Microsoft Meretas di Serangan CyberWinds Rusia-Linked

“Kami mendeteksi aktivitas tidak biasa dengan sejumlah kecil akun internal dan setelah ditinjau, kami menemukan satu akun telah digunakan untuk melihat kode sumber di sejumlah repositori kode sumber,” kata Microsoft dalam sebuah pernyataan.

Akun yang disusupi ini dapat melihat kode sumber Microsoft, tetapi tidak membuat perubahan, kata perusahaan itu.

Pengungkapan Microsoft meningkatkan momok bahwa peretas mungkin telah menargetkan dan kemudian membahayakan perusahaan teknologi lain juga, kata Sherri Davidoff, kepala eksekutif perusahaan konsultan keamanan LMG Security LLC. “Itulah mengapa para peretas ini mengejar perusahaan-perusahaan ini,” katanya. “Mereka tidak menginginkan akses hanya ke satu perusahaan. Mereka menginginkan akses ke segalanya. ”

Seorang juru bicara Microsoft menolak untuk mengatakan produk atau sistem internal apa yang terpengaruh oleh gangguan tersebut.

Perusahaan tersebut “tidak menemukan bukti akses ke layanan produksi atau data pelanggan,” dan “tidak ada indikasi bahwa sistem kami digunakan untuk menyerang pihak lain,” kata perusahaan itu.

Serangan SolarWinds dimulai setidaknya pada Oktober 2019 dan telah memicu kesibukan investigasi dunia maya dalam industri pemerintah dan swasta. Melalui pintu belakang penyerang yang dipasang di perangkat lunak jaringan Orion SolarWinds, para peretas menemukan jalan mereka ke dalam sistem milik Departemen Keamanan Dalam Negeri, Departemen Luar Negeri, Departemen Keuangan dan Perdagangan, dan lainnya.

Pejabat pemerintah AS dan keamanan siber telah mengaitkan serangan itu dengan Rusia. Kremlin membantah terlibat dalam peretasan tersebut.

Analisis catatan internet Wall Street Journal mengidentifikasi komputer yang terinfeksi di dua lusin organisasi yang memasang perangkat lunak pemantauan jaringan tercemar dari SolarWinds. Diantaranya: raksasa teknologi Cisco Systems Inc.,

pembuat chip Intel Corp.

dan Nvidia Corp.

, dan kantor akuntan Deloitte LLP.

Para peretas juga membahayakan setidaknya satu pengecer layanan komputasi berbasis cloud Microsoft dan mencoba menggunakannya sebagai cara untuk mendapatkan akses ke email milik vendor keamanan siber CrowdStrike. Inc.

Upaya itu tidak berhasil, kata CrowdStrike minggu lalu. Microsoft adalah perusahaan komputasi awan terbesar kedua di dunia setelah Amazon.com Inc.

Serangan SolarWinds tidak terdeteksi selama berbulan-bulan dan ditemukan oleh FireEye Inc.,

sebuah perusahaan keamanan siber, saat peretas membunyikan alarm. FireEye menempatkan lebih dari 100 detektif dunia maya untuk menyelidiki peretasan sistemnya, sebelum akhirnya membidik perangkat lunak SolarWinds sebagai sumber kompromi.

Penyelidik perusahaan dan pemerintah AS masih mencoba untuk menilai informasi apa yang dapat dikumpulkan peretas dalam apa yang oleh pejabat keamanan siber dianggap sebagai salah satu pelanggaran terbesar jaringan AS selama bertahun-tahun.

Teknologi pengembangan perangkat lunak telah lama dianggap sebagai target sensitif dalam serangan dunia maya. Sistem manajemen kode sumber, seperti yang diakses oleh peretas Microsoft, digunakan oleh pengembang perangkat lunak untuk membuat produk mereka. Mendapatkan akses ke sana dapat memberi peretas wawasan tentang cara-cara baru untuk menyerang produk ini, kata pakar keamanan.

“Memiliki kode sumber dapat mengurangi jumlah waktu dan analisis untuk mengidentifikasi kerentanan, tetapi penyerang masih dapat mengidentifikasi kerentanan tanpa kode sumber,” kata Window Snyder, mantan kepala petugas keamanan di Square Inc. “Ini adalah alat lain di kotak alat.”

Dalam kasus SolarWinds, para penyerang dapat melakukan lebih dari sekadar melihat kode sumber. Mereka membobol sistem yang digunakan SolarWinds untuk merakit produk perangkat lunak jadi dan mampu menyelipkan kode berbahaya ke dalam pembaruan perangkat lunak SolarWinds sendiri yang dikirim ke sekitar 18.000 pelanggan, termasuk Microsoft dan FireEye.

Tulis ke Robert McMillan di [email protected]