DETIKGADGET – Microsoft mengungkapkan bahwa aktor ancaman yang didukung Kremlin yang dikenal sebagai Midnight Blizzard (alias APT29 atau Cozy Bear) berhasil mendapatkan akses ke beberapa repositori kode sumber dan sistem internalnya setelah peretasan yang terungkap pada Januari 2024.
“Dalam beberapa minggu terakhir, kami telah melihat bukti bahwa Midnight Blizzard menggunakan informasi yang awalnya diambil dari sistem email perusahaan kami untuk mendapatkan, atau mencoba mendapatkan, akses tidak sah,” kata raksasa teknologi itu sebagaimana dikutip The Hacker News.
“Ini termasuk akses ke beberapa repositori kode sumber dan sistem internal perusahaan. Hingga saat ini kami tidak menemukan bukti bahwa sistem yang berhubungan dengan pelanggan yang dihosting Microsoft telah disusupi.”
Redmond, yang terus menyelidiki sejauh mana pelanggaran tersebut, mengatakan bahwa pelaku ancaman yang disponsori negara Rusia berusaha memanfaatkan berbagai jenis rahasia yang ditemukan, termasuk rahasia yang dibagikan antara pelanggan dan Microsoft melalui email.
Namun, mereka tidak mengungkapkan apa rahasianya atau skala kompromi tersebut, meskipun mereka mengatakan bahwa mereka telah secara langsung menjangkau pelanggan yang terkena dampak. Tidak jelas kode sumber apa yang diakses.
Menyatakan bahwa mereka telah meningkatkan investasi keamanannya, Microsoft lebih lanjut mencatat bahwa musuh meningkatkan serangan penyemprotan kata sandi sebanyak 10 kali lipat pada bulan Februari, dibandingkan dengan “volume yang sudah besar” yang diamati pada bulan Januari.
“Serangan Midnight Blizzard yang sedang berlangsung ditandai dengan komitmen yang berkelanjutan dan signifikan terhadap sumber daya, koordinasi, dan fokus pelaku ancaman,” katanya.
“Mereka mungkin menggunakan informasi yang diperoleh untuk mengumpulkan gambaran wilayah yang akan diserang dan meningkatkan kemampuannya untuk melakukan serangan. Hal ini mencerminkan lanskap ancaman global yang belum pernah terjadi sebelumnya, terutama dalam hal serangan terhadap negara yang canggih.”
Pelanggaran Microsoft dikatakan terjadi pada November 2023, dengan Midnight Blizzard menggunakan serangan semprotan kata sandi untuk berhasil menyusup ke akun penyewa pengujian non-produksi lama yang tidak mengaktifkan autentikasi multi-faktor (MFA).
Raksasa teknologi tersebut, pada akhir Januari, mengungkapkan bahwa APT29 telah menargetkan organisasi lain dengan memanfaatkan beragam metode akses awal mulai dari pencurian kredensial hingga serangan rantai pasokan.
Midnight Blizzard dianggap sebagai bagian dari Badan Intelijen Luar Negeri (SVR) Rusia. Aktif setidaknya sejak tahun 2008, pelaku ancaman adalah salah satu kelompok peretas paling produktif dan canggih, yang menyusupi target terkenal seperti SolarWinds.
“Pelanggaran Microsoft oleh Midnight Blizzard merupakan pukulan strategis,” kata CEO Tenable Amit Yoran dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Midnight Blizzard bukanlah geng kriminal kecil-kecilan. Mereka adalah kelompok yang sangat profesional dan didukung Rusia yang sepenuhnya memahami nilai data yang mereka ungkapkan dan cara terbaik menggunakannya untuk menimbulkan kerugian maksimal.”
“Keberadaan Microsoft di mana-mana memerlukan tingkat tanggung jawab dan transparansi yang jauh lebih tinggi dibandingkan apa yang selalu mereka tunjukkan.”
“Bahkan saat ini mereka tidak menyampaikan kebenaran sepenuhnya – misalnya kami belum mengetahui kode sumber mana yang telah disusupi. Pelanggaran-pelanggaran ini tidak terisolasi satu sama lain dan praktik keamanan Microsoft yang curang serta pernyataan menyesatkan dengan sengaja mengaburkan seluruh kebenaran.”