Crowdstrike merupakan perusahaan keamanan siber yang berbasis di Amerika Serikat. Perusahaan ini merupakan salah satu perusahaan yang memiliki hak istimewa kernel di sistem operasi Windows. Pembaruan konfigurasi konten yang dirilis Crowdstrike merupakan penyebab insiden yang menghentikan perekonomian dunia. Insiden ini berawal Jumat, 19 Juli 2024, dan berlangsung sekitar 2-3 hari. Suatu organisasi perlu untuk melakukan strategi mitigasi untuk mengatasi serangan rantai pasok seperti pada insiden Crowdstrike dan proyek XZ Utils.

“Pembaruan konfigurasi untuk Crowdstrike seharusnya menjadi rutinitas, pembaruan rutin untuk mekanisme perlindungan platform Falcon mereka, yang mendapatkan telemetri dan mendeteksi kemungkinan teknik ancaman baru untuk platform Windows. Sayangnya, pembaruan ini mengakibatkan siklus reboot yang tidak pernah berakhir pada lebih dari 8,5 juta mesin Windows di seluruh dunia,” ucap Vitaly Kamluk, pakar Keamanan Siber dari tim Riset & Analisis Global (GReAT) di Kaspersky.

Pembaruan Crowdstrike yang bermasalah ini memengaruhi banyak infrastruktur penting dengan sistem operasi Windows yang dilindungi Crowdstrike. Sektor-sektor yang terpengaruh mencakup rumah sakit, bank, maskapai penerbangan, bahkan infrastruktur pemerintah. Beberapa infrastruktur pemerintah tersebut mencakup NASA, Komisi Perdagangan Federal, Badan Kamanan Nuklir Nasional, layanan darurat 911 dan situs pemerintah Filipina. 

Insiden Crowdstrike memengaruhi infrastruktur yang menggunakan sistem dengan host Windows yang menjalankan sensor versi 7.11 dan di atasnya. Sistem yang online Jumat, 19 Juli 2024 antara pukul 04:09 UTC dan 05:27 UTC, serta menerima pembaruan mengalami insiden tersebut. Pembaruan Crowdstrike tidak memengaruhi host Mac dan Linux. Insiden Crowdstrike ini tidak disebabkan APT, tetapi hanya karena pembaruan perangkat lunak yang mengalami kesalahan. Sebelumnya, kegagalan rantai pasok juga pernah terjadi, contohnya adalah peretasan Linux XZ yang dilancarkan operasi canggih.

Serangan terkait rangkai pasok terjadi di awal tahun 2024 dengan modus penyusunan atau backdoor yang kompleks canggih. Penyusunan tersebut dilakukan pada serangkaian kode pemrograman data gratis, yaitu Linux XZ. Modus tersebut dilakukan dengan menyamarkan dan menyembunyikan untuk mengaitkan dan merusak logika OpenSSH untuk memungkinkan akses tidak resmi. Secure Shell (SSH) juga merupakan nama protokol jaringan kriptografi untuk mengoperasikan perangkat secara aman. Perangkat-perangkat tersebut bisa berupa server perusahaan, perangkat IoT, router jaringan, perangkat penyimpanan yang dipasang di jaringan dan lain-lain.

Saat ini, puluhan juta peralatan rumah tangga yang terhubung ke Internet of Things (IoT), jutaan server, pusat data, dan peralatan jaringan bergantung pada SSH yang berpotensi menyebabkan bencana yang akan mengerdilkan insiden Crowdstrike. Perusahaan perangkat lunak open source Red Hat mencatat bahwa insiden ini dilacak dalam Basis Data Kerentanan Nasional NIST sebagai kasus CVE-2024-30942 dengan skor keparahan maksimum 10, yang mengakui potensi eksploitasi oleh pelaku ancaman berbahaya.

