Penggodam Rusia yang disyaki menggunakan vendor Microsoft untuk melanggar pelanggan
Penggodam Rusia yang disyaki menggunakan vendor Microsoft untuk melanggar pelanggan

Penggodam Rusia yang disyaki menggunakan vendor Microsoft untuk melanggar pelanggan

WASHINGTON (Reuters) – Para penggodam Rusia yang disyaki di sebalik serangan siber terburuk AS dalam beberapa tahun memanfaatkan akses penjual semula ke perkhidmatan Microsoft Corp untuk menembus sasaran yang tidak mempunyai perisian rangkaian yang dikompromikan dari SolarWinds Corp, kata penyiasat.

Walaupun kemas kini perisian SolarWinds Orion sebelumnya merupakan satu-satunya jalan masuk yang diketahui, syarikat keselamatan CrowdStrike Holdings Inc mengatakan bahawa penggodam pada hari Khamis telah mendapat akses kepada vendor yang menjualnya lesen Office dan menggunakannya untuk mencuba membaca e-mel CrowdStrike.

Ia tidak secara khusus mengenal pasti penggodam sebagai yang mengorbankan SolarWinds, tetapi dua orang yang biasa dengan penyelidikan CrowdStrike mengatakan mereka. CrowdStrike menggunakan program Office untuk pemprosesan kata tetapi bukan e-mel. Percubaan yang gagal, dibuat beberapa bulan yang lalu, ditunjukkan kepada CrowdStrike oleh Microsoft pada 15 Disember.

CrowdStrike, yang tidak menggunakan SolarWinds, mengatakan pihaknya tidak menemui kesan dari percubaan pencerobohan itu dan menolak untuk menamakan penjual semula.

“Mereka masuk melalui akses penjual semula dan berusaha mengizinkan hak ‘membaca’ surat,” kata salah seorang yang mengetahui siasatan itu kepada Reuters. “Jika sudah menggunakan Office 365 untuk e-mel, itu akan berakhir.”

Banyak lesen perisian Microsoft dijual melalui pihak ketiga, dan syarikat-syarikat tersebut dapat memiliki akses hampir terus-menerus ke sistem pelanggan ketika pelanggan menambahkan produk atau pekerja. Microsoft pada Khamis mengatakan bahawa pelanggan tersebut perlu waspada. “Penyiasatan kami terhadap serangan baru-baru ini telah menemui insiden yang melibatkan penyalahgunaan kredensial untuk mendapatkan akses, yang boleh datang dalam beberapa bentuk,” kata Pengarah Kanan Microsoft, Jeff Jones. “Kami belum mengenal pasti kelemahan atau kompromi produk Microsoft atau perkhidmatan cloud.”

Penggunaan penjual semula Microsoft untuk mencuba masuk ke dalam sebuah syarikat pertahanan digital teratas menimbulkan pertanyaan baru mengenai berapa banyak jalan yang digodam oleh para pegawai AS, yang menurut pegawai AS beroperasi atas nama kerajaan Rusia.

Mangsa yang diketahui setakat ini termasuk saingan keselamatan CrowdStrike FireEye Inc dan Jabatan Pertahanan, Negara, Perdagangan, Perbendaharaan, dan Keselamatan Dalam Negeri AS. Syarikat besar lain, termasuk Microsoft dan Cisco Systems Inc, mengatakan bahawa mereka mendapati perisian SolarWinds tercemar secara dalaman tetapi tidak menemui tanda-tanda bahawa penggodam menggunakannya untuk meluas di rangkaian mereka.

Hingga kini, SolarWinds yang berpusat di Texas adalah satu-satunya saluran yang disahkan secara terbuka untuk permulaan awal, walaupun para pegawai telah beberapa hari memperingatkan bahawa penggodam mempunyai cara lain.

Reuters melaporkan seminggu yang lalu bahawa produk Microsoft digunakan dalam serangan. Tetapi pegawai persekutuan mengatakan mereka tidak melihatnya sebagai vektor awal, dan syarikat gergasi perisian mengatakan bahawa sistemnya tidak digunakan dalam kempen tersebut. (https://www.reuters.com/article/idUSKBN28R2ZJ) Microsoft kemudian mengisyaratkan bahawa pelanggannya harus tetap berwaspada. Pada akhir catatan blog teknikal yang panjang pada hari Selasa, ia menggunakan satu kalimat untuk menyebutkan bahawa penggodam menjangkau Microsoft 365 Cloud “dari akaun vendor yang dipercayai di mana penyerang telah mengganggu persekitaran vendor.”

Microsoft menghendaki vendornya mempunyai akses ke sistem pelanggan untuk memasang produk dan membenarkan pengguna baru. Tetapi mengetahui vendor mana yang masih mempunyai hak akses pada waktu tertentu sangat sukar sehingga CrowdStrike mengembangkan dan mengeluarkan alat audit untuk melakukan itu. Selepas beberapa siri pelanggaran lain melalui penyedia awan, termasuk sejumlah besar serangan yang dikaitkan dengan penggodam yang disokong pemerintah China dan dikenali sebagai CloudHopper, Microsoft tahun ini memberlakukan kawalan baru kepada penjualnya, termasuk syarat untuk pengesahan multifaktor.

Agensi Keselamatan Siber dan Keselamatan Infrastruktur dan Agensi Keselamatan Nasional tidak memberikan komen segera.

Juga pada hari Khamis, SolarWinds melancarkan kemas kini untuk memperbaiki kerentanan dalam perisian pengurusan rangkaian utamanya Orion berikutan penemuan kumpulan penggodam kedua yang telah menyasarkan produk syarikat.

Itu mengikuti catatan blog Microsoft yang terpisah pada hari Jumaat yang mengatakan bahawa SolarWinds mempunyai perisiannya yang disasarkan oleh kumpulan penggodam kedua dan tidak berkaitan sebagai tambahan kepada yang berkaitan dengan Rusia.

Identiti kumpulan penggodam kedua, atau sejauh mana mereka berjaya dilanggar di mana sahaja, masih belum jelas.

Rusia menafikan mempunyai peranan dalam penggodaman tersebut.

(Pelaporan oleh Joseph Menn dan Raphael Satter. Pelaporan tambahan oleh Munsif Vengattil; Penyuntingan oleh Chizu Nomiyama, Alistair Bell dan Richard Chang)

Sila Baca Juga

Rangkaian sosial menekan akaun pembangkang FARC Colombia

Rangkaian sosial menekan akaun pembangkang FARC Colombia

BOGOTA (Reuters) – Twitter telah menggantung akaun yang dikaitkan dengan pembangkang FARC setelah polis Colombia …

%d bloggers like this: