Credit image: Pixabay
Serangan rantai pasokan perangkat lunak merupakan salah satu bentuk peretasan yang paling berbahaya. Dengan membobol jaringan pengembang dan menyembunyikan kode berbahaya di dalam aplikasi dan pembaruan perangkat lunak yang dipercayai pengguna, pembajak rantai pasokan dapat menyelundupkan malware mereka ke ratusan ribu atau jutaan komputer dalam satu operasi, tanpa ada tanda-tanda pelanggaran. Sekarang apa yang tampak sebagai satu kelompok peretas telah berhasil mengelabui dengan trik itu berulang kali, melakukan peretasan rantai pasokan yang merusak dan menjadi lebih maju dan sembunyi-sembunyi seiring berjalannya waktu.
Selama tiga tahun terakhir, serangan rantai pasokan yang mengeksploitasi saluran distribusi perangkat lunak dari setidaknya enam perusahaan yang berbeda sekarang semuanya telah dikaitkan dengan satu kelompok peretas yang kemungkinan besar berbahasa Cina. Mereka dikenal sebagai Barium, atau terkadang ShadowHammer, ShadowPad, atau Wicked Panda, tergantung pada perusahaan keamanan yang Anda tanyakan. Lebih dari mungkin tim peretas lain yang dikenal, Barium tampaknya menggunakan serangan rantai pasokan sebagai senjata utama mereka. Serangan mereka semua mengikuti pola yang sama, benih infeksi menyebar ke kumpulan besar korban, kemudian memilah-milah mereka untuk menemukan target spionase.
Teknik ini mengganggu peneliti keamanan tidak hanya karena menunjukkan kemampuan Barium untuk mengganggu komputer dalam skala luas, tetapi juga karena mengeksploitasi kerentanan dalam model paling dasar yang mengatur pengguna kode yang dijalankan pada mesin. Mereka meracuni mekanisme tepercaya, Jika bicara soal serangan rantai pasokan perangkat lunak, mereka adalah jagonya. Dengan jumlah perusahaan yang mereka langgar, mungkin tidak ada grup lain yang sebanding dengan orang-orang ini
Paling tidak dalam dua kasus, satu di mana ia membajak pembaruan perangkat lunak dari pembuat komputer Asus dan lainnya di mana ia mencemari versi alat pembersihan PC CCleaner, dimana perangkat lunak yang rusak oleh grup tersebut telah berakhir di ratusan ribu komputer pengguna yang tidak disadari. Dalam kasus itu dan yang lainnya, para peretas dapat dengan mudah melepaskan kekacauan yang belum pernah terjadi sebelumnya. Membandingkan potensi kasus-kasus tersebut dengan serangan rantai pasokan perangkat lunak yang digunakan untuk meluncurkan serangan balik NotPetya pada tahun 2017; dalam kasus itu, sebuah kelompok peretas Rusia membajak pembaruan untuk sebuah perangkat lunak akuntansi Ukraina untuk menyebarkan worm yang merusak dan menyebabkan kerugian senilai $10 miliar pada kerusakan perusahaan-perusahaan di seluruh dunia.
Jika Barium menyebarkan worm ransomware seperti itu melalui salah satu serangan ini, itu akan menjadi serangan yang jauh lebih dahsyat daripada NotPetya. Sejauh ini, kelompok itu tampaknya lebih fokus pada memata-matai daripada membuat kerusakan. Tapi pembajakan rantai pasokan yang berulang-ulang memiliki pengaruh buruk yang lebih halus. Ketika mereka menyalahgunakan mekanisme ini, mereka merusak kepercayaan pada intinya, mekanisme dasar untuk memverifikasi integritas sistem Anda. Ini jauh lebih penting dan memiliki dampak yang lebih besar daripada eksploitasi reguler terhadap kerentanan keamanan atau phising atau jenis serangan lainnya. Orang-orang akan berhenti memercayai pembaruan perangkat lunak dan vendor perangkat lunak yang sah.