Baca juga:  APAC Cybersecurity Weekend 2024 Bahas Tantangan yang Ditenagai AI
Analisis forensik menunjukkan bahwa komitmen tersebut dibuat pengguna GitHub dengan nama pengguna JiaT75 yang juga dikenal sebagai 'Jia Cheong Tan'. Pengguna tersebut bergabung dengan tim proyek XZ Utils dan berkontribusi pada proyek XZ sejak 2021. Identitas JiaT75 masih menjadi spekulasi karena kemungkinan ada beberapa pelaku ancaman yang bekerja dari satu akun meskipun diketahui bahwa akun tersebut beroperasi menggunakan VPN Singapura dan dalam zona waktu UTC+8.

Sosialisasi dengan kontributor lain dilakukan JiaT75 untuk membangun kepercayaan dari waktu ke waktu. JiaT75 menawarkan kontribusi positif demi mendapatkan kendali untuk memelihara arsip proyek XZ dan memperoleh hak istimewa untuk menggabungkan komitmen. Build XZ/libzma ditemukan telah dimodifikasi dan disamarkan dengan kompleks sehingga menjadi ketergantungan bagi SSH dengan beberapa sistem operasi. Modus ini memungkinkan akses tanpa batas ke sistem yang terinfeksi.

Insiden tersebut dapat dideteksi tepat waktu dan masih dilakukan penelitian. Hal ini menekankan bahwa rekayasa sosial yang dipadukan dengan sifat perangkat open source dapat menjadi jalur untuk serangan rantai pasok.

Kasus tersebut dianalisis secara komprehensif oleh pakar Kaspersky dengan memeriksa jurus rekayasa sosial yang digunakan. Analisis mencakup pemeriksaan jurus rekayasa sosial yang terlibat.

AI makin terintegrasi ke dalam masyarakat untuk berbagai penggunaan aspek AI. Beberapa aspek tersebut mencakup pengoptimalan infrastruktur di smart city dan peningkatan layanan kesehatan, pendidikan, pertanian dan lain-lain. Layaknya teknologi lain, AI juga tidak sempurna karena tergantung pada model pembelajaran dan pelatihan untuk mendapatkan masukan yang berarti. AI juga bisa menjadi sasaran rantai pasok dengan menyematkan input berbahaya.

"Cara potensial serangan rantai pasok terhadap AI adalah dengan memanipulasi data pelatihan dan memasukkan penyimpangan dan kerentanan ke dalam model atau memodifikasi model AI dengan versi yang diubah sehingga akan menghasilkan keluaran yang salah. Perilaku tersebut berpotensi sulit dideteksi sehingga memungkinkan kegiatan berbahaya tak terdeteksi dalam jangka waktu lama," lanjut Vitaly.

Serangan spear phishing dapat dibuat dengan memanipulasi AI model bahasa besar (LLM) yang tersedia luas seperti ChatGPT, CoPilot dan Gemini. Deepfake AI dapat dipakai untuk meniru karyawan dengan jabatan penting seperti kepala keuangan perusahaan untuk mencairkan dana. Kasus ini terjadi di Hong Kong dan menimbulkan kerugian sebesar USD25 juta.

Para spesialis di Pusat Penelitian Teknologi AI Kaspersky telah menerapkan AI pada keamanan siber dan mengembangkan AI Etis. Penerapan tersebut sudah dilakukan hampir dua dekade. Keahlian AI tim tersebut diintegrasikan ke dalam berbagai produk Kaspersky. Semua produk tersebut ditingkatkan, mulai dari deteksi ancaman yang disempurnakan AI dan prioritas peringatan, sampai intelijen ancaman yang didukung AI generatif. Organisasi juga perlu memiliki sejumlah strategi untuk mengatasi lanskap ancaman potensial dari serangan rantai pasok ini. Strategi ini dapat digunakan untuk mengurangi risiko dampak serangan rantai pasok pada infrastruktur organisasi.

Berikut ini adalah beberapa strategi yang dapat dimanfaatkan tersebut:

Vitaly berharap insiden Crowdstrike tidak akan terjadi lagi dengan berinvestasi pada sistem keamanan siber yang memiliki strategi untuk menyangkal serangan rantai pasok.