Mobitekno – Kasus XZ Utils Backdoor dan update Crowdstrike yang berdampak luas memberikan pelajaran berharga bagi kita semua tentang pentingnya keamanan siber. Dengan memahami hikmah dari kedua kasus ini, kita dapat mengambil langkah-langkah yang diperlukan untuk meningkatkan keamanan sistem kita dan mencegah terjadinya insiden serupa di masa mendatang.
Kombinasi globalisasi dan digitalisasi membuat banyak aspek ekonomi dunia sangat bergantung pada inovasi teknologi, seperti telepon pintar dan notebook yang juga bergantung pada pembaruan (update) perangkat lunak (soiftware) dan keamanan rutin dari produsen.
Jaringan entitas, sumber daya, barang, dan layanan yang rumit ini membentuk jaringan pasokan (ratai pasokan) yang memungkinkan perdagangan, perjalanan, dan perdagangan internasional seperti yang kita kenal sekarang.
Untuk memungkinkan pembaruan perangkat lunak ini, tingkat kepercayaan implisit tertentu diberikan kepada perusahaan saat mendorong pembaruan ke perangkat mereka bahwa perangkat tersebut bebas dari malware dan kesalahan.
Tingkat kepercayaan implisit ini membuat serangan rantai pasokan menjadi prospek yang menggiurkan bagi pelaku ancaman. Dengan mendapatkan akses ke infrastruktur produsen, pelaku ancaman dapat menyuntikkan malware ke dalam pembaruan perangkat lunak yang sah, menjadikannya salah satu vektor serangan yang paling efektif dan berbahaya.
Vektor serangan ini bukanlah ide baru, dengan upaya baru-baru ini seperti ShadowPad, CCleaner, dan ShadowHammer dalam beberapa tahun terakhir menunjukkan bahwa penyerang yang bertekad dapat mencapai jaringan yang paling terlindungi.
Namun insiden Crowdstrike baru-baru ini telah menunjukkan pentingnya rantai pasokan dan skala dampak yang belum pernah terjadi sebelumnya jika terjadi kesalahan, membuka pertanyaan baru tentang kerentanan rantai pasokan dan ketergantungan kita padanya saat ini.
Update Crowdstrike yang berdampak ‘kelumpuhan sesaat’ sistem global
Dimulai pada hari Jumat, 19 Juli 2024, 04:09 UTC selama rentang waktu sekitar dua hingga tiga hari, ekonomi dunia terhenti berkat pembaruan konfigurasi konten yang dirilis oleh CrowdStrike, perusahaan keamanan siber yang berbasis di AS yang merupakan salah satu dari sedikit perusahaan yang diberikan hak istimewa kernel untuk sistem operasi Windows.
“Pembaruan konfigurasi untuk Crowdstrike seharusnya menjadi rutinitas, pembaruan rutin untuk mekanisme perlindungan platform Falcon mereka, yang mendapatkan telemetri dan mendeteksi kemungkinan teknik ancaman baru untuk platform Windows. Sayangnya, pembaruan ini mengakibatkan siklus reboot yang tidak pernah berakhir untuk lebih dari 8,5 juta mesin Windows di seluruh dunia,” ujar Vitaly Kamluk, pakar Keamanan Siber dari tim Riset & Analisis Global (GReAT) di Kaspersky.
Menurut media, infrastruktur penting seperti rumah sakit, bank, maskapai penerbangan, dan lainnya termasuk infrastruktur penting pemerintah seperti NASA Amerika Serikat, Komisi Perdagangan Federal, Badan Keamanan Nuklir Nasional, pusat panggilan 911 untuk keadaan darurat, situs web pemerintah di Filipina, dan lainnya yang memiliki sistem yang menjalankan Windows yang dilindungi oleh Crowdstrike terpengaruh oleh pembaruan yang salah dan tidak dapat menjalankan bisnis. Saat ini, ini dapat dianggap sebagai pemadaman terburuk dalam sejarah dengan jumlah kerusakan finansial yang belum pernah terjadi sebelumnya.
