Atlantic.Net menyediakan pesan nasihat keamanan ini sebagai item berita; kami ingin meyakinkan pelanggan kami bahwa Atlantic.Net tidak menggunakan produk SolarWinds apa pun secara internal atau sebagai bagian dari penawaran layanan kami.
Pada tanggal 13 Desember 2020, muncul berita dari organisasi keamanan siber FireEye mengenai pelanggaran keamanan besar di SolarWinds Corporation. SolarWinds adalah raksasa teknologi yang berbasis di Texas yang telah menjadi pemain dominan dalam pemantauan server dan manajemen jaringan dengan lini produk perangkat lunak Orion. Ini melayani 300.000 pelanggan di seluruh dunia dan dipercaya oleh beberapa organisasi terkemuka dan lembaga pemerintah.
Pakar keamanan siber percaya bahwa serangan siber yang canggih, kemungkinan Rusia, yang disponsori negara telah melanggar infrastruktur SolarWinds dan berdampak pada banyak pelanggan perusahaan. Para ahli percaya bahwa SolarWinds telah dibobol pada musim semi 2020, tetapi dasar untuk serangan itu mungkin telah dimulai jauh lebih awal.
Perusahaan global seperti VMware, Intel, Microsoft, dan Cisco dilaporkan terkena dampak serangan tersebut, serta kelima cabang militer AS, administrasi keamanan nuklir nasional, Pentagon, Departemen Luar Negeri, dan Kantor Presiden Amerika Serikat.
Peretasan itu sangat canggih. Peretas dapat memperoleh akses ke sistem internal SolarWinds dan mengkompromikan pembaruan perangkat lunak Orion resmi mereka dengan “ditrojan” pembaruan perangkat lunak jahat. Ini memungkinkan peretas untuk menyamarkan pembaruan yang disusupi sebagai pembaruan Orion yang sah dan disetujui SolarWinds. Diyakini bahwa hingga 18.000 pelanggan SolarWinds mengunduh malware tersebut. Tidak dapat disangkal, ini adalah penyimpangan keamanan yang sangat besar, luar biasa, dan cukup mengejutkan yang terjadi di sebuah perusahaan senilai sekitar $5 miliar.
FireEye, perusahaan keamanan siber yang pertama kali mengidentifikasi pelanggaran tersebut, mengatakan peretasan itu memberi para penyusup “kemampuan untuk mentransfer file, mengeksekusi file, membuat profil sistem, mem-boot ulang mesin, dan menonaktifkan layanan sistem. Malware tersebut menyamarkan lalu lintas jaringannya sebagai protokol Orion Improvement Program (OIP) dan menyimpan hasil pengintaian dalam file konfigurasi plugin yang sah, memungkinkannya untuk berbaur dengan aktivitas SolarWinds yang sah.”
Setelah diinstal oleh para korban, para peretas menggunakan bagian dari kerangka perangkat lunak Orion, khususnya kerentanan HTTP API dalam file bernama SolarWinds.Orion.Core.BusinessLayer.dll. Eksploitasi memungkinkan mereka untuk mengeksekusi 'pekerjaan' jarak jauh di server mana pun yang disusupi dan melintasi jaringan korban menggunakan hak istimewa "mode dewa" untuk mengkompromikan server yang terhubung dan melakukan pencurian data.
Symantec dan Palo Alto Networks melaporkan bahwa muatan sekunder yang dikenal sebagai Teardrop dan Supernova dikerahkan untuk melawan “target yang diinginkan”. Teardrop menyematkan malware Cobalt Strike Beacon yang mencoba mencuri kredensial, meretas Active Directory, dan melakukan pencurian data.
Karena berita ini baru muncul baru-baru ini, skala dampaknya belum sepenuhnya diketahui, tetapi banyak bisnis menguatkan diri saat mereka menyelidiki dampak pelanggaran data. Sampai saat ini, tidak ada yang tahu persis data apa yang telah dicuri, meskipun pemerintah mungkin memiliki beberapa ide. Ini mungkin dianggap sebagai serangan siber terburuk dalam sejarah ketika cakupan sebenarnya dari pelanggaran ini dan dampaknya dipahami.
