Storm‑2949: Ketika Satu Identitas Diretas dan Membuka Akses ke Seluruh Cloud Azure dan Microsoft 365

Serangan Storm‑2949 yang diungkap Microsoft menunjukkan perubahan besar dalam cara pelaku siber menyerang infrastruktur cloud. Alih‑alih menggunakan malware, penyerang cukup menguasai satu akun pengguna lalu memanfaatkan layanan resmi Microsoft untuk menjelajah dan memperluas akses di seluruh lingkungan Microsoft 365 dan Azure.

Kasus ini memperlihatkan bahwa dalam ekosistem cloud modern, identitas pengguna sering menjadi titik serangan utama.

Awal serangan: satu akun yang diretas

Menurut laporan intelijen ancaman Microsoft, operasi Storm‑2949 dimulai dengan pengambilalihan satu identitas pengguna dalam sebuah tenant Microsoft Entra ID (nama baru Azure Active Directory).

Setelah berhasil masuk, pelaku langsung melakukan pemindaian direktori untuk memahami struktur organisasi cloud target.

Untuk melakukan ini, mereka menggunakan Microsoft Graph API, antarmuka resmi yang memungkinkan aplikasi membaca dan mengelola data di Microsoft 365 dan Azure.

Microsoft menemukan bahwa penyerang menggunakan skrip Python khusus untuk mengotomatisasi permintaan API tersebut. Skrip ini digunakan untuk:

• Mengambil daftar pengguna dan aplikasi
• Mengidentifikasi akun dengan hak akses tinggi
• Mencari pola nama atau atribut yang menunjukkan peran administratif

Dengan cara ini, pelaku dapat memetakan struktur identitas organisasi secara sistematis.

Penyalahgunaan Self‑Service Password Reset (SSPR)

Salah satu teknik penting dalam serangan ini adalah penyalahgunaan fitur Self‑Service Password Reset (SSPR) pada Microsoft Entra ID.

Fitur ini sebenarnya dirancang agar pengguna dapat memulihkan akun mereka sendiri tanpa bantuan tim IT. Namun dalam kasus Storm‑2949, proses pemulihan identitas tersebut dimanfaatkan untuk:

• memperkuat akses yang sudah diperoleh
• menjaga keberlanjutan akses di dalam tenant

Karena SSPR merupakan fungsi resmi sistem, aktivitas berbahaya dapat terlihat seperti proses pemulihan akun yang normal.

Eskalasi hak akses melalui Graph API dan Azure RBAC

Setelah menemukan akun dan layanan bernilai tinggi, penyerang meningkatkan hak akses menggunakan mekanisme kontrol cloud yang sah.

Dua komponen utama yang digunakan adalah:

• Microsoft Graph API, untuk berinteraksi dengan objek direktori
• Azure Role‑Based Access Control (RBAC), sistem yang mengatur izin pada sumber daya Azure

Dengan memahami struktur peran dan izin dalam tenant, penyerang dapat menemukan jalur untuk mendapatkan akses administratif yang lebih luas.

Akses ke sumber daya Azure penting

Setelah memperoleh hak akses lebih tinggi, pelaku mulai menjangkau berbagai layanan Azure yang kritis bagi operasional organisasi, termasuk:

• App Services
• Azure Key Vaults
• database SQL
• virtual machines

Layanan‑layanan ini sering menyimpan rahasia aplikasi, kredensial, data operasional, dan beban kerja produksi, sehingga menjadi target bernilai tinggi dalam serangan cloud.

Menghindari deteksi dengan alat admin resmi

Serangan ini sulit dideteksi karena pelaku tidak menginstal malware atau alat eksternal.

Sebaliknya, mereka menggunakan alat administrasi bawaan Azure, seperti:

• VMAccess
• Run Command
• PowerShell

Alat‑alat ini biasanya digunakan oleh administrator sistem. Akibatnya, aktivitas berbahaya dapat terlihat seperti operasi administratif yang sah dalam log sistem.

Pendekatan ini memungkinkan penyerang bergerak di dalam lingkungan cloud tanpa memicu alarm keamanan tradisional.

Eksfiltrasi data selama beberapa hari

Tahap akhir serangan melibatkan pencurian data sensitif secara bertahap selama beberapa hari dari lingkungan cloud yang telah ditembus.

Durasi operasi ini menunjukkan bahwa pelaku mampu mempertahankan akses dan beroperasi cukup lama tanpa segera terdeteksi oleh sistem pertahanan organisasi.

Mengapa serangan berbasis identitas sulit dideteksi

Kasus Storm‑2949 menggambarkan tren yang semakin umum dalam keamanan cloud: penyerang mengeksploitasi identitas dan API resmi alih‑alih memanfaatkan malware atau kerentanan perangkat lunak.

Serangan semacam ini sulit dideteksi karena:

• menggunakan kredensial yang valid
• memanfaatkan proses autentikasi resmi
• melakukan enumerasi melalui API yang sah
• meningkatkan hak akses lewat sistem izin bawaan
• menggunakan alat administrasi resmi

Jika seluruh aktivitas terjadi di dalam layanan tepercaya, sistem keamanan endpoint tradisional sering kali tidak melihat sesuatu yang mencurigakan.

Rekomendasi keamanan dari Microsoft

Microsoft merekomendasikan sejumlah langkah untuk mengurangi risiko serangan berbasis identitas seperti ini.

Perkuat perlindungan identitas
Pastikan satu akun yang diretas tidak dapat membuka akses ke seluruh tenant.

Amankan konfigurasi SSPR
Tinjau pengaturan Self‑Service Password Reset, terutama untuk akun dengan hak administratif.

Terapkan MFA dan conditional access yang kuat
Autentikasi multi‑faktor dan kontrol akses berbasis konteks dapat mengurangi nilai kredensial yang dicuri.

Pantau aktivitas Microsoft Graph API
Tim keamanan harus memonitor pola enumerasi direktori atau permintaan API otomatis yang tidak biasa.

Audit izin Azure RBAC
Pastikan prinsip least privilege diterapkan dan tidak ada peran dengan akses berlebihan.

Pantau penggunaan alat administrasi
Konfigurasikan peringatan untuk penggunaan VMAccess, Run Command, atau PowerShell yang tidak biasa.

Lindungi sumber daya Azure yang sensitif
Batasi akses dan tingkatkan pemantauan pada layanan penting seperti Key Vault, database, dan VM produksi.

Pelajaran utama dari Storm‑2949

Serangan ini menunjukkan bahwa dalam lingkungan cloud modern, identitas adalah permukaan serangan utama.

Begitu penyerang menguasai satu akun, mereka dapat memanfaatkan API, sistem izin, dan alat administrasi resmi untuk bergerak di dalam cloud tanpa perlu menjalankan malware sama sekali.

Karena itu, organisasi perlu memperluas pemantauan keamanan ke area seperti perilaku identitas, aktivitas API, perubahan izin, dan aktivitas control plane cloud—bukan hanya aktivitas endpoint.