi itu kepada WIRED, seperti dilaporkan pada 5 Maret 2021.
"Ini tentang ribuan server yang disusupi per jam, secara global," kata mantan pejabat itu.
Sekretaris pers Gedung Putih Jen Psaki sampai harus menggelar konferensi pers pada Jumat sore kemarin. Dia mengingatkan siapa pun yang menjalankan server Microsoft Exchange untuk segera menginstal pembaruan aplikasinya yang disediakan Microsoft.
"Kami prihatin bahwa ada sejumlah besar korban dan sedang bekerja dengan mitra kami untuk memahami ruang lingkup ini," kata Psaki.
Jaringan yang terdampak, yang kemungkinan termasuk organisasi kecil dan menengah daripada perusahaan besar yang cenderung menggunakan sistem email berbasis cloud, tampaknya telah diretas tanpa pandang bulu melalui pemindaian otomatis.
Web shell yang ditanam peretas --sebagai pijakan pintu belakang berbasis web yang dapat diakses dari jarak jauh-- di server Exchange yang mereka eksploitasi untuk mengintai mesin target, berpotensi berpindah dari satu komputer ke komputer lain dalam jaringan yang sama.
Pendiri Veloxity Steven Adair mengingatkan, memperbaharui aplikasi dengan penambalan terbaru dari Microsoft saja tidak cukup. Organisasi yang terkena serangan perlu memastikan web shell yang ditanam peretas telah dihapus. Jika tidak, pelaku bisa kembali memasuki jaringan mereka untuk mencuri data atau sekadar menggangu.
"Itu adalah bom waktu yang dapat digunakan untuk melawan mereka kapan saja," kata Steven.
Meskipun sebagian besar intrusi tampaknya hanya terdiri dari web shell, luasnya skala peretasan itu secara unik mengganggu, kata seorang peneliti keamanan yang berpartisipasi dalam penyelidikan kepada WIRED.
Organisasi kecil hingga menengah yang disusupi termasuk lembaga pemerintah daerah, polisi, rumah sakit, penanggulangan Covid, energi, transportasi, bandara, dan penjara.
"China baru saja memiliki dunia — atau setidaknya semua orang dengan Outlook Web Access," kata peneliti tersebut. "Kapan terakhir kali seseorang begitu berani sampai memukul semua orang?"
Faktanya, intrusi massal terakhir baru saja terungkap pada Desember 2020 lalu, yang menyusup lewat alat manajemen TI dari SolarWinds yang dipakai oleh 18 ribu organisasi, termasuk di Indonesia. Di Amerika, setidaknya setengah lusin lembaga agen federal AS berhasil ditembus. Pelakunya disebut peretas Rusia.
Berbeda dengan spionase lewat perangkat lunak SolarWinds yang diam-diam telah berlangsung bertahun-tahun, aksi peretas China tampaknya dimulai beberapa bulan lalu. Sementara korban serangan Hafnium tampaknya lebih terbatas pada organisasi kecil dan menengah, peretasan SolarWinds menghantam lembaga besar pemerintah AS.
Namun, seperti halnya peretas SolarWinds Rusia, penyelidik belum mengidentifikasi siapa sebenarnya peretas Hafnium — di luar pernyataan Microsoft bahwa mereka disponsori negara dan beroperasi di luar China — atau untuk mengetahui motivasi mereka sepenuhnya.
"Saya tidak mengerti apa tujuan strategis dari mempertahankan ketekunan di badan pemerintah lokal untuk MSS," kata mantan pejabat keamanan nasional, mengacu pada Kementerian Keamanan Negara China.
"Apakah ini kontraktor atau grup proxy? Apakah ini grup penjahat dunia maya China? Apakah aktor nakal di China yang keluar duluan?" tambahnya.
Sementara kampanye peretasan mungkin ditujukan untuk menyebarkan jaring lebar sebelum memfilter target untuk spionase, peneliti keamanan yang berbicara dengan WIRED memperingatkan bahwa itu mungkin masih memiliki efek yang mengganggu.
"Jika mereka mendorong ransomware ke sini, kita akan mengalami hari terburuk," katanya.
Namun tidak seperti insiden SolarWinds, peneliti menunjukkan, kampanye peretasan Exchange diketahui lebih awal — atau setidaknya di awal penggunaannya secara luas.
Meskipun tugas membersihkan puluhan ribu infeksi peretas mungkin menakutkan, deteksi dini dapat memberi korban kesempatan untuk menambal sistem mereka dan menghapus peretas sebelum mereka dapat memanfaatkan pijakannya di dalam organisasi.
"Jika kita memiliki kesempatan untuk mencegah hal berskala SolarWinds yang berlangsung selama berbulan-bulan, bukankah kita ingin menindaknya?" tanya peneliti. "Sekarang kita memiliki kesempatan itu jika kita bertindak cepat." []
