Serangan SolarWinds Berhubungan dengan Backdoor Kazuar?
Kaspersky menemukan kemiripan fitur sunburst dengan Kazuar yang sudah teridentifikasi
REPUBLIKA.CO.ID, JAKARTA -- Pada 13 Desember 2020, perusahaan keamanan siber FireEye, Microsoft dan SolarWinds mengumumkan penemuan serangan rantai pasokan besar dan canggih. Mekanismenya dengan menyebarkan malware baru yang belum pernah dikenal sebelumnya, yaitu Sunburst yang digunakan untuk menyerang pelanggan TI Orion SolarWinds.
Pakar Kaspersky menemukan berbagai kemiripan kode tertentu antara Sunburst dan versi backdoors Kazuar-jenis malware yang menyediakan akses jarak jauh ke mesin korban. Temuan baru ini sekaligus mengembangkan wawasan yang dapat membantu para peneliti di masa depan dalam penyelidikan serangan tersebut.
Saat mempelajari backdoor Sunburst, para ahli Kaspersky menemukan sejumlah kemiripan fitur dengan Kazuar yang sudah teridentifikasi sebelumnya, backdoor yang ditulis menggunakan kerangka kerja.
Fitur yang tumpang tindih antara Sunburst dan Kazuar termasuk algoritma pembuatan UID korban, algoritma tidur dan penggunaan ekstensif dari hash FNV-1a. Menurut para ahli, fragmen kode ini tidak 100 persen identik, meskipun menunjukkan relasi yang erat, sifat dari Kazuar dan Sunburst sendiri masih belum sepenuhnya jelas.
Setelah malware Sunburst pertama kali digunakan, pada Februari 2020, Kazuar terus berevolusi dan varian 2020 selanjutnya bahkan lebih mirip dalam beberapa hal dengan Sunburst.
Selama periode evolusi Kazuar, para ahli mengamati perkembangan berkelanjutan, di mana beberapa fitur penting yang mirip dengan Sunburst, ditambahkan. Seiring kemiripan antara Kazuar dan Sunburst ini menonjol mungkin ada banyak alasan keberadaan mereka, termasuk Sunburst yang dikembangkan oleh grup yang sama dengan Kazuar.
Pengembang Sunburst menggunakan Kazuar sebagai titik inspirasi.
Director of Kaspersky’s Global Research and Analysis Team (GReAT) Costin Raiu mengatakan kesamaan yang teridentifikasi tidak serta merta mengungkapkan siapa yang berada di balik serangan SolarWinds. Kesamaan ini memberikan lebih banyak wawasan yang dapat membantu para peneliti di masa depan dalam bergerak maju dalam penyelidikan terkait.
Kaspersky yakin bahwa penting bagi peneliti lain di seluruh dunia untuk menyelidiki kesamaan ini dan berusaha menemukan lebih banyak fakta tentang Kazuar dan asal Sunburst, perangkat lunak perusak yang digunakan dalam serangan SolarWinds.
“Jika berkaca dari pengalaman masa lalu, misalnya serangan WannaCry, di masa-masa awal, hanya terdapat sedikit fakta yang mengaitkan mereka dengan kelompok Lazarus. Namun seiring waktu, semakin banyak bukti bermunculan yang meyakinkan baik para peneliti dan orang lain untuk menemukan keterkaitan di antara mereka sehingga menjadi penting untuk terus melanjutkan penelitian mengenai topik ini untuk menghubungkan segala titik-titik yang ada,” komentar Costin Raiu, melalui siaran pers yang diterima Republika.co.id, Rabu (13/1).
Untuk menghindari risiko terinfeksi malware seperti backdoor Sunburst, Kaspersky merekomendasikan beberapa hal. Pertama, memberi tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence Portal memberikan akses ke TI perusahaan memberikan data dan wawasan serangan siber yang telah dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
Kedua, organisasi yang ingin melakukan penyelidikan secara mandiri dapat memperoleh manfaat dari Kaspersky Threat Attribution Engine. Solusi ini akan membantu mencocokan kode berbahaya yang ditemukan dengan database malware dan berdasarkan kesamaan kode, kemudian mengaitkannya dengan kampanye APT yang sudah diungkapkan sebelumnya.
Ikuti Whatsapp Channel Republika