Diterangkan: Serangan siber besar-besaran di AS, menggunakan set alat baru

Salah satu serangan siber terbesar yang menyasarkan agensi kerajaan AS dan syarikat swasta, 'godam SolarWinds' dilihat sebagai usaha global yang berkemungkinan. Bagaimanakah ia dijalankan, dan apakah jenis data yang telah dikompromi? Mengapakah pegawai kerajaan AS dan ahli politik menamakan Rusia?

Sasaran serangan siber itu ialah Orion, sebuah perisian yang dibekalkan oleh syarikat SolarWinds. (Foto Reuters)

'SolarWinds hack', serangan siber yang baru ditemui di Amerika Syarikat, telah muncul sebagai salah satu yang terbesar pernah disasarkan terhadap kerajaan AS, agensinya dan beberapa syarikat swasta lain. Malah, ia berkemungkinan serangan siber global.

Ia pertama kali ditemui oleh syarikat keselamatan siber AS FireEye, dan sejak itu lebih banyak perkembangan terus terbongkar setiap hari. Skala besar serangan siber masih tidak diketahui, walaupun Perbendaharaan AS, Jabatan Keselamatan Dalam Negeri, Jabatan Perdagangan, bahagian Pentagon semuanya dipercayai telah terjejas.

Dalam sebuah sekeping pendapat ditulis untuk The New York Times , Thomas P Bosssert, yang merupakan Penasihat Keselamatan Dalam Negeri untuk Presiden Donald Trump, telah menamakan Rusia untuk serangan itu. Dia menulis bukti dalam serangan SolarWinds menunjuk kepada agensi perisikan Rusia yang dikenali sebagai SVR, yang kraf dagangannya adalah antara yang paling maju di dunia. Kremlin telah menafikan penglibatannya.

Jadi, apakah 'godam SolarWinds' ini?

Berita mengenai serangan siber secara teknikal mula-mula tersebar pada 8 Disember, apabila FireEye mengeluarkan blog yang mengesan serangan ke atas sistemnya. Firma itu membantu dengan pengurusan keselamatan beberapa syarikat swasta besar dan agensi kerajaan persekutuan.

Ketua Pegawai Eksekutif FireEye Kevin Mandia menulis dalam catatan blog mengatakan bahawa syarikat itu diserang oleh pelakon ancaman yang sangat canggih, memanggilnya serangan yang ditaja kerajaan, walaupun ia tidak menamakan Rusia. Ia berkata serangan itu dilakukan oleh negara yang mempunyai keupayaan serangan peringkat atasan, dan penyerang terutamanya mencari maklumat berkaitan pelanggan kerajaan tertentu. Ia juga berkata kaedah yang digunakan oleh penyerang adalah baru.

Kemudian pada 13 Disember FireEye berkata serangan siber, yang dinamakannya Kempen UNC2452, tidak terhad kepada syarikat tetapi telah menyasarkan pelbagai organisasi awam dan swasta di seluruh dunia. Kempen itu mungkin bermula pada Mac 2020 dan telah berlangsung selama berbulan-bulan, kata siaran itu. Lebih buruk lagi, tahap data yang dicuri atau dikompromi masih tidak diketahui, memandangkan skala serangan masih ditemui. Selepas sistem dikompromi, pergerakan sisi dan kecurian data berlaku.

Bagaimanakah begitu banyak agensi dan syarikat kerajaan AS diserang?

Ini dipanggil serangan 'Rantaian Bekalan': Daripada menyerang kerajaan persekutuan atau rangkaian organisasi swasta secara langsung, penggodam menyasarkan vendor pihak ketiga, yang membekalkan perisian kepada mereka. Dalam kes ini, sasarannya ialah perisian pengurusan IT yang dipanggil Orion, yang dibekalkan oleh syarikat SolarWinds yang berpangkalan di Texas.

Orion telah menjadi perisian yang dominan daripada SolarWinds dengan pelanggan, yang merangkumi lebih 33,000 syarikat. SolarWinds berkata 18,000 pelanggannya telah terjejas. Secara kebetulan, syarikat itu telah memadamkan senarai pelanggan daripada laman web rasminya.

Menurut halaman itu, yang juga telah digosok daripada Arkib Web Google, senarai itu termasuk 425 syarikat dalam Fortune 500, 10 pengendali telekomunikasi teratas di AS. Laporan New York Times mengatakan bahagian Pentagon, Pusat Kawalan dan Pencegahan Penyakit, Jabatan Negara, Jabatan Kehakiman, dan lain-lain, semuanya terjejas.

Microsoft mengesahkan ia telah menemui bukti perisian hasad pada sistem mereka, walaupun ia menambah tiada bukti akses kepada perkhidmatan pengeluaran atau data pelanggan, atau sistemnya digunakan untuk menyerang orang lain. Presiden Microsoft Brad Smith berkata bahawa syarikat itu telah mula memberitahu lebih daripada 40 pelanggan bahawa penyerang menyasarkan dengan lebih tepat dan terjejas.

