Nobelium, Hacker yang Menyerang SolarWinds Membuat Serangan Baru ke Microsoft

Cyberthreat – Nobelium, geng peretas yang menyerang perangkat lunak Orion milik SolarWinds, terdeteksi melakukan serangan baru yang menargetkan salah satu agen layanan pelanggan Microsoft.

Mereka menggunakan informasi yang didapat dari peretasan agen layanan pelanggan untuk selanjutnya meretas jaringan pelanggan Microsoft.

Nobelium adalah nama geng peretas yang diberikan oleh Microsoft saat meneliti serangan rantai pasokan (supply chain attack) Orion. Diduga geng ini mendapatkan dukungan dari Rusia, tapi mereka beroperasi di luar negara itu.

Pada April lalu, pemerintah AS secara resmi menuduh pemerintah Rusia dan peretas dari Dinas Intelijen Asing Rusia, SVR, atas serangan ke SolarWinds dan organisasi AS lain. Namun, Rusia berkali-kali menampik tudingan AS yang tak berdasar tersebut.

Dalam unggahan di blog perusahaan, Jumat (25 Juni 2021) malam, dikutip dari BleepingComputer, diakses Senin (28 Juni), Microsoft mengatakan, geng tersebut melakukan serangan “semprotan kata sandi” (password spray) dan brute force untuk mendapatkan akses ke jaringan perusahaan yang ditargetkan.

Kedua serangan itu memang memiliki kemiripan karena sama-sama berusaha mendapatkan akun online korban secara ilegal dengan menebak-nebak kata sandi. Semprotan kata sandi mencoba memakai kata sandi sama di beberapa akun secara bersamaan, sedangkan serangan brute force yaitu sebuah upaya berulang-ulang untuk menargetkan satu akun melalui kata sandi yang berbeda-beda.

Meski sebagian besar serangan terbaru Nobelium itu tak sepenuhnya berhasil, Microsoft masih bisa mendeteksi tiga sektor yang diserang mereka. Yaitu perusahaan TI (57 persen), pemerintah (20 persen), dan dalam persentase kecil menyerang lembaga think thank dan LSM, serta layanan keuangan.

Sebagian besar fokus Nobelium yaitu organisasi di Amerika Serikat (45 persen), Inggris (10 persen), dan sejumlah kecil di Jerman dan Kanada. Secara keseluruhan, ada 36 negara menjadi sasaran serangan Nobelium.

Selama penyelidikan itu, Microsoft juga menemukan trojan pencuri informasi (information-stealing trojan) di komputer agen layanan pelanggannya. Komputer yang ditarget ini kebetulan menyediakan akses ke “informasi akun dasar” untuk sejumlah pelanggan tertentu. Dari informasi inilah, Nobelium menyebarkan serangan pengelabuan (phishing) terhadap pelanggan Microsoft.

Microsoft melaporkan serangan bearu itu setelah kantor berita Reuters memperoleh email Microsoft yang dikirim ke pelanggan yang terkena dampak. Email itu menyebutkan peretas memperoleh akses ke informasi langganan Microsoft Services.

"Aktor terkait negara-bangsa yang canggih, diidentifikasi Microsoft sebagai Nobellium mengakses alat dukungan pelanggan Microsoft untuk meninjau informasi mengenai langganan Microsoft Services Anda," demikian email Microsoft yang diperoleh Reuters.

Nobelium, dikenal sebagai APT29, Cozy Bear, dan The Dukes, sebelumnya juga menyerang Microsoft, FireEye, Cisco, Malwarebytes, Mimecast, dan berbagai lembaga pemerintah AS dalam kaitannya dengan serangan SolarWinds.

Belum lama ini, Microsoft juga mengungkapkan bahwa geng itu meretas akun Kontak Konstan untuk USAID, sebuah lembaga AS yang bertanggung jawab untuk memberikan bantuan asing dan bantuan pembangunan. Dengan menggunakan akun pemasaran USAID, Nobelium melakukan serangan phishing yang ditargetkan untuk mendistribusikan malware dan mengakses jaringan internal organisasi yang ditargetkan.

Akhirnya, Departemen Kehakiman AS menyita dua domain yang digunakan dalam serangan phishing untuk mendistribusikan malware itu.[]