Dalam beberapa tahun, ketika pandemi mengerikan saat ini akhirnya terkendali, 2020 tidak hanya akan dikenang karena ledakan infeksi COVID-19 dan konsekuensinya yang mengerikan, tetapi juga mungkin akan menjadi tonggak sejarah bagi para sarjana dan untuk para profesional (serta untuk mereka yang penasaran seperti saya) dari dimensi cyber, mengikuti sebuah cerita yang mengambil kontur dari salah satu yang paling tidak bermoral cerita mata-mata sukses sepanjang masa. Rujukannya adalah serangan cyber yang dialami oleh perusahaan IT AS SuryaAngin, yang produknya, didistribusikan secara global, telah digunakan sebagai "trojan horse" untuk menembus jaringan dan sistem perusahaan dan lembaga pemerintah di seluruh dunia, target nyata spionase.
Dalam jargon, jenis serangan ini disebut "serangan siber rantai pasokan" dan, pada kenyataannya, di balik istilah yang terdengar tinggi dan tampaknya rumit ini, terdapat deklinasi modern dari teknik spionase yang telah ada sejak lama: keamanan target secara tidak langsung terganggu , menyerang "rantai logistik" relatif, yaitu barang atau layanan yang disediakan secara sah oleh pihak ketiga (biasanya perusahaan). Di bidang cyber, ini adalah barang atau layanan TI yang tidak dapat dilakukan oleh perusahaan atau badan pemerintah mana pun untuk menjalankan tugasnya.
Contoh mencolok dari jenis serangan dunia maya ini adalah operasi yang akan dilakukan oleh Badan Keamanan Nasional, menurut mantan kolaborator Edward Snowden, selama bertahun-tahun dengan memastikan bahwa perangkat jaringan yang diproduksi oleh perusahaan terkemuka didistribusikan di pasar. di seluruh dunia, secara khusus dimodifikasi oleh Agensi, agar dapat mencegat dan mengirimkan ulang semua komunikasi yang diproses oleh sistem ini. Atau, kisah yang luar biasa Kripto AG (v.articolo), sebuah perusahaan yang berbasis di Swiss yang telah memproduksi dan mendistribusikan mesin sandi ke negara-negara baik yang tergabung dalam NATO maupun di luar Aliansi (dengan total 130 pemerintah!), juga dimodifikasi untuk memungkinkan intelijen AS dan Jerman akan mencegat komunikasi rahasia dari negara "sahabat" dan musuh selama lebih dari 50 tahun!
Terakhir, contoh lain dari serangan cyber rantai pasokan itu dibuat-buat NotPetya, malware yang merusak, "diinokulasi" pada tahun 2017 dalam pembaruan perangkat lunak manajemen bisnis yang sangat populer di Ukraina (v.articolo). Dalam hal ini, jika benar bahwa mungkin tidak akan pernah mungkin untuk mengukur dampak nyata dari operasi ini, dapat dipastikan bahwa, mengingat tingginya jumlah tujuan yang terlibat dan durasi kegiatan ofensif yang dilakukan, dalam semua kasus itu adalah pertanyaan tentang sejumlah besar informasi disadap atau dihancurkan, dengan kerusakan sangat serius pada keselamatan para korban. Skenario yang sama juga muncul untuk serangan a SuryaAngin saat mereka memfilter detail (jelas mereka yang ingin tahu) dari investigasi yang sedang berlangsung.
Mungkinkah serangan dunia maya yang setara dengan serangan di pangkalan angkatan laut Pearl Harbor pada tahun 1941, yaitu, tindakan bermusuhan yang begitu luas dan dengan konsekuensi yang begitu serius, sehingga menyiratkan tanggapan yang belum pernah terjadi sebelumnya, mungkin tidak berkembang hanya dalam dimensi dunia maya? Apa yang akan terjadi sekarang?
Mari lanjutkan secara berurutan. Beberapa hari yang lalu perusahaan FireEye, sebuah perusahaan terkemuka di bidang keamanan siber, telah mengumumkan bahwa mereka telah menjadi korban dari serangan siber yang serius yang, antara lain, akan memungkinkan eksfiltrasi beberapa perangkat lunak yang dikembangkan untuk melakukan uji keamanan atas nama pelanggannya (v.articolo). Secara khusus, diketahui bahwa serangan ini dilakukan dengan menggunakan pembaruan sistem Orion SuryaAngin dikompromikan secara berseni, yaitu, tampaknya "asli" tetapi, pada kenyataannya, dimodifikasi untuk memungkinkannya menembus sistem dan jaringan FireEye. Rincian serangan ini, setelah diketahui, akibatnya telah memperluas cakrawala investigasi juga ke semua perusahaan dan badan negara lain yang menggunakan layanan yang sama dari SuryaAngin, target yang mungkin telah tercapai sejak Maret lalu, periode distribusi pembaruan palsu yang dipermasalahkan sudah ada sejak lama.
Daftar korban diperkaya per jam berdasarkan analisis yang sedang berlangsung atas bukti yang dikumpulkan dan sekarang mencakup ribuan subjek publik dan swasta yang didistribusikan secara global (kita berbicara tentang lebih dari 17.000 korban), dalam banyak kasus namun terkonsentrasi di AS . Oleh karena itu mencoba untuk memberikan daftar yang diperbarui meninggalkan waktu yang ditemukannya. Namun, tanpa takut terbukti salah, adalah mungkin untuk menegaskan bahwa dalam banyak kasus ini adalah badan pemerintah yang termasuk dalam sektor yang bahkan krusial (seperti, misalnya, Departemen Energi AS) dan perusahaan terkemuka dalam skala global yang, pada gilirannya, mereka menyediakan produk dan layanan. Secara khusus, setelah sistem Orion mereka diperbarui dengan perangkat lunak yang dimodifikasi, penyerang dapat memperkenalkan dirinya ke dalam jaringan target dan dalam banyak kasus ia mengambil kendali dari mereka, meluncurkan serangan lebih lanjut dengan mengeksploitasi "pelanggaran" yang dibuka di sistem pertahanan orang lain.
