CrowdStrike Identifikasi Malware Sunspot, Diyakini Senjata Pertama Pembobol SolarWinds
SolarWinds. | Foto: wrbco.com
Cyberthreat.id – CrowdStrike, salah satu perusahaan keamanan siber yang terlibat dalam penanganan langsung serangan siber terhadap SolarWinds, mengatakan pada 12 Januari lalu bahwa telah mengidentifikasi jenis malware ketiga yang dipakai untuk peretas.
Malware tersebut dijuluki “Sunspot”. Sebelumnya, peneliti mendeteksi dua malware yang dipakai menyerang perusahaan manajemen TI terkemuka itu, yaitu “Sunburst” (Solorigate) dan “Teardrop”.
Meski ditemukan terakhir, CrowdStrike meyakini bahwa malware tersebut yang dipakai untuk menyerang pertama kali, tulis ZDNet, diakses Minggu (17 Januari 2021).
Sunspot digunakan pada September 2019 ketika peretas pertama kali menembus jaringan internal SolarWinds. Malware ini diinstal pada server build SolarWinds, sejenis perangkat lunak yang dipakai pengembang untuk merakit komponen yang lebih kecil menjadi aplikasi perangkat lunak yang lebih kompleks.
CrowdStrike mengatakan Sunspot memiliki satu tujuan tunggal, yaitu untuk mengawasi server build untuk perintah build yang merakit Orion, salah satu produk utama SolarWinds yang diretas, platform pemantauan sumber daya TI yang digunakan oleh lebih dari 33.000 pelanggan di seluruh dunia.
Setelah perintah build terdeteksi, malware akan secara diam-diam mengganti file kode sumber di dalam aplikasi Orion dengan file yang memuat malware Sunburst, menghasilkan versi aplikasi Orion yang juga menginstal malware Sunburst.
Orion palsu itu akhirnya membuka satu server pembaruan resmi SolarWinds dan diinstal pada jaringan banyak pelanggan perusahaan.
Selanjutnya, Sunburst akan aktif di dalam jaringan internal perusahaan dan lembaga pemerintah yang menginstalnya dan bertugas mengumpulkan data dari mesin korban.
Peretas kemudian akan memutuskan apakah korban penting untuk diretas. Jika mesin korban dianggap penting, peretas akan menyebarkan malware muatan kedua, Teardrop, yang bertugas sebagai pintu belakang (backdoor). Pada saat yang sama, menginstruksikan Sunburst untuk menghapus dirinya sendiri dari jaringan yang dianggap tidak signifikan atau yang berisiko terlalu tinggi.
Berita Terkait:
- Malware yang Menginfeksi SolarWinds Mirip Milik Geng Hacker Turla, Siapa Mereka?
- Perusahaan Ceko JetBrains Bantah Terlibat dalam Serangan Siber ke SolarWinds
Dalam pengumuman terpisah di blognya, SolarWinds juga menerbitkan lini masa peretasan tersebut. Penyedia perangkat lunak asal Texas tersebut mengatakan, sebelum Sunburst disebarkan ke pelanggan antara Maret dan Juni 2020, peretas juga melakukan uji coba antara September dan November 2019.
Sebelumnya, Kaspersky, perusahaan keamanan siber asal Rusia, yang bukan tim investigasi, tapi ikut meneliti kasus SolarWinds, menemukan bahwa malware pintu belakang yang dipakai peretas memiliki kemiripan dengan senjata malware peretas Turla asal Rusia. (Baca: Kaspersky: Ada Kesamaan Malware Peretas SolarWinds dengan Geng Turla Rusia)
Pemerintah AS secra resmi menyatakan bahwa biang keladi peretasan SolarWinds yang menyebabkan pengintaian di sejumlah lembaga pemerintah dan perusahaan adalah ulah Rusia.
Sejauh ini, nama peretas SolarWinds dilabeli dengan nama yang berbeda-beda, seperti UNC2452 (dijuliki oleh FireEye, Microsoft), DarkHalo (Volexity), dan StellarParticle (CrowdStrike).[]