Sistem yang terpengaruh termasuk host Windows yang menjalankan sensor versi 7.11 dan di atasnya yang online antara Jumat, 19 Juli 2024 04:09 UTC dan Jumat, 19 Juli 2024 05:27 UTC dan menerima pembaruan. Host Mac dan Linux tidak terpengaruh. Pada akhirnya, skenario ini tidak dipicu oleh APT mana pun, tetapi pembaruan perangkat lunak yang salah yang menunjukkan potensi akibat dari serangan rantai pasokan yang dieksekusi dengan sempurna. Akan tetapi ini bukan insiden pertama dari kegagalan rantai pasokan karena insiden-insiden sebelumnya pernah terjadi seperti peretasan pustaka Linux XZ dalam sebuah operasi canggih.
Backdoor XZ Utils di Linux: Terungkapnya serigala berbulu domba
Pada awal tahun 2024, proyek Linux XZ Utils, seperangkat alat baris perintah kompresi data gratis, dan sebuah pustaka ditemukan telah disusupi dalam serangan yang bersifat rantai pasokan. Serangan tersebut merupakan pintu belakang yang sangat rumit dan canggih yang secara ahli dikaburkan dan disembunyikan untuk mengaitkan dan merusak logika OpenSSH, sebuah implementasi Secure Shell (SSH), untuk memungkinkan akses yang tidak sah.
SSH juga merupakan nama untuk protokol jaringan kriptografi untuk mengoperasikan perangkat secara aman termasuk server perusahaan, perangkat IoT, router jaringan, perangkat penyimpanan yang terpasang pada jaringan, dan banyak lagi.
Saat ini, puluhan juta peralatan rumah tangga yang terhubung ke Internet of Things (IoT), jutaan server, pusat data, dan peralatan jaringan bergantung pada SSH yang berpotensi menyebabkan bencana yang akan mengerdilkan insiden Crowdstrike. Perusahaan perangkat lunak sumber terbuka Red Hat mencatat bahwa insiden ini dilacak dalam Basis Data Kerentanan Nasional NIST sebagai kasus CVE-2024-30942 dengan skor keparahan maksimum 10, yang mengakui potensi eksploitasi oleh pelaku ancaman berbahaya.
Analisis forensik mengungkapkan bahwa komitmen tersebut dibuat oleh pengguna GitHub dengan nama pengguna JiaT75 yang juga dikenal sebagai ‘Jia Cheong Tan’ yang bergabung dengan tim proyek XZ Utils dan berkontribusi pada proyek XZ sejak 2021. Identitas JiaT75 masih menjadi spekulasi karena bisa jadi ada beberapa pelaku ancaman yang bekerja dari satu akun meskipun diketahui bahwa akun tersebut beroperasi menggunakan VPN Singapura dan dalam zona waktu UTC+8.
Seperti serigala berbulu domba, JiaT75 kemudian membangun kepercayaan dari waktu ke waktu dengan bersosialisasi dengan kontributor lain dan menawarkan kontribusi positif untuk akhirnya mendapatkan kendali guna memelihara arsip proyek XZ dan memperoleh hak istimewa untuk menggabungkan komitmen. Ditemukan bahwa build XZ/libzma dimodifikasi dan ditutupi dengan serangkaian pengaburan kompleks, sehingga menjadi ketergantungan bagi SSH pada beberapa sistem operasi, yang pada dasarnya memungkinkan akses tanpa batas ke sistem yang terinfeksi.
Untungnya, insiden ini terdeteksi tepat waktu dan penelitian masih berlangsung, tetapi menyoroti bahwa rekayasa sosial (social engineering) yang dikombinasikan dengan sifat perangkat lunak sumber terbuka tetap menjadi jalur lain yang layak untuk serangan rantai pasokan.