Saat ini, baik data yang dicuri dengan cara ini maupun konsekuensi lebih lanjut dari serangan tersebut tidak diketahui, karena teknik yang sangat canggih telah digunakan untuk mengalihkan penyelidikan (dalam jargon, untuk "mengaburkan" petunjuk). Detail ini, bersama dengan teknik pemrograman yang digunakan untuk membuat pembaruan SolarWinds yang dikompromikan, sementara itu dijuluki SUNBURST, tampak seperti aslinya, diyakini sebagai indikator dari kemampuan tingkat sangat tinggi yang dimiliki oleh penyerang. Ya, siapa di balik operasi yang berani ini?
Seperti biasa, investigasi tidak memungkinkan kami untuk mengatributkan kepenulisan tindakan spionase dengan pasti, namun ini adalah organisasi yang memiliki sumber daya yang sangat besar (tenaga teknis ahli, pendanaan, personel perencanaan, infrastruktur, dll.) milik pemerintah atau harus disponsori oleh suatu negara. Atau bisa juga kelompok kriminal yang menawarkan layanan kepada penawar tertinggi, yang telah menjadi pemimpin pasar gelap informasi Web gelap, "sisi gelap" Internet. Siapa yang tahu? Tidak ada dengan kepastian mutlak.
Beberapa analis dan eksponen pemerintahan AS saat ini percaya bahwa kelompok peretas yang dikenal dengan nama kode APT29, Cozy Bear, CozyCar, CozyDuke atau Office Monkeys, yang diduga terkait dengan Sluzhba Vneshnej Razvedki (SVR), dinas intelijen luar negeri Rusia (yang merayakan 19 tahun pertama sejarahnya pada 100 Desember) dan yang menawarkan kurikulum yang sangat substansial tentang operasi dunia maya yang canggih. Namun, pemerintah Federasi Rusia langsung membantah terlibat.
Investigasi baru saja dimulai dan, seperti yang hampir selalu terjadi dalam kasus-kasus ini, kecil kemungkinannya bukti yang cukup akan dikumpulkan untuk mengidentifikasi pelaku dengan kepastian yang masuk akal dan untuk menghukum mereka secara kriminal. Juga akan sangat sulit untuk menghitung kerusakan yang diderita oleh para korban dan untuk mengetahui apa yang terjadi dengan informasi yang dicuri, atau lebih tepatnya "disalin", tanpa ada yang menyadarinya. Pada akhirnya, tidak mungkin untuk sepenuhnya merekonstruksi semua operasi yang dilakukan oleh penyerang selama kira-kira delapan bulan "tinggal" dalam sistem dan jaringan para korban.
Skenario ini telah membuat beberapa pengamat menarik kesimpulan yang mengganggu: kami harus menghadapi konsekuensi dari serangan ini selama berbulan-bulan atau bertahun-tahun, karena penyerang mungkin telah menyebarkan jaringan dan sistem target malware lainnya.. Faktanya, jika benar bahwa ini adalah kelompok yang sangat berpengalaman dan efisien, para analis menunjukkan bahwa kemungkinan bahwa transaksi ditemukan pasti direncanakan sebelumnya dan, oleh karena itu, mereka percaya bahwa semua tindakan ditujukan untuk melanjutkan kampanye spionase, mengantisipasi tindakan balasan para korban.
Aspek terakhir dari cerita, mungkin hanya yang tampaknya sekunder, adalah aspek finansial: SuryaAngin itu adalah perusahaan publik dan serangan semacam itu bisa berakibat fatal bagi reputasinya dan, oleh karena itu, bagi masa depannya. Selain itu, tampaknya ada orang-orang yang berhasil mendapatkan keuntungan di atas keseluruhan masalah, membuat pergerakan pasar lebih dari mencurigakan.
Sebagai kesimpulan, tepat waktu, setiap tahun dalam periode ini kami menemukan diri kami di halaman ini untuk membuat laporan akhir keamanan cyber, dari mana skenario dengan warna yang semakin gelap muncul. Setiap tahun "batang" itu bergerak semakin tinggi, mendekati ambang batas bentrokan nyata antara negara dan batas-batas teknologi selalu dihancurkan, seringkali melebihi imajinasi itu sendiri. Dalam konteks ini, jika di satu sisi masyarakat menjadi semakin bergantung pada dimensi dunia maya, di sisi lain hal ini kini menjadi perburuan yang sama sekali tidak memiliki aturan baik bagi pemerintah maupun kelompok kriminal yang tidak bermoral.
Mangsa dari perburuan tanpa henti ini adalah informasi yang, dalam dunia yang semakin terhubung, merupakan batu kunci untuk mendominasinya dari sudut pandang militer, keuangan, ekonomi, ilmu pengetahuan, teknologi atau politik. Mereka yang belum memahaminya atau mereka yang tidak mau menerima kenyataan ini ditakdirkan untuk mengalah.
Selamat 2021!
Sumber
https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scan...
https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-at...
https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backd...
https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-incl...
https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-cus...
https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybers...
https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/
Foto: NASA
