MILEZONE.ID – Perusahaan teknologi Microsoft telah mengonfirmasi bahwa hacker China mengeksploitasi kelemahan dalam layanan email cloud Microsoft untuk mendapatkan akses ke akun email karyawan pemerintah Amerika Serikat (AS).
Merujuk dari Tecrunch, kelompok peretas yang dikenal sebagai Storm-0558 berhasil meretas sekitar 25 akun email, termasuk lembaga pemerintah, serta akun konsumen terkait yang terhubung dengan individu-individu yang terkait dengan organisasi-organisasi tersebut, menurut keterangan dari Microsoft. ‘Storm’ adalah julukan yang digunakan oleh Microsoft untuk melacak kelompok peretas yang baru, muncul, atau ‘sedang dalam pengembangan’.
Microsoft belum mengidentifikasi lembaga pemerintah yang menjadi target oleh Storm-0558. Adam Hodge, juru bicara Dewan Keamanan Nasional Gedung Putih, mengonfirmasi lembaga-lembaga pemerintah AS terkena dampak serangan tersebut.
“Bulan lalu, pelindung pemerintah AS mengidentifikasi sebuah intrusi dalam keamanan awan Microsoft, yang mempengaruhi sistem-sistem yang tidak bersifat rahasia,” kata Hodge dalam pernyataannya.
“Pejabat-pejabat segera menghubungi Microsoft untuk mencari sumber dan kerentanan dalam layanan awan mereka. Kami terus menerapkan standar keamanan yang tinggi terhadap penyedia pengadaan bagi pemerintah AS.”
Menurut laporan dari The Wall Street Journal, Departemen Luar Negeri AS adalah salah satu lembaga federal yang terdampak. Departemen Luar Negeri melaporkan pelanggaran ini kepada Microsoft, melansir CNN.
Melalui investigasi Microsoft, diketahui bahwa Storm-0558, kelompok peretas berbasis China yang dianggap oleh perusahaan sebagai lawan yang ‘berdaya dukung’, berhasil mengakses akun email dengan menggunakan Outlook Web Access di Exchange Online (OWA) dan Outlook.com dengan memalsukan token otentikasi untuk mengakses akun pengguna.
Dalam analisis teknis serangan tersebut, Microsoft menjelaskan para peretas menggunakan kunci tanda tangan konsumen Microsoft yang diperoleh untuk memalsukan token untuk mengakses OWA dan Outlook.com. Kemudian, para peretas mengeksploitasi masalah validasi token untuk menyamar sebagai pengguna Azure AD dan mendapatkan akses ke akun email perusahaan.
Aktivitas jahat Storm-0885 tidak terdeteksi selama sekitar sebulan, hingga pelanggan melaporkan aktivitas surat yang mencurigakan kepada Microsoft.
“Kami memperkirakan lawan ini berfokus pada spionase, seperti mendapatkan akses ke sistem email untuk pengumpulan intelijen. Lawan yang memiliki motivasi spionase ini berupaya menyalahgunakan kredensial dan mendapatkan akses ke data yang berada di sistem-sistem sensitif,” kata Charlie Bell, eksekutif keamanan cyber utama Microsoft.
Microsoft mengatakan serangan tersebut berhasil diredam dan Storm-0558 tidak lagi memiliki akses ke akun yang diretas. Namun, perusahaan belum mengatakan apakah data sensitif telah diekstraksi selama periode sebulan saat para penyerang memiliki akses.
Badan keamanan siber AS CISA mengungkapkan dalam sebuah pedoman bahwa para penyerang telah mengakses data email yang tidak bersifat rahasia.
Dalam sebuah briefing yang dihadiri sejumlah media pada Rabu (12/7/2023), seorang pejabat senior FBI, yang menggambarkan intrusi selama sebulan tersebut sebagai ‘kampanye yang ditargetkan’, menolak untuk mengkonfirmasi jumlah total korban, tetapi mengatakan jumlah lembaga pemerintah yang terdampak berjumlah ‘angka satu digit’.
Pejabat tersebut juga menolak untuk menyebutkan nama-nama lembaga yang terdampak.