Microsoft Diretas, 60.000 Perusahaan di Dunia Disusupi

MONITORDAY.COM - Pada hari Jumat, jurnalis keamanan siber Brian Krebs dan Andy Greenberg melaporkan bahwa sebanyak 30.000 perusahaan telah diretas melalui server email yang belum pernah terjadi sebelumnya, diyakini jika peretasan ini berasal dari kelompok  peretas China yang dikenal sebagai Hafnium.

Diperkirakan peretasan tersebut akan mengalami peningkatan hingga dua kali lipat menjadi 60.000 pelanggan Microsoft Exchange Server di seluruh dunia, Otoritas Perbankan Eropa sekarang mengakui bahwa mereka merupakan salah satu korbannya, dan kemungkinan, Microsoft akan membutuhkan waktu yang tidak sebentar untuk memastikan dampak terburuk dan membuat patch-nya. 

Krebs menyusun timeline dari peretasan Exchange Server besar-besaran itu, dia mengatakan bahwa Microsoft telah mengonfirmasi bahwa mereka sudah mengetahui hal tersebut pada awal Januari kemarin dan hampir dua bulan sebelum Microsoft mengeluarkan patch pertama mereka, bahkan hal tersebut lebih awal seminggu dari perkiraan mereka untuk mengeluarkan patch.

MIT Technology Review mengatakan jika Hafnium mungkin bukan satu-satunya ancaman, dikutip dari seorang analis keamanan siber, mengungkapkan bahwa setidaknya ada lima kelompok peretasan yang secara aktif mengeksploitasi kelemahan Exchange Server pada hari Sabtu. Pejabat pemerintah Amerika mengetakan jika hal tersbut merupakan peristiwa besar dan pihaknya sedang berupaya untuk mengatasinya.

Sekretaris pers Gedung Putih Jen Psaki menyebutnya sebagai "ancaman aktif," dan menjadi perhatian besar setelah oleh Badan Keamanan Siber Departemen Keamanan Dalam Negeri mengirim peringatan itu pada tanggal 3 Maret. Penasihat keamanan nasional Gedung Putih Jake Sullivan telah memperingatkan tentang hal itu juga, seperti mantan direktur Badan Keamanan Siber dan Infrastruktur Christopher Krebs dan Dewan Keamanan Nasional Gedung Putih.

This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm

— Chris Krebs (@C_C_Krebs) March 5, 2021

Patching and mitigation is not remediation if the servers have already been compromised. It is essential that any organization with a vulnerable server take immediate measures to determine if they were already targeted. https://t.co/HYKF2lA7sn

— National Security Council (@WHNSC) March 6, 2021

Dan untuk saat ini siapa pun yang menginstal Microsoft Exchange Server lokal (2010, 2013, 2016, atau 2019) perlu menambah patch dan melakukan scanning. Menurut laporan, peretas memasang perangkat lunak yang dapat membuat mereka kembali ke server telah diretas tersebut, dan belum diketahui informasi apa saja yang telah mereka ambil.

"Kami melakukan seluruh tanggapan pemerintah untuk menilai dan mengatasi dampaknya," dilaporkan oleh Bloomberg yang mengutip email seorang pejabat Gedung Putih.

Microsoft menolak berkomentar terbuka mengenai waktu penerpan patch-nya, dan malah mengarahkan hal tersebut pada pernyataan sebelumnya tentang kerja sama mereka dengan CISA.

“Kami bekerja sama dengan CISA, lembaga pemerintah lainnya, dan perusahaan keamanan, untuk memastikan kami memberikan panduan dan mitigasi terbaik untuk pelanggan kami. Perlindungan terbaik adalah menerapkan pembaruan sesegera mungkin di semua sistem yang terkena dampak. Kami terus membantu pelanggan dengan memberikan investigasi tambahan dan panduan mitigasi. Pelanggan yang terkena dampak harus menghubungi tim dukungan kami untuk bantuan dan sumber daya tambahan.”