Laporan Reuters mengatakan bahawa walaupun e-mel yang dihantar oleh pegawai Jabatan Keselamatan Dalam Negeri dipantau oleh penggodam.

Bagaimanakah mereka mendapat akses?

Menurut FireEye, penggodam mendapat akses kepada mangsa melalui kemas kini trojan kepada perisian pemantauan dan pengurusan IT Orion SolarWinds. Pada asasnya, kemas kini perisian telah dieksploitasi untuk memasang perisian hasad 'Sunburst' ke dalam Orion, yang kemudiannya dipasang oleh lebih 17,000 pelanggan.

FireEye berkata penyerang bergantung pada pelbagai teknik untuk mengelak daripada dikesan dan mengaburkan aktiviti mereka. Malware itu mampu mengakses fail sistem. Apa yang memihak kepada perisian hasad adalah ia dapat digabungkan dengan aktiviti SolarWinds yang sah, menurut FireEye.

Setelah dipasang, perisian hasad itu memberikan kemasukan pintu belakang kepada penggodam ke sistem dan rangkaian pelanggan SolarWinds. Lebih penting lagi, perisian hasad itu juga dapat menggagalkan alat seperti anti-virus yang boleh mengesannya.

Di manakah Rusia masuk?

Dalam artikel pendapat NYTnya, Bosssert menamakan Rusia dan agensinya SVR, yang mempunyai keupayaan untuk melaksanakan serangan dengan kepintaran dan skala sedemikian.

Microsoft mencatatkan dalam blognya bahawa aspek serangan ini mewujudkan kerentanan rantaian bekalan yang hampir berkepentingan global, menjangkau banyak ibu negara utama di luar Rusia. Ia seterusnya menambah bahawa serangan canggih dari Rusia telah menjadi perkara biasa.

FireEye, bagaimanapun, belum menamakan Rusia sebagai bertanggungjawab dan berkata ia adalah siasatan berterusan dengan FBI, Microsoft dan rakan kongsi utama lain yang tidak dinamakan.

Apakah yang dikatakan oleh SolarWinds dan kerajaan AS mengenai penggodaman itu?

Pada masa ini, SolarWinds mengesyorkan agar semua pelanggan mengemas kini platform Orion sedia ada dengan segera, yang mempunyai tampung untuk perisian hasad ini. Jika aktiviti penyerang ditemui dalam persekitaran, kami mengesyorkan anda menjalankan penyiasatan komprehensif dan mereka bentuk serta melaksanakan strategi pemulihan yang didorong oleh penemuan penyiasatan dan butiran persekitaran yang terjejas, katanya.

Mereka yang tidak dapat mengemas kini diberitahu untuk mengasingkan pelayan SolarWinds dan ia harus termasuk menyekat semua jalan keluar Internet daripada pelayan SolarWinds. Cadangan minimum ialah menukar kata laluan untuk akaun yang mempunyai akses kepada pelayan / infrastruktur SolarWinds.

Agensi Keselamatan Siber dan Infrastruktur (CISA) AS telah mengeluarkan Arahan Kecemasan 21-01, meminta semua agensi awam persekutuan menyemak rangkaian mereka untuk petunjuk kompromi. Ia telah meminta mereka untuk memutuskan sambungan atau mematikan produk SolarWinds Orion dengan segera.

FBI, CISA dan pejabat Pengarah Perisikan Kebangsaan mengeluarkan kenyataan bersama, dan mengumumkan apa yang dipanggil 'Kumpulan Penyelarasan Bersatu Siber (UCG) untuk menyelaraskan tindak balas kerajaan terhadap krisis. Kenyataan itu menyebut ini sebagai kempen keselamatan siber yang penting dan berterusan.

Rumah Putih dan Presiden Donald Trump berdiam diri. Senator Mitt Romney telah merumuskan yang terbaik dalam ulasannya kepada wartawan Olivier Knox dari radio SiriusXM, di mana dia membandingkan serangan ini dengan setara dengan pengebom Rusia yang terbang tanpa dikesan di seluruh negara yang mendedahkan kelemahan perang siber AS. Dia berkata bahawa diam dan tidak bertindak dari Rumah Putih tidak boleh dimaafkan.

Senator Richard Blumenthal, seorang Demokrat, menulis tweet: Serangan siber Rusia membuatkan saya sangat cemas, malah benar-benar takut.

Presiden terpilih Joe Biden berkata dalam satu kenyataan: Pertahanan yang baik tidak mencukupi; Kita perlu mengganggu dan menghalang musuh kita daripada melakukan serangan siber yang ketara pada mulanya.

Kongsi Dengan Rakan Anda: