Peringatan Serius Microsoft: Ganasnya Nobelium

Cyberthreat.id – Peringatan dari Microsoft ini patut dicermati dengan serius: kelompok peretas yang berada di balik kegagalan SolarWinds, telah menargetkan setidaknya 140 pengecer dan penyedia layanan teknologi dalam rantai pasokan IT global. Peringatan ini menunjukkan bagaimana ganasnya kelompok Nobelium.

Laman zdnet.com menuliskan, bahwa pada tanggal 24 Oktober, Tom Burt, Wakil Presiden Perusahaan Microsoft untuk Keamanan & Kepercayaan Pelanggan mengatakan kelompok ancaman persisten tingkat lanjut -- advanced persistent threat (APT)-- asal Rusia, kini beralih ke pengecer perangkat lunak dan layanan cloud "membonceng setiap akses langsung yang mungkin dimiliki pengecer ke sistem IT pelanggan mereka."

Raksasa Redmond mengatakan operasi terbaru Nobelium terlihat pada Mei tahun ini.  “Tidak kurang dari 140 perusahaan telah menjadi sasaran, dengan 14 kasus kompromi yang dikonfirmasi”.

Microsoft dan FireEye (sekarang dikenal sebagai Mandiant) pada Desember 2020, mengungkapkan Nobelium bertanggung jawab atas pelanggaran SolarWinds. Sistem SolarWinds dilanggar dan pembaruan untuk perangkat lunak Orion diracuni dan kemudian disebarkan ke sekitar 18.000 pelanggan.

APT kemudian memilih sejumlah kecil target profil tinggi untuk dieksploitasi, termasuk Microsoft, FireEye, Department of Homeland Security (DHS), Cybersecurity and Infrastructure Agency (CISA), dan US Treasury.

Setelah pembaruan berbahaya didorong melalui saluran sah SolarWind, malware ditanam di sistem ini, termasuk pada backdoor Sunburst/Solorigate.

Microsoft memperkirakan bahwa upaya itu mungkin membutuhkan upaya hingga 1.000 insinyur. Namun, gelombang serangan terbaru tampaknya tidak memanfaatkan kerentanan atau kelemahan keamanan tertentu; sebagai gantinya, grup ini mengandalkan isian kredensial “spray-and-pray”, phishing, penyalahgunaan API, dan pencurian token dalam upaya untuk mendapatkan kredensial akun dan akses istimewa ke sistem korban.

Kampanye baru ini merupakan bagian dari aktivitas aktor ancaman Rusia yang lebih luas. Antara 1 Juli dan 19 Oktober, Microsoft telah memperingatkan 609 pelanggan tentang 22.868 upaya peretasan, meskipun perusahaan mencatat bahwa keberhasilan ada dalam "low single digits."

Sebelum 1 Juli, Microsoft memperingatkan pelanggan tentang upaya serangan peretas negara-bangsa secara keseluruhan sebanyak 20.500 kali, termasuk kampanye phishing sebelumnya yang diluncurkan oleh Nobelium yang meniru USAID.

“Aktivitas baru-baru ini adalah indikator lain bahwa Rusia sedang mencoba untuk mendapatkan akses sistematis jangka panjang ke berbagai titik dalam rantai pasokan teknologi dan [untuk] membangun mekanisme pengawasan – sekarang atau di masa depan – target yang diminati," komentar Microsoft. "Untungnya, kami telah menemukan kampanye ini selama tahap awal, dan kami membagikan perkembangan ini untuk membantu pengecer layanan cloud, penyedia teknologi, dan pelanggan mereka mengambil langkah tepat waktu untuk membantu membendung Nobelium.”

Microsoft telah menyampaikan kepada semua vendor yang terkena dampak dan juga telah merilis panduan teknis yang menguraikan bagaimana Nobelium berupaya bergerak secara lateral melintasi jaringan untuk menjangkau pelanggan hilir.

Dalam sebuah pernyataan, SVP dan CTO Mandiant, Charles Carmakal mengatakan perusahaan telah menyelidiki beberapa kasus dugaan serangan siber Rusia, di mana hubungan rantai pasokan antara penyedia teknologi dan pelanggan telah dieksploitasi.

"Sementara serangan rantai pasokan SolarWinds melibatkan kode berbahaya yang dimasukkan ke dalam perangkat lunak yang sah, sebagian besar aktivitas intrusi baru-baru ini melibatkan pemanfaatan identitas yang dicuri dan jaringan solusi teknologi, layanan, dan perusahaan pengecer di Amerika Utara dan Eropa untuk akhirnya mengakses lingkungan organisasi yang diincar pemerintah Rusia," komentar Carmakal.[]