Penyerang SolarWinds – ancaman persisten tingkat lanjut (APT) yang dikenal sebagai Nobelium – telah memulai gelombang baru intrusi rantai pasokan, kali ini menggunakan komunitas pengecer/penyedia layanan teknologi untuk menyerang target mereka.
Aktivitas tersebut telah memengaruhi korban di Amerika Utara dan Eropa sejauh ini, kata para peneliti, dan tujuannya adalah spionase: Nobelium telah dikaitkan dengan dinas intelijen asing pemerintah Rusia, yang dikenal sebagai SVR.
Menurut analisis dari Mandiant dan Microsoft, Nobelium tidak mengeksploitasi kerentanan atau, seperti halnya kasus dengan SolarWinds, trojanizing kode yang sah. Alih-alih, itu menyusup ke jaringan pengecer menggunakan taktik yang terbukti benar seperti pengisian kredensial dan phishing, serta penyalahgunaan API dan pencurian token, untuk mengumpulkan kredensial akun yang sah dan akses istimewa ke jaringan pengecer.
Dari sana, Nobelium mencoba untuk berporos dan mendarat di dalam jaringan pelanggan pengecer di hilir. Begitu berada di dalam jaringan pengecer, menjadi jauh lebih mudah untuk meniru identitas perusahaan dan mengeksploitasi hubungan tepercaya yang dimiliki pengecer dengan pelanggannya, para peneliti menunjukkan.
“Mandiant telah menyelidiki beberapa intrusi pada tahun 2021 di mana pelaku ancaman Rusia yang dicurigai mengeksploitasi hubungan rantai pasokan antara perusahaan teknologi dan pelanggan mereka,” kata Senior Vice President dan CTO Mandiant Charles Carmakal, melalui email. “Sementara serangan rantai pasokan SolarWinds melibatkan kode berbahaya yang dimasukkan ke dalam perangkat lunak yang sah, sebagian besar aktivitas intrusi baru-baru ini melibatkan pemanfaatan identitas yang dicuri dan jaringan solusi teknologi, layanan, dan perusahaan pengecer di Amerika Utara dan Eropa untuk akhirnya mengakses lingkungan organisasi. yang ditargetkan oleh pemerintah Rusia.”
Sejak Mei, Microsoft telah mengamati Nobelium menyerang lebih dari 140 pengecer dan penyedia layanan teknologi, katanya, dengan sekitar 14 dari mereka menyerah pada kompromi. Namun, dalam tulisannya, yang dikeluarkan hari Minggu, raksasa perangkat lunak itu tidak mengatakan berapa banyak pelanggan hilir yang terpengaruh. sangat sulit bagi organisasi korban untuk mengetahui bahwa mereka telah dikompromikan dan menyelidiki tindakan yang dilakukan oleh pelaku ancaman,” kata Carmakal. “Menyelidiki penyusupan ini membutuhkan kolaborasi dan berbagi informasi di beberapa organisasi korban, yang menantang karena masalah privasi dan kepekaan organisasi.”
Pendekatan ini juga sangat efektif untuk Nobelium karena memungkinkan penyerang siber untuk menghindari berurusan dengan apa yang bisa menjadi tindakan pertahanan yang kuat pada target pengguna akhir, tambahnya.
“Ini mengalihkan intrusi awal dari target akhir, yang dalam beberapa situasi adalah organisasi dengan pertahanan siber yang lebih matang, ke mitra teknologi yang lebih kecil dengan pertahanan siber yang kurang matang,” katanya.
Jika berhasil, serangan dapat memungkinkan pencurian data, pengintaian, kompromi sistem pelanggan dan banyak lagi.
Akses Sistemik ke Rantai Pasokan Teknologi
“Nobelium pada akhirnya berharap untuk mendukung akses langsung yang mungkin dimiliki pengecer ke sistem TI pelanggan mereka,” menurut Microsoft. “Kegiatan baru-baru ini adalah indikator lain bahwa Rusia sedang mencoba untuk mendapatkan akses sistematis jangka panjang ke berbagai titik dalam rantai pasokan teknologi dan membangun mekanisme untuk mengawasi – sekarang atau di masa depan – target yang menarik bagi pemerintah Rusia. ”
Untuk itu, Microsoft juga mengatakan bahwa kampanye khusus ini hanyalah bagian dari gelombang yang lebih besar dari kegiatan Nobelium, yang menunjukkan upaya yang ditingkatkan secara signifikan oleh Rusia untuk membangun jangkar yang gigih untuk kegiatan mata-matanya. Misalnya, pada bulan September terlihat memasang pintu belakang kustom FoggyWeb pada server masuk tunggal.
