Dijelaskan: Bagaimana serangan siber SolarWinds telah melanda Microsoft

Microsoft belum mengesahkan kod sumber yang diakses oleh penggodam. Walau bagaimanapun, hakikat bahawa penggodam masuk dengan begitu mendalam agak membimbangkan, memandangkan kod sumber adalah penting untuk cara mana-mana perisian berfungsi.

Sasaran serangan siber itu ialah Orion, sebuah perisian yang dibekalkan oleh syarikat SolarWinds. (Foto Reuters)

Sebagai sebahagian daripada siasatan berterusannya dalam serangan siber SolarWinds, Microsoft telah mendedahkan bahawa kod sumber dalamannya berkemungkinan diakses oleh penyerang. Syarikat itu sebelum ini mengesahkan bahawa ia juga telah terjejas adalah apa yang dilihat sebagai salah satu serangan siber terbesar di dunia, yang menyasarkan kerajaan Amerika Syarikat (AS) dan beberapa organisasi swasta lain. Serangan siber SolarWinds pertama kali didedahkan pada bulan Disember oleh firma keselamatan siber FireEye.

Kami melihat apa yang telah didedahkan oleh penyiasatan terbaharu Microsoft, dan maksudnya.

Apakah yang telah didedahkan oleh Microsoft dalam penyiasatan baharunya?

Menurut catatan blog rasmi oleh syarikat itu, pasukan penyelidikan keselamatan dalaman Microsoft telah menemui bukti bahawa penyerang mengakses beberapa kod sumber dalaman dalam sistem syarikat. 'Insiden Solorigate' seperti yang diistilahkan oleh Microsoft dalam blog, menunjukkan terdapat percubaan aktiviti melangkaui kehadiran kod SolarWinds yang berniat jahat dalam persekitaran kita.

Kami mengesan aktiviti luar biasa dengan sejumlah kecil akaun dalaman dan setelah disemak, kami mendapati satu akaun telah digunakan untuk melihat kod sumber dalam beberapa repositori kod sumber. Menurut siaran itu, akaun itu tidak mempunyai kebenaran yang diperlukan untuk mengakses kod, mengubah suainya, dan juga tidak dibenarkan untuk mengakses sistem kejuruteraan.

Syarikat itu berkata setakat ini siasatan mengesahkan tiada perubahan dibuat pada kod sumber ini. Akaun-akaun ini telah disiasat dan dipulihkan, tambah syarikat itu.

Apakah maksud ini?

Microsoft belum mengesahkan kod sumber yang diakses oleh penggodam. Walau bagaimanapun, hakikat bahawa penggodam masuk dengan begitu mendalam agak membimbangkan, memandangkan kod sumber adalah penting untuk cara mana-mana perisian berfungsi. Kod sumber ialah kunci kepada cara produk perisian dibina dan jika dikompromi boleh membiarkannya terbuka kepada risiko baharu yang tidak diketahui. Penggodam boleh menggunakan maklumat ini untuk mengeksploitasi sebarang potensi kelemahan dalam program.

Microsoft berkata aktiviti ini tidak membahayakan keselamatan perkhidmatan kami atau mana-mana data pelanggan, tetapi menambah mereka percaya serangan ini dilakukan oleh pelakon negara bangsa yang sangat canggih. Syarikat itu mengatakan bahawa tiada bukti bahawa sistemnya digunakan untuk menyerang orang lain.

Apa lagi yang telah didedahkan oleh Microsoft?

Microsoft berkata mereka bergantung pada amalan terbaik pembangunan perisian sumber terbuka dan budaya seperti sumber terbuka untuk pembangunan perisian. Biasanya, kod sumber boleh dilihat oleh pasukan dalam Microsoft, menurut blog itu. Syarikat itu juga menyatakan bahawa model ancamannya menganggap bahawa penyerang mempunyai pengetahuan tentang kod sumber. Microsoft meremehkan risiko dengan mengatakan hanya melihat kod sumber tidak boleh menyebabkan sebarang risiko baru yang meningkat.

Microsoft mengatakan ia mempunyai banyak perlindungan pertahanan untuk menghentikan penyerang jika dan apabila mereka mendapat akses. Ia mengatakan terdapat bukti bahawa aktiviti penggodam telah digagalkan oleh perlindungan sedia ada syarikat.

Gergasi teknologi itu berkata ia akan menyediakan kemas kini tambahan jika ia mendapat maklumat baharu.

Apa lagi yang telah didedahkan dalam penggodaman SolarWinds ini?

Masalah dengan serangan siber ini ialah ia telah berlaku sekian lama sehingga skala penuh masih tidak diketahui. Malah, serangan itu mungkin bermula lebih awal daripada musim bunga lalu seperti yang dipercayai sebelum ini. Senator Demokrat Mark Warner dari Virginia, yang berkhidmat sebagai Naib Pengerusi Jawatankuasa Perisikan Senat, memberitahu Reuters dalam temu bual bahawa serangan itu mungkin bermula lebih awal. Beliau juga berkata bahawa pada masa ini kerajaan AS tidak mempunyai bukti kukuh bahawa rahsia rahsia kerajaan telah dikompromi oleh penggodam, menurut laporan Reuters.

Skala besar serangan juga masih tidak diketahui, menurut kebanyakan laporan. Sementara itu, FireEye, yang menemui serangan itu, telah mendedahkan butiran baharu tentang perisian hasad Sunburst. Malware itu mengeksploitasi perisian SolarWinds Orion, yang digunakan oleh beribu-ribu syarikat, termasuk beberapa agensi kerajaan AS.

Menurut FireEye, Sunburst — versi jahat pemalam SolarWinds Orion yang ditandatangani secara digital– mengandungi pintu belakang yang berkomunikasi melalui HTTP ke pelayan pihak ketiga. Nampaknya pemalam kekal dalam tempoh tidak aktif sehingga dua minggu, selepas itu ia mula melaksanakan arahan dan menjalankan tugas seperti pemindahan fail, melaksanakan fail, memprofilkan sistem, but semula sistem dan melumpuhkan perkhidmatan sistem.

Nampaknya juga perisian hasad melakukan banyak pemeriksaan untuk memastikan tiada alat analisis hadir, menurut FireEye. Pendekatan berhati-hati inilah yang membantu perisian hasad mengelak pengesanan oleh perisian anti-virus dan penyiasat forensik selama tujuh bulan selepas pengenalannya kepada rantaian bekalan SolarWinds Orion, menurut firma keselamatan siber itu.

Kongsi Dengan Rakan Anda: