Hacker SilverFish Manfaatkan Kerentanan Orion SolarWinds, Targetkan Lebih dari 4.000 Instansi

Cyberthreat.id – Geng peretas berjuluk SilverFish ditengarai turut memanfaatkan kerentanan perangkat lunak Orion milik SolarWinds untuk membidik targetnya.

Menurut penyelidikan Prodaft, perusahaan keamanan siber asal Swiss, SilverFish, menargetkan 4.720 instansi swasta dan publik, termasuk sekitar 500 perusahaan yang masuk level Fortune500.

Perusahaan-perusahaan itu, dari laporannya Prodaft, berada di Amerika Serikat, Kanada, Belanda, Jerman, Inggris, Meksiko, Prancis, Italia, Spanyol, Australia, Portugal ,Austria, Denmark.

SilverFish pun fokus menargetkan infrastruktur kritis dan perusahaan yang nilai pasarnya lebih dari US$100 juta.

"Meski perusahaan infrastruktur kritis yang besar, sebagian besar target mereka tidak menyadari keberadaan grup SilverFish di jaringan mereka," kata Prodaft, dikutip dari ZDNet, diakses Senin (22 Maret 2021).

Korban yang telah diverifikasi oleh Prodaft antara lain perusahaan kontraktor militer AS, produsen kit pengujian Covid-19, perusahaan antariksa dan otomotif, kantor kepolisian, sistem bandara Eropa, dan banyak lembaga perbankan di AS dan Eropa.

Namun, Prodaft menjelaskan kepada ZDNet bahwa para korban tersebut tidak diberitahu secara langsung notifikasi oleh Prodaft, tetapi temuannya telah dibagikan "dengan semua CERT yang bertanggung jawab, dan lembaga penegak hukum yang berbeda; sehingga mereka dapat menghubungi para korban sebagai badan yang berwenang dan membagikan temuan mereka."

SilverFish, dikatakan dapat melewati Windows Antimalware Scan Interface (AMSI).

SilverFish merancang sandbox atau kotak pasir deteksi malware yang belum pernah ada yang dibuat oleh perusahaan targetnya. Sandbox ialah lingkungan pengujian terisolasi yang memungkinkan pengguna menjalankan program atau mengeksekusi file tanpa mempengaruhi aplikasi, sistem atau platform yang dijalankan.

Penyerang SilverFish pun menggunakan sistemnya untuk menguji muatan berbahaya di lebih dari 6.000 perangkat korban, skrip, dan implan.

Perusahaan dapat mengidentifikasi ini terkait dengan SolarWinds, karena bermula dari indikator peretasan (IoC) publik yang diterbitkan oleh FireEye. Tim peneliti, berdasarkan salah satu domain yang ada yakni databasegalore.com, itu dapat dilacak sidik jari unik dari salah satu server onlinenya. Berbekal sidik jari inilah, peneliti menemukan kecocokan sehingga bisa mendeteksi server perintah dan kontrol (C&C) dari grup SilverFish.

Setelah diperiksa lebih lanjut server C&Cnya, perusahaan mengatakan banyak korban menggunakan produk SolarWinds. SilverFish merancang panel C&Cnya dengan sangat minimalis, kata Prodaft.

Dalam serangan terhadap perusahaan-perusahaan itu, Prodaft mengatakan SilverFish melakukan pengintaian jaringan dan eksfiltrasi data serta menggunakan berbagai perangkat lunak dan skrip untuk aktivitas awal dan pasca-eksploitasi.

Alat yang dimanfaatkan SilverFish dalam aksinya ini sudah tersedia yang mana selama ini digunakan oleh Red Team seperti Empire payload, Cobalt Strike, dan Mimikatz pasca-eksploitasi skrip Powershell.

Selain itu, file-file seperti rootkit, PowerShell, BAT, dan HTA yang dibuat secara khusus untuk melakukan eksfiltrasi data.

Setelah menganalisis skrip dan alat khusus dibuat oleh kelompok SilverFish, tim peneliti sampai pada kesimpulan bahwa tujuan utama Kelompok APT ini kemungkinan besar akan melakukan pengintaian dan mengekstrak data dari target mesin secara rahasia

Jam kerja peretas, menurut Prodaft, antara pukul 8 pagi - 8 malam, jauh lebih aktif pada hari kerja dan akhir pekan aktivitasnya berkurang.

Serangan SilverFish yang berkaitan dengan SolarWinds inipun dimulai pada akhir Agustus 2020 dengan tiga gelombang. Ini beda sebulan dengan kompromi malware Sunburst yang dideteksi antara Maret dan Juni 2020.

Infrastruktur SilverFish juga bertautan ke beberapa IoC yang sebelumnya dikaitkan dengan TrickBot, EvilCorp, WastedLocker, dan DarkHydrus.[]

Redaktur: Andi Nugroho