“Antara 1 Juli dan 19 Oktober tahun ini, kami memberi tahu 609 pelanggan bahwa mereka telah diserang 22.868 kali oleh Nobelium, dengan tingkat keberhasilan dalam satu digit rendah, ”menurut penulisannya. “Sebagai perbandingan, sebelum 1 Juli, kami telah memberi tahu pelanggan tentang serangan dari semua aktor negara-bangsa 20.500 kali selama tiga tahun terakhir.”
AS Perlu Melakukan Lebih Banyak
Terkenal, serangan SolarWinds menyebabkan kerusakan luas dan memungkinkan Nobelium mendapatkan akses ke beberapa lembaga pemerintah AS, dengan membajak pembaruan perangkat lunak yang sah dari platform untuk mendorong malware ke pengguna SolarWinds.
Sementara kampanye pengecer dalam skala yang lebih kecil, Jamil Jaffer, mantan rekanan Penasihat Gedung Putih untuk Presiden George W. Bush dan wakil presiden senior untuk IronNet Cybersecurity, mencatat bahwa itu menyoroti perlunya pemerintah berbuat lebih banyak untuk menggagalkan peretasan Rusia.
“[Ini menunjukkan] perlunya mengambil tindakan yang lebih agresif untuk mengenakan biaya guna mencegah aktivitas semacam itu oleh Rusia,” katanya kepada Threatpost melalui email. “Ini juga menyoroti perlunya pemerintah AS untuk memperluas kolaborasi defensifnya dengan sektor swasta AS… Jelas bahwa sanksi yang dijatuhkan sebelumnya untuk aktivitas peretasan serta dukungan Rusia terhadap serangan ransomware tidak cukup menghalangi aktivitas siber Rusia terhadap sektor swasta AS.”
Dia menambahkan bahwa Administrasi Biden telah menempatkan tim ahli siber terbaik, yang dapat membuat beberapa perubahan.
“Mereka harus dibebaskan untuk bekerja lebih efektif dan kolaboratif dengan sektor swasta untuk ciptakan kemampuan pertahanan kolektif sejati di mana industri dan pemerintah bekerja sama untuk menghentikan serangan semacam itu, termasuk melalui Kolaborasi Pertahanan Cyber Bersama baru yang didirikan oleh direktur baru CISA di DHS, Jen Easterly,” katanya.
Bagaimana Pengecer Dapat Bertahan Terhadap Nobelium
Untuk saat ini, aktivitas penyusupan sedang berlangsung, dan baik Microsoft maupun Mandiant mengatakan mereka secara aktif bekerja dengan organisasi yang terpengaruh. Untuk melindungi diri mereka sendiri, pengecer dan penyedia layanan dapat mengambil beberapa langkah dasar untuk menerapkan perlindungan keamanan khusus untuk lingkungan mereka, catat para peneliti, seperti membatasi akses ke portal mitra dan alat manajemen hubungan pelanggan lainnya, dan mengaktifkan otentikasi multi-faktor (MFA).
Mereka juga harus mengaudit akun istimewa yang didelegasikan dan menghapus izin otoritas yang tidak perlu, dan, jika mungkin, mengadopsi ideologi keamanan tanpa kepercayaan.
“Perusahaan rantai pasokan TI harus bertindak sekarang untuk menghindari menjadi SolarWinds berikutnya,” kata Danny Lopez, CEO Glasswall, melalui email. “Untuk mencegah penyerang ini mendapatkan akses istimewa dan mendatangkan malapetaka, organisasi perlu mengadopsi proses yang kuat untuk onboarding dan offboarding karyawan dan afiliasi yang mungkin menerima akses ke sistem informasi utama. Sangat penting untuk mengontrol akses istimewa dan memantau mereka yang menikmati hak istimewa administrator itu.”
Dia menambahkan, “Ini akan membantu membatasi radius ledakan, dan dalam banyak kasus, mengalahkan pelanggaran data.”