Apa yang membuat serangan ini begitu berbahaya adalah vektor serangan yang digunakan:rantai pasokan SolarWinds. SolarWinds bukanlah target akhir, tetapi mereka sangat tertanam dan dipercaya oleh entitas pemerintah dan organisasi terkenal. Jenis serangan ini dikenal sebagai Advanced Persistent Threat (APT) dan metode serangannya tidak lebih dari trojan horse; secara khusus, ini dikenal sebagai Remote Access Trojan (RAT) karena menargetkan data pengguna dan rahasia perusahaan.
Tindakan yang Disarankan
SolarWinds telah mengidentifikasi pembaruan Orion yang terinfeksi dan menerbitkan informasi tentangnya di sini. Pengguna perlu memeriksa apakah Platform Orion versi 2019.4 HF5 yang diperbarui telah diinstal antara bulan Maret dan Juni 2020. Mereka menyarankan agar semua pengguna Orion memperbarui ke Platform Orion versi 2020.2.1 Hot Fix 2.
Pengguna harus memeriksa jaringan mereka untuk bukti telah disusupi. Pindai dua pengidentifikasi utama:penggunaan malware dalam memori Teardrop untuk menjatuhkan Cobalt Strike Beacon dan untuk nama host organisasi Anda. Jika dilanggar, nama host dapat mengungkap alamat IP berbahaya yang digunakan oleh penyerang.
Atlantic.Net juga menawarkan saran lebih lanjut tentang praktik terbaik keamanan siber:pastikan Anda menggunakan beberapa bentuk pengelola kata sandi lokal. Jika Anda belum melakukannya, gunakan beberapa bentuk otentikasi multi-faktor, segera pasang di seluruh jaringan Anda. Ada berbagai pilihan yang tersedia termasuk versi berlisensi berbayar atau open source. Jangan pernah menggunakan sandi yang sama di seluruh organisasi Anda, terapkan kebijakan sandi yang ketat, dan terapkan strategi sandi yang rumit.
Satu teori yang beredar tentang bagaimana peretas mengelola kompromi awal menyatakan bahwa mereka mencapai akses dengan menggunakan nama pengguna dan kata sandi internal untuk SolarWinds yang ditemukan tertanam ke dalam repositori kode GitHub publik. Teori kata sandi “Solarwinds123” mungkin memiliki beberapa kelebihan dan, jika benar, menunjukkan praktik keamanan buruk yang mengakar di dalam SolarWinds.
Kami tidak dapat memprediksi dampak dari pelanggaran ini, tetapi kemungkinan akan memiliki konsekuensi global yang serius. Insiden ini kemungkinan akan memaksa organisasi AS untuk melakukan audit langsung terhadap lingkungan jaringan mereka. SolarWinds pasti akan kehilangan banyak pelanggan dari pelanggaran profil tinggi ini dan dapat mengharapkan denda peraturan yang besar. Mereka bahkan mungkin terkena denda karena melanggar GDPR, karena banyak pelanggan SolarWinds berada di Uni Eropa.
Kami mengharapkan pemerintah AS untuk mengubah protokol keamanan siber setelah serangan ini, terutama jika itu ternyata merupakan serangan yang disponsori negara oleh Rusia. Pemerintah AS telah memiliki platform keamanan siber yang dirancang untuk menggagalkan serangan semacam ini yang dikenal sebagai EINSTEIN 3. Tampaknya sistem ini sama sekali tidak menyadari serangan ini.
Jika bisnis Anda mengkhawatirkan keamanan siber, silakan hubungi Atlantic.Net. Kami adalah spesialis dalam Layanan Terkelola, Hosting Cloud, dan Kepatuhan HIPAA. Keamanan infrastruktur kami sangat penting, dan kami bekerja keras untuk memastikan kami memiliki proses keamanan terbaik. Serangan siber ini akan tercatat dalam sejarah sebagai salah satu yang terburuk yang pernah ada, kami merasa prihatin dengan teman-teman kami di industri yang mungkin terpengaruh oleh ini. Klien SolarWinds tidak melakukan kesalahan apa pun; mereka membeli rangkaian manajemen server terkemuka di industri dari bisnis yang bereputasi baik, dan sekarang, karena ketidakmampuan keamanan yang tidak diketahui, setiap pelanggan telah dipertaruhkan bukan karena kesalahan mereka sendiri. Hubungi sekarang.