Pada awal April, kami membahas
serangan ShadowHammer pada laptop Asus sebagai contoh kampanye malware menggunakan rantai pasokan. Serangan pada rantai pasokan sangat menarik bagi para peneliti dan bahaya tertentu untuk bisnis justru karena mereka membahayakan saluran komunikasi tepercaya. Membeli komputer yang sudah terinfeksi dalam beberapa cara, meretas subkontraktor yang memiliki akses ke sumber daya perusahaan klien, mendistribusikan versi perangkat lunak yang terinfeksi dari situs pengembang resmi adalah contoh khas serangan pada rantai pemasok.
Masalahnya mungkin bahkan lebih serius ketika korban adalah perusahaan yang menyediakan Anda dengan layanan infrastruktur TI jarak jauh atau menyediakan layanan untuk pengembangan perangkat lunak dan implementasi sistem TI. Mengalihtugaskan tugas-tugas ini ke pihak ketiga adalah praktik yang umum. Pekan lalu, diketahui tentang serangan terhadap perusahaan India Wipro, penyedia utama layanan TI. Pertama, jurnalis independen Brian Krebs menulis tentang kompromi jaringan perusahaan Wipro, dan kemudian informasinya dikonfirmasi di perusahaan itu sendiri (
berita ,
artikel oleh Brian).
Wipro adalah penyedia layanan TI yang sangat besar dengan omzet $ 8 miliar per tahun dan puluhan ribu pelanggan di seluruh dunia, termasuk perusahaan terkemuka dan agen pemerintah. Jumlah karyawan melebihi 170 ribu. Contoh proyek yang disebutkan di media: menerapkan sistem ERP, memperbarui infrastruktur untuk memproses kebijakan asuransi kesehatan, menerapkan sistem dukungan pelanggan. Proyek kompleks pada tingkat ini memerlukan akses luas untuk perwakilan perusahaan ke jaringan pelanggan perusahaan.
Apa yang andal terjadi di perusahaan pada Maret 2019 tidak diketahui: wartawan Brian Krebs didasarkan pada sumber anonim di sisi pelanggan Wipro, dan perusahaan itu sendiri tidak mengungkapkan rincian dalam pernyataannya. Kecuali satu: phishing menjadi metode awal untuk menembus jaringan perusahaan perusahaan. Diduga, para penyerang berhasil mendapatkan akses ke komputer salah satu karyawan perusahaan, yang kemudian digunakan untuk menyerang karyawan lain. ScreenConnect perangkat lunak yang sah digunakan untuk remote control perangkat akhir - menurut sumber yang berpartisipasi dalam penyelidikan, itu ditemukan pada ratusan komputer yang memiliki akses ke jaringan internal Wipro dan infrastruktur pelanggan pelanggan perusahaan. Utilitas Mimikatz, program freeware untuk mengekstraksi kata sandi pada komputer yang menjalankan Windows, juga digunakan.
Tapi ini menurut sumber "anonim". Secara resmi, dalam
komentarnya kepada India Times, perwakilan Wipro hanya mengakui keberhasilan serangan phishing dan mengumumkan perekrutan ahli independen untuk melakukan penyelidikan. Kemudian, selama negosiasi dengan investor (menurut Krebs), seorang perwakilan perusahaan menggambarkan insiden itu sebagai "serangan zero-day".
Sumber Krebs mengisyaratkan bahwa tidak ada yang rumit dalam serangan ini. Cepat (dalam beberapa minggu) itu dilacak karena fakta bahwa para penyerang mulai menggunakan akses yang baru diperoleh ke infrastruktur perusahaan untuk penipuan dengan kartu hadiah rantai ritel. Orang-orang dengan niat serius, tidak menukar hal-hal sepele seperti itu, bisa tetap tidak terdeteksi lebih lama.
Setidaknya di bidang publik, reaksi Wipro terhadap insiden itu adalah, dengan kata lain, tidak ideal: mereka tidak mengenali masalah untuk waktu yang lama, mereka tidak memberikan rincian serangan, mereka membuat pernyataan yang berlawanan (phishing, kemudian ziro-dei). Transparansi maksimum yang mungkin dalam pengungkapan informasi tentang insiden cyber tidak hanya menjadi norma etis untuk bisnis, tetapi juga secara bertahap berubah menjadi persyaratan legislatif di banyak negara. Dengan satu atau lain cara, setidaknya satu klien perusahaan memilih untuk memblokir akses ke sistem TI mereka sendiri untuk semua karyawan Wipro sampai penyelidikan selesai. Organisasi India sendiri sedang berupaya memperkenalkan email perusahaan yang lebih aman.
Untuk serangan rantai pasokan, deskripsi terperinci tentang serangan dan penilaian yang sadar tentang kerusakan yang dilakukan sangat penting. Bukan untuk media untuk menulis tentang itu - penting bagi klien dari perusahaan yang terkena dampak untuk memahami apa yang terjadi dan langkah apa yang harus diambil untuk melindungi diri mereka sendiri. Sebuah studi baru-baru ini
menunjukkan bahwa dalam sekitar setengah kasus, penyerang mencoba menggunakan infrastruktur yang diretas dari satu perusahaan untuk menyerang organisasi lain.
Untuk melindungi dari serangan semacam itu, ada baiknya mengevaluasi kembali tingkat kepercayaan pada perusahaan layanan pihak ketiga. Salah satu contohnya adalah insiden dengan layanan email Microsoft minggu lalu (
berita ). Perusahaan secara proaktif mengirimkan rekomendasi untuk mengubah kata sandi beberapa pengguna layanan email Outlook, Hotmail dan MSN. Ternyata, para penyerang meretas akun salah satu rekanan yang menyediakan layanan dukungan teknis pengguna. Mitra tersebut tidak memiliki akses ke kata sandi kotak surat, tetapi mereka dapat melihat beberapa konten - topik pesan, alamat responden, daftar folder surat. Dalam beberapa kasus, menurut situs web Motherboard, penyerang bisa mendapatkan akses ke isi surat. Meskipun akses penyerang diblokir, tidak mungkin untuk menilai berapa banyak data yang ada di tangan mereka dan bagaimana data itu akan digunakan di masa depan.
Penafian: Pendapat yang dikemukakan dalam intisari ini tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.