Badan Keamanan Siber AS Rilis Alat Deteksi Peretasan Orion SolarWinds

Cyberthreat.id – Badan Keamanan Siber dan Keamaan Infrastruktur (CISA) Amerika Serikat merilis alat baru untuk memindai atau mendeteksi aktivitas peretas di balik serangan ke perangkat lunak Orion milik SolarWinds.

Dirilis pada 18 Maret, CISA menami alat tersebut “CISA Hunt and Incident Response Program (CHIRP)”. Di situs webnya, CISA mengatakan CHIRP merupakan alat pengumpulan forensik baru yang dikembangkan untuk membantu pertahanan jaringan menemukan indikator kompromi (IoC) yang terkait dengan SolarWinds.

"CHIRP memindai tanda-tanda gangguan APT dalam lingkungan lokal," kata CISA dalam peringatan tersebut, dilansir dari ZDNet, diakses Minggu (21 Maret 2021). CHIRP ini tersedia gratis di repositori CISA di platform GitHub sebagai file yang dapat dieksekusi atau sebagai skrip Python.

Seperti diketahui, peretasan Orion terungkap pada Desember 2020. Perusahaan swasta pertama yang mengungkap adalah FireEye dan Microsoft. Penyelidikan FireEye menemukan malware “pintu belakang” bernama Sunburst, sedangkan Microsoft menamainya “Solorigate”.

Baca:

• Imbas Serangan Rantai Pasokan di Aplikasinya, SolarWinds Habiskan Biaya Sekitar Rp 50 Miliar

SolarWinds mengatakan ada 18.000 pelanggan yang menginstal Orion yang telah disusupi malware. Microsoft menuding bahwa di balik serangan itu adalah geng Nobelium, sedangkan FireEye menyebutnya sebagai grup UNC2452.

CISA mengatakan pemakaian CHIRP saat ini dapat mencari:

• malware yang diidentifikasi oleh peneliti keamanan bernama “Teardrop” dan “Raindrop”. (Baca: FireEye Temukan Malware Baru Terkait Peretasan SolarWinds)
• sertifikat dumping kredensial (mengacu pada cara apa pun untuk mengekstrak atau "membuat" kredensial otentikasi pengguna dari komputer korban) yang menarik
• mekanisme persistensi tertentu yang diidentifikasi terkait dengan kampanye peretas SolarWinds
• sistem, jaringan, dan pencacahan M365 (Microsoft Azure)
• indikator yang dapat diamati dari gerakan lateral.

Akhir Desember 2020, CISA merilis alat berbasis "PowerShell" yang membantu untuk mendeteksi aplikasi dan akun yang berpotensi diretas di lingkup Azure atau Microsoft 365. Alat CHIRP baru ini terkait dengan alat itu atau disebut CISA sebagai Sparrow. (Baca: CISA Rilis Alat Deteksi Aktivitas Jahat di Azure dan Microsoft 365)

Para peretas SolarWinds, kata ZDNet, menyebarkan malware jenis kedua yang disebut “TearDrop” kepada beberapa dari 18.000 pelanggan SolarWinds. Penyerang kemudian melanjutkan aksinya dengan mengeksploitasi infrastruktur Microsoft 365.

Microsoft pun baru-baru ini merinci tiga malware tambahan terkait dengan Sunburst, salah satunya Sibot. Malware ini dirancang untuk persistensi pada mesin yang terinfeksi untuk mendukung pengunduhan dan eksekusi muatan dari server perintah dan kontrol (C2) jarak jauh. (Baca: Microsoft Temukan Tiga Malware Lagi yang Digunakan Peretas SolarWinds).[]

Redaktur: Andi Nugroho