WASHINGTON (BLOOMBERG) – Ketika FireEye menemukan bahwa itu diretas bulan ini, penyelidik perusahaan cybersecurity segera mulai mencoba mencari tahu bagaimana penyerang melewati pertahanannya.
Bukan hanya FireEye yang diserang, mereka dengan cepat mengetahuinya. Penyelidik menemukan kerentanan dalam produk yang dibuat oleh salah satu penyedia perangkat lunaknya, SolarWinds Corp yang berbasis di Texas.
“Kami melihat melalui 50.000 baris kode sumber, yang dapat kami tentukan ada pintu belakang di dalam SolarWinds,” kata Charles Carmakal, wakil presiden senior dan chief technical officer di Mandiant, lengan respons insiden FireEye.
Setelah menemukan pintu belakang, FireEye menghubungi SolarWinds dan penegak hukum, kata Carmakal.
Peretas, yang dicurigai sebagai bagian dari kelompok elit Rusia, mengambil keuntungan dari kerentanan untuk menanamkan malware, yang kemudian menemukan jalannya ke sistem pelanggan SolarWinds ketika mereka memperbarui perangkat lunak mereka.
Sejauh ini, lebih dari 25 entitas telah menjadi korban serangan itu, menurut orang-orang yang akrab dengan penyelidikan. Tapi SolarWinds mengatakan sebanyak 18.000 entitas mungkin telah men-download Trojan berbahaya.
Ada tanda-tanda di Washington pada Selasa sore bahwa bom tambahan tentang peretasan mungkin akan datang.
Penasihat Keamanan Nasional Robert O’Brien mempersingkat perjalanan ke Timur Tengah dan Eropa untuk menangani peretasan lembaga pemerintah AS. Dan Senator Richard Blumenthal, Demokrat dari Connecticut, mengatakan briefing rahasia tentang “serangan cyber Rusia membuat saya sangat khawatir, bahkan benar-benar takut.”
Para peretas yang menyerang FireEye mencuri alat sensitif yang digunakan perusahaan untuk menemukan kerentanan dalam jaringan komputer klien. Sementara peretasan pada FireEye memalukan bagi perusahaan keamanan siber, Carmakal berpendapat bahwa itu mungkin terbukti menjadi kesalahan penting bagi para peretas.
“Jika aktor ini tidak memukul FireEye, ada kemungkinan kampanye ini bisa berlangsung lebih lama,” kata Carmakal.
“Satu hikmahnya adalah kami belajar banyak tentang bagaimana aktor ancaman ini bekerja dan membagikannya dengan penegak hukum, komunitas intelijen, dan mitra keamanan kami.” Carmakal mengatakan tidak ada bukti alat peretasan FireEye yang dicuri digunakan untuk melawan lembaga pemerintah AS.
“Sayangnya akan ada lebih banyak korban yang harus melapor dalam beberapa minggu dan bulan mendatang,” katanya. Sementara beberapa orang mengaitkan serangan itu dengan kelompok Rusia yang disponsori negara yang dikenal sebagai APT 29, atau Cozy Bear, FireEye belum melihat bukti yang cukup untuk menyebutkan nama aktor tersebut, katanya. Seorang pejabat Kremlin membantah bahwa Rusia terlibat.
Investigasi FireEye mengungkapkan bahwa peretasan itu sendiri adalah bagian dari kampanye global oleh penyerang yang sangat canggih yang juga menargetkan “pemerintah, konsultasi, teknologi, telekomunikasi dan entitas ekstraktif di Amerika Utara, Eropa, Asia dan Timur Tengah,” kata perusahaan itu dalam sebuah posting blog Minggu malam.