Pakar Kaspersky melakukan analisis komprehensif terhadap kasus tersebut, yang mencakup pemeriksaan taktik rekayasa sosial yang terlibat.
Mengantisipasi ancaman siber masa depan dengan terintegrasinya AI di berbagai aspek
AI semakin terintegrasi ke dalam masyarakat dengan berbagai aspek AI yang digunakan untuk mengoptimalkan infrastruktur di kota pintar, meningkatkan layanan kesehatan, pendidikan, pertanian, dan banyak lagi. Seperti halnya teknologi apa pun, AI tidak sempurna karena bergantung pada model pembelajaran dan pelatihan untuk memperoleh masukan yang bermakna dan yang dapat menjadi sasaran serangan rantai pasokan dengan menyuntikkan masukan yang berbahaya.
Vitaly Kamluk menambahkan bahwa cara potensial serangan rantai pasokan terhadap AI adalah dengan memanipulasi data pelatihan dan memasukkan bias dan kerentanan ke dalam model atau memodifikasi model AI dengan versi yang diubah sehingga akan menghasilkan keluaran yang salah. Perilaku tersebut berpotensi sulit dideteksi, yang memungkinkan aktivitas berbahaya tidak terdeteksi untuk waktu yang lama.
Untuk APT yang bermain dalam jangka panjang, serangan rantai pasokan dapat dilakukan dengan diam-diam sambil menunggu target yang tepat sambil berpotensi mengaburkan muatan malware, menyembunyikannya sebagai file yang sah, dan menempatkan alat yang diperluas dalam infrastruktur perusahaan tepercaya untuk memfasilitasi akses tingkat tinggi atau pada akhirnya membahayakan sistem secara menyeluruh.
Yang jauh lebih buruk adalah kemungkinan jangka panjang munculnya bug atau kelemahan dalam serangan rantai pasokan yang berfokus pada AI yang akan menurunkan kemampuan dan kualitasnya seiring waktu, menjadikannya setara dengan bom waktu, yang memengaruhi sistem penting dengan jangkauan luas atau kepentingan kritis.
AI model bahasa besar (LLM) yang tersedia secara luas seperti ChatGPT, CoPilot, dan Gemini dapat dimanipulasi untuk membantu menciptakan serangan spear phishing yang meyakinkan sementara deepfake AI dapat digunakan untuk meniru personel penting, yang mengakibatkan kerugian sebesar US$25 juta di Hong Kong ketika seorang pelaku ancaman meniru citra kepala keuangan perusahaan untuk mencairkan dana.
Selama hampir dua dekade, para spesialis di Pusat Penelitian Teknologi AI Kaspersky telah menjadi yang terdepan dalam menerapkan kecerdasan buatan pada keamanan siber dan mengembangkan AI Etis. Keahlian AI tim tersebut terintegrasi ke dalam berbagai produk Kaspersky, meningkatkan semuanya mulai dari deteksi ancaman yang disempurnakan AI dan prioritas peringatan hingga intelijen ancaman yang didukung oleh AI generatif.
Menurut Vitaly, untuk mengatasi lanskap ancaman potensial dari serangan pasokan ini, organisasi memiliki sejumlah strategi. “Selain praktik keamanan siber terbaik, organisasi perlu melakukan strategi mitigasi untuk mengelola atau meminimalkan potensi dampak serangan rantai pasokan pada infrastruktur mereka.
“Di antara strategi tersebut adalah pengujian ketat sebelum perangkat diluncurkan, integritas alat yang menyeluruh dan kontrol manufaktur yang ketat, nomor versi model dan validasi model untuk melacak perubahan dan versi, pemantauan berkelanjutan untuk anomali, tanda tangan digital untuk perangkat, dan audit keamanan rutin,” tutup Vitaly.
Tags: AI, celah keamanan, CrowdStrike, Cybersecurity, Global Research & Analysis Team, GReAT, IoT, kaspersky, keamanan siber, Linux, update software, XZ Utils Backdoor