Find Us On Social Media :

Kasus CrowdStrike & Linux XZ, Kaspersky: Pentingnya Strategi Mitigasi

By Rafki Fachrizal, Senin, 12 Agustus 2024 | 17:30 WIB

Vitaly Kamluk, Pakar Keamanan Siber GReAT di Kaspersky.

Pada akhirnya, skenario ini tidak dipicu oleh APT mana pun, tetapi pembaruan software yang salah yang menunjukkan potensi akibat dari serangan rantai pasokan yang dieksekusi dengan sempurna.

Insiden Linux XZ Utils

Apa yang terjadi oleh CrowdStrike bukanlah insiden pertama dari kegagalan rantai pasokan karena insiden-insiden sebelumnya pernah terjadi, seperti peretasan pustaka Linux XZ dalam sebuah operasi canggih.

Pada awal tahun 2024, proyek Linux XZ Utils, seperangkat alat baris perintah kompresi data gratis, dan sebuah pustaka ditemukan telah disusupi dalam serangan yang bersifat rantai pasokan.

Serangan tersebut merupakan pintu belakang yang sangat rumit dan canggih yang secara ahli dikaburkan dan disembunyikan untuk mengaitkan dan merusak logika OpenSSH, sebuah implementasi Secure Shell (SSH), untuk memungkinkan akses yang tidak sah.

SSH juga merupakan nama untuk protokol jaringan kriptografi untuk mengoperasikan perangkat secara aman termasuk server perusahaan, perangkat IoT, router jaringan, perangkat penyimpanan yang terpasang pada jaringan, dan banyak lagi.

Saat ini, puluhan juta peralatan rumah tangga yang terhubung ke Internet of Things (IoT), jutaan server, pusat data, dan peralatan jaringan bergantung pada SSH yang berpotensi menyebabkan bencana yang akan mengerdilkan insiden CrowdStrike.

Perusahaan software open source Red Hat mencatat bahwa insiden ini dilacak dalam Basis Data Kerentanan Nasional NIST sebagai kasus CVE-2024-30942 dengan skor keparahan maksimum 10, yang mengakui potensi eksploitasi oleh pelaku ancaman berbahaya.

Analisis forensik mengungkapkan bahwa komitmen tersebut dibuat oleh pengguna GitHub dengan nama pengguna JiaT75 yang juga dikenal sebagai 'Jia Cheong Tan' yang bergabung dengan tim proyek XZ Utils dan berkontribusi pada proyek XZ sejak 2021.

Identitas JiaT75 masih menjadi spekulasi karena bisa jadi ada beberapa pelaku ancaman sober yang bekerja dari satu akun meskipun diketahui bahwa akun tersebut beroperasi menggunakan VPN Singapura dan dalam zona waktu UTC+8.

Seperti serigala berbulu domba, JiaT75 kemudian membangun kepercayaan dari waktu ke waktu dengan bersosialisasi dengan kontributor lain dan menawarkan kontribusi positif untuk akhirnya mendapatkan kendali guna memelihara arsip proyek XZ dan memperoleh hak istimewa untuk menggabungkan komitmen.

Ditemukan bahwa build XZ/libzma dimodifikasi dan ditutupi dengan serangkaian pengaburan kompleks, sehingga menjadi ketergantungan bagi SSH pada beberapa sistem operasi, yang pada dasarnya memungkinkan akses tanpa batas ke sistem yang terinfeksi.