REPUBLIKA.CO.ID, WASHINGTON -- Pelaku peretas di balik serangan dunia maya AS memanfaatkan akses pengecer ke layanan Microsoft Corp untuk menembus target. Hal ini dikatakan perusahaan keamanan CrowdStrike Holdings Inc.
Pada Kamis (24/12), dia mengatakan bahwa peretas telah mendapatkan akses ke vendor yang menjual lisensi Office dan menggunakannya untuk mencoba membaca email CrowdStrike.
Sebelumnya, pembaruan pada perangkat lunak Orion SolarWinds adalah satu-satunya titik masuk untuk mengetahui peretasan yang diduga dilakukan oleh Rusia. Lebih dari 18 ribu klien Solarwinds terdampak oleh peretasan ini.
Crowdstrike, secara kelembagaan tidak secara khusus mengidentifikasi peretas sebagai orang-orang yang menyusupi SolarWinds. Namun, dua orang yang mengetahui penyelidikan CrowdStrike mengakui hal tersebut.
CrowdStrike menggunakan program Office untuk pengolah kata tetapi tidak untuk email.
"Mereka masuk melalui akses pengecer dan mencoba mengaktifkan hak istimewa 'membaca' email. Jika telah menggunakan Office 365 untuk email, itu akan berakhir." kata salah satu sumber penyelidikan tersebut.
Banyak lisensi perangkat lunak Microsoft dijual melalui pihak ketiga. Perusahaan tersebut dapat memiliki akses yang hampir konstan ke sistem klien saat pelanggan menambahkan produk atau karyawan.
Microsoft mengatakan hari Kamis bahwa pelanggan tersebut perlu waspada. Menurut Direktur senior Microsoft Jeff Jones, investigasi pihaknya terhadap serangan baru-baru ini menemukan insiden yang melibatkan penyalahgunaan kredensial untuk mendapatkan akses, yang dapat terjadi dalam beberapa bentuk.
"Kami belum mengidentifikasi kerentanan atau penyusupan produk Microsoft atau layanan cloud." kata Jones.
Penggunaan pengecer Microsoft untuk mencoba masuk ke perusahaan pertahanan digital teratas menimbulkan pertanyaan baru tentang berapa banyak jalan yang dimiliki para peretas, yang diduga pejabat AS beroperasi atas nama pemerintah Rusia.
Korban yang diketahui sejauh ini termasuk saingan keamanan CrowdStrike FireEye Inc dan Departemen Pertahanan, Negara, Perdagangan, Keuangan, dan Keamanan Dalam Negeri AS.
Perusahaan besar lainnya, termasuk Microsoft dan Cisco Systems Inc, mengatakan mereka menemukan perangkat lunak SolarWinds yang tercemar secara internal. Namun, mereka menemukan tanda-tanda bahwa peretas menggunakannya untuk menjangkau secara luas di jaringan mereka.
Hingga saat ini, SolarWinds yang berbasis di Texas adalah satu-satunya saluran yang dikonfirmasi secara publik sebagai pembobolan awal, meskipun para pejabat telah memperingatkan selama berhari-hari bahwa peretas memiliki cara lain.
Reuters melaporkan seminggu yang lalu bahwa produk Microsoft digunakan dalam serangan. Microsoft kemudian mengisyaratkan bahwa pelanggannya harus tetap waspada. Microsoft mengharuskan vendornya memiliki akses ke sistem klien untuk menginstal produk dan mengizinkan pengguna baru.
Namun, menemukan vendor mana yang masih memiliki hak akses pada waktu tertentu sangatlah sulit. Alhasil, CrowdStrike mengembangkan dan merilis alat audit untuk melakukannya.
Pada Kamis (24/12), SolarWinds merilis pembaruan untuk memperbaiki kerentanan dalam perangkat lunak manajemen jaringan andalannya, Orion, setelah penemuan kelompok peretas kedua yang menargetkan produk perusahaan.
Ini diikuti oleh posting blog Microsoft yang terpisah pada hari Jumat (25/12) yang mengatakan bahwa SolarWinds memiliki perangkat lunaknya yang ditargetkan oleh kelompok peretas kedua dan tidak terkait selain yang terkait dengan Rusia.
Identitas kelompok peretas kedua, atau sejauh mana mereka mungkin berhasil membobol di mana saja, tetap tidak jelas. Rusia membantah memiliki peran dalam peretasan tersebut.
Ikuti Whatsapp Channel Republika
