Peretas Menggunakan Dominasi SolarWinds Melawannya dalam Kampanye Mata-mata yang Luas

0
631

Pada panggilan pendapatan dua bulan lalu, Kepala Eksekutif SolarWinds Kevin Thompson menggembar-gemborkan seberapa jauh perusahaan telah berkembang selama 11 tahun memimpin.

Tidak ada basis data atau model penerapan TI di luar sana yang tidak disediakan oleh perusahaannya yang berbasis di Austin, Texas, tingkat pemantauan atau manajemen, katanya kepada para analis pada panggilan 27 Oktober.

“Kami tidak berpikir ada orang lain di pasar yang benar-benar dekat dalam hal luasnya cakupan yang kami miliki,” katanya. “Kami mengelola perlengkapan jaringan semua orang.”

Sekarang dominasi itu telah menjadi kewajiban – contoh bagaimana perangkat lunak pekerja keras yang membantu merekatkan organisasi dapat berubah menjadi racun ketika ditumbangkan oleh peretas yang canggih.

Pada hari Senin, SolarWinds mengonfirmasi bahwa Orion – perangkat lunak manajemen jaringan andalannya – telah berfungsi sebagai saluran tanpa disadari untuk operasi spionase dunia maya internasional yang luas. Para peretas memasukkan kode berbahaya ke dalam pembaruan perangkat lunak Orion yang didorong ke hampir 18.000 pelanggan.

Dan sementara jumlah organisasi yang terpengaruh dianggap jauh lebih sederhana, para peretas telah membatasi akses mereka ke pelanggaran konsekuensial di Departemen Keuangan dan Departemen Perdagangan AS.

Tiga orang yang mengetahui penyelidikan mengatakan kepada Reuters bahwa Rusia adalah tersangka utama, meskipun orang lain yang mengetahui penyelidikan mengatakan masih terlalu dini untuk memberi tahu.

Perwakilan SolarWinds, Ryan Toohey, mengatakan dia tidak akan meminta komentar dari para eksekutif. Dia tidak memberikan jawaban yang direkam untuk pertanyaan yang dikirim melalui email.

Dalam pernyataan yang dikeluarkan hari Minggu, perusahaan mengatakan, “kami berusaha untuk menerapkan dan memelihara pengamanan administratif, fisik, dan teknis, proses keamanan, prosedur, dan standar yang dirancang untuk melindungi pelanggan kami.”

Pakar keamanan siber masih berjuang untuk memahami cakupan kerusakan.

Mengirimkan pembaruan berbahaya dari Maret hingga Juni, ketika Amerika berjongkok untuk menghadapi gelombang pertama infeksi virus korona, adalah “waktu yang tepat untuk badai yang sempurna,” kata Kim Peretti, yang ikut memimpin firma hukum Alston & Bird’s cybersecurity yang berbasis di Atlanta. kesiapan dan tim respon.

Menilai kerusakan akan sulit, katanya.

“Kami mungkin tidak tahu dampak sebenarnya selama berbulan-bulan, jika tidak lebih – jika tidak pernah,” katanya.

Dampak pada SolarWinds lebih cepat. Pejabat AS memerintahkan siapa pun yang menjalankan Orion untuk segera memutuskannya. Saham perusahaan telah jatuh lebih dari 23% dari $ 23,50 pada hari Jumat – sebelum Reuters menyampaikan berita pelanggaran tersebut – menjadi $ 18,06 pada hari Selasa.

Keamanan SolarWinds, sementara itu, telah berada di bawah pengawasan baru.

Dalam satu masalah yang sebelumnya tidak dilaporkan, banyak penjahat telah menawarkan untuk menjual akses ke komputer SolarWinds melalui forum bawah tanah, menurut dua peneliti yang secara terpisah memiliki akses ke forum tersebut.

Salah satu dari mereka yang menawarkan akses yang diklaim melalui forum Eksploitasi pada tahun 2017 dikenal sebagai “fxmsp” dan diinginkan oleh FBI “karena terlibat dalam beberapa insiden penting,” kata Mark Arena, kepala eksekutif perusahaan intelijen kejahatan dunia maya Intel471. Arena memberi tahu klien perusahaannya, yang meliputi lembaga penegak hukum AS.

Peneliti keamanan Vinoth Kumar mengatakan kepada Reuters bahwa, tahun lalu, dia memberi tahu perusahaan bahwa siapa pun dapat mengakses server pembaruan SolarWinds dengan menggunakan kata sandi “solarwinds123.”

“Ini bisa dilakukan oleh penyerang mana pun, dengan mudah,” kata Kumar.

Baik kata sandi maupun akses yang dicuri dianggap sebagai sumber yang paling mungkin dari gangguan saat ini, kata para peneliti.

Yang lainnya – termasuk Kyle Hanslovan, salah satu pendiri perusahaan keamanan siber yang berbasis di Maryland, Huntress – memperhatikan bahwa, beberapa hari setelah SolarWinds menyadari bahwa perangkat lunak mereka telah disusupi, pembaruan berbahaya masih tersedia untuk diunduh.

Perusahaan tersebut telah lama memperdebatkan gagasan spin-off dari bisnis penyedia layanan terkelola dan pada 9 Desember mengumumkan bahwa Thompson akan digantikan oleh Sudhakar Ramakrishna, mantan kepala eksekutif Pulse Secure. Tiga minggu lalu, SolarWinds memasang iklan pekerjaan mencari wakil presiden baru untuk keamanan; posisinya masih terdaftar sebagai terbuka.

Thompson dan Ramakrishna tidak dapat dihubungi untuk dimintai komentar.