Microsoft Mengatakan Peretas SolarWinds Melihat Kode Sumber, Tetapi Pertahanannya Menggagalkan Akses Lebih Lanjut

Akun terlarang yang terkait dengan peretasan SolarWinds yang meluas digunakan untuk melihat beberapa kode sumber internal Microsoft, perusahaan mengungkapkan Kamis pagi.

Microsoft mengatakan penyelidikannya menemukan bahwa akun tersebut tidak dapat mengubah kode atau sistem rekayasa apa pun. Perusahaan juga menegaskan kembali bahwa mereka belum menemukan bukti bahwa peretas mengakses layanan langsung atau data pelanggan, atau menggunakan sistem Microsoft untuk menyerang orang lain.

Namun pengungkapan tersebut menggambarkan bahwa implikasi dari insiden tersebut masih terungkap, lebih dari dua minggu setelah serangan dunia maya yang belum pernah terjadi sebelumnya mulai menjadi berita utama.

"Aktivitas ini tidak membahayakan keamanan layanan kami atau data pelanggan apa pun, tetapi kami ingin transparan dan membagikan apa yang kami pelajari saat kami memerangi apa yang kami yakini sebagai negara-bangsa yang sangat canggih aktor," kata perusahaan dalam postingannya di blog Pusat Respons Keamanan Microsoft .

"Kami mendeteksi aktivitas tidak biasa dengan sejumlah kecil akun internal dan setelah meninjau, kami menemukan satu akun telah digunakan untuk melihat kode sumber di sejumlah repositori kode sumber," kata postingan itu. "Akun tersebut tidak memiliki izin untuk mengubah kode atau sistem rekayasa apa pun dan penyelidikan kami lebih lanjut mengonfirmasi tidak ada perubahan yang dibuat. Akun ini telah diselidiki dan diperbaiki."

Serangan canggih tersebut diyakini sebagai hasil kerja kelompok peretas Rusia yang sama yang bertanggung jawab atas serangan tahun 2016 terhadap Komite Nasional Demokrat.

Peretas dapat menyusup ke sistem komputer bisnis dan pemerintah dengan memasukkan perangkat lunak perusak ke dalam pembaruan perangkat lunak secara tidak sah untuk produk manajemen infrastruktur TI yang banyak digunakan, Solarwinds Orion Platform. SolarWinds, yang berbasis di Austin, Texas, mengatakan sekitar 18.000 pelanggan mungkin telah memasang perangkat lunak yang disusupi.

Instansi utama pemerintah AS termasuk di antara yang terkena dampak. Badan Keamanan Siber dan Infrastruktur AS mengatakan sebelumnya bahwa serangan tersebut menimbulkan "risiko besar bagi Pemerintah Federal dan pemerintah negara bagian, lokal, suku, dan teritorial, serta entitas infrastruktur penting dan swasta lainnya organisasi sektor."

Dalam postingnya hari Kamis, Microsoft mengatakan praktik internalnya dimulai dengan asumsi bahwa peretas akan mendapatkan akses saat terjadi pelanggaran, dan bekerja untuk mencegah penyusupan atau kerusakan lebih lanjut. Dalam kasus ini, perusahaan mengatakan, "Kami telah menemukan bukti upaya kegiatan yang digagalkan oleh perlindungan kami, jadi kami ingin mengulangi nilai praktik terbaik industri seperti diuraikan di sini , dan menerapkan Stasiun Kerja Akses Istimewa (PAW) sebagai bagian dari strategi untuk melindungi akun dengan hak istimewa."

Microsoft secara terpisah melakukan serangkaian langkah agresif untuk menghalangi serangan, mengambil langkah untuk melindungi Windows dari peretasan, sambil menguasai domain utama yang digunakan dalam serangan tersebut. Namun, serangan itu diyakini terjadi secara diam-diam sejak Maret lalu. Pakar keamanan dan pejabat pemerintah mengatakan bahwa cakupan keseluruhan dari dampaknya masih belum jelas.

SolarWinds adalah pelanggan Microsoft Office 365, dan mengatakan dalam pengajuan peraturan 14 Desember bahwa mereka "telah mengetahui vektor serangan yang digunakan untuk menyusupi email Perusahaan dan mungkin telah memberikan akses ke data lain yang terdapat dalam alat produktivitas kantor Perusahaan." SolarWinds mengatakan sedang bekerja dengan Microsoft untuk menyelidiki apakah serangan ini terkait dengan serangan pada sistem pembuatan perangkat lunak Orion.

Analisis sebelumnya untuk GeekWire oleh Christopher Budd, pakar keamanan yang sebelumnya bekerja di Pusat Respons Keamanan Microsoft, menemukan bahwa penyerang SolarWinds "telah menargetkan sistem autentikasi pada perangkat yang disusupi jaringan sehingga mereka dapat masuk ke layanan berbasis awan seperti Microsoft Office 365 tanpa membunyikan alarm."

Berdasarkan informasi yang diungkapkan Kamis oleh Microsoft, insiden di perusahaan telah bergeser ke Skala peretasan Budd s "tahap II," di mana penyerang "telah pindah ke jaringan yang lebih luas dan berada dalam ‘ hanya-baca mode, artinya mereka dapat membaca dan mencuri data tetapi tidak dapat mengubahnya."