Yang membingungkan adalah bahwa versi berbahaya dari produk NetSarang memiliki digital signature perusahaan, dan stempel persetujuan. Ternyata NetSarang mengkonfirmasi, bahwa para peretas telah melanggar jaringan NetSarang dan menanam kode jahat mereka di produknya sebelum aplikasi ditandatangani secara kriptografi, seperti memasukkan sianida ke dalam botol pil sebelum segel anti-perusak diterapkan.
Dua bulan kemudian, sebuah perusahaan antivirus mengungkapkan bahwa anak perusahaannya, Piriform, juga telah dilanggar, dan alat pembersihan komputer Piriform, CCleaner, telah di-backdoored dalam serangan rantai pasokan berskala besar yang jauh lebih banyak yang membahayakan 700.000 mesin. Meskipun berlapis-lapis diketahui bahwa bahwa kode backdoor itu sangat cocok dengan yang digunakan dalam kasus NetSarang.
Kemudian pada bulan Januari 2019, ditemukan komputer Taiwan Asus telah mendorong pembaruan perangkat lunak backdoored yang sama untuk 600.000 mesin setidaknya selama lima bulan. Meskipun kode terlihat berbeda dalam kasus ini, ia menggunakan fungsi hashing unik yang dibagikan dengan serangan CCleaner, dan kode jahat telah disuntikkan ke tempat yang sama dalam fungsi runtime perangkat lunak. Meskipun ada cara tak terbatas untuk kompromi biner, tetapi mereka tetap dengan metode yang satu ini.
Dari sini juga diketahui kode serangan Asus sama dengan video game yang didistribusikan oleh tiga perusahaan yang berbeda, yang telah terdeteksi oleh perusahaan keamanan ESET: Sebuah game zombie tiruan yang ironisnya bernama Infestation, game buatan Korea bernama Point Blank. Semua tanda menunjuk ke empat putaran serangan rantai pasokan berbeda tetapi yang diikat ke peretas yang sama.
“Dalam hal skala, ini sekarang adalah kelompok yang paling mahir dalam serangan rantai pasokan,” kata Marc-Etienne Léveillé, seorang peneliti keamanan ESET. “Kami belum pernah melihat yang seperti ini sebelumnya. Ini menakutkan, karena mereka memiliki kendali atas sejumlah besar mesin.”
“Pengendalian Operasional”
Namun dari semua penampilan, grup ini meluncurkan jaringnya yang besar untuk memata-matai hanya sebagian kecil dari komputer yang dikompromikan. Dalam kasus Asus, ia memfilter mesin dengan memeriksa alamat MAC mereka, berusaha menargetkan hanya sekitar 600 komputer dari 600.000 yang dikompromikan. Dalam insiden CCleaner sebelumnya, ia menginstal sebagian dari tahap kedua spyware hanya pada sekitar 40 komputer di antara 700.000 yang telah terinfeksi. Barium akhirnya menargetkan begitu sedikit komputer sehingga dalam sebagian besar operasinya, para peneliti bahkan tidak pernah mendapatkan muatan malware akhir. Hanya dalam kasus CCleaner, ditemukan bukti sampel spyware tahap ketiga yang bertindak sebagai keylogger dan pencuri kata sandi. Itu menunjukkan bahwa kelompok itu cenderung memata-matai, dan penargetannya yang ketat menunjukkan itu bukan operasi kejahatan siber yang berfokus pada laba.
Tidak jelas persis bagaimana peretas Barium melanggar semua perusahaan yang perangkat lunaknya dibajak. Tapi diduga bahwa dalam beberapa kasus, satu serangan rantai pasokan memungkinkan yang lainnya masuk. Serangan CCleaner, misalnya, menargetkan Asus, yang mungkin telah memberikan Barium akses yang diperlukan untuk kemudian membajak pembaruan perusahaan. Ini menunjukkan bahwa para peretas dapat menyegarkan kembali koleksi besar mesin mereka yang terkompromikan dengan pembajakan rantai pasokan yang saling terkait, sementara secara bersamaan menyisir koleksi itu untuk target spionase tertentu.
