Hacker di balik pelanggaran data Twilio juga menargetkan karyawan Cloudflare

idNSA.id - Jaringan pengiriman konten dan perusahaan mitigasi DDoS Cloudflare mengungkapkan minggu ini bahwa setidaknya 76 karyawan dan anggota keluarga mereka menerima pesan teks di telepon pribadi dan kantor mereka.

Menurut perusahaan, serangan itu sangat mirip dengan yang baru-baru ini menargetkan perusahaan Komunikasi Twilio.

“Kemarin, 8 Agustus 2022, Twilio membagikan bahwa mereka telah  disusupi oleh serangan phishing yang ditargetkan. Sekitar waktu yang sama ketika Twilio diserang, kami melihat serangan dengan karakteristik yang sangat mirip juga menargetkan karyawan Cloudflare.” membaca pengumuman yang diterbitkan oleh Cloudflare. “

Sementara masing-masing karyawan terkena pesan phishing, kami dapat menggagalkan serangan melalui penggunaan produk  Cloudflare One kami sendiri, dan kunci keamanan fisik yang dikeluarkan untuk setiap karyawan yang diperlukan untuk mengakses semua aplikasi kami.”

Cloudflare menunjukkan bahwa sistemnya tidak terganggu, ia juga menambahkan bahwa tim intelijen ancaman Cloudforce One  dapat melakukan analisis tambahan atas serangan tersebut. Para ahli percaya bahwa ini adalah serangan canggih yang menargetkan karyawan dan sistem dari banyak organisasi,

Pada 20 Juli 2022, perusahaan menerima laporan tentang karyawan yang menerima pesan teks berisi tautan ke halaman login Cloudflare Okta. Perusahaan menggunakan Okta sebagai penyedia identitasnya dan pesan menyertakan tautan ke halaman phishing yang dirancang agar terlihat identik dengan halaman login Okta yang sah. Para penyerang mengirim pesan ke setidaknya 76 karyawan dalam waktu kurang dari 1 menit, tetapi tim keamanan perusahaan tidak dapat menentukan bagaimana pelaku ancaman memperoleh daftar nomor telepon karyawan.

“Mereka datang dari empat nomor telepon yang terkait dengan kartu SIM yang dikeluarkan T-Mobile: (754) 268-9387, (205) 946-7573, (754) 364-6683 dan (561) 524-5989. Mereka menunjuk ke domain yang tampak resmi: cloudflare-okta.com.” melanjutkan laporannya. “Domain itu telah didaftarkan melalui Porkbun, pendaftar domain, pada 2022-07-20 22:13:04 UTC — kurang dari 40 menit sebelum kampanye phishing dimulai.”

Setelah penerima pesan memberikan kredensialnya melalui halaman phishing, kredensial tersebut segera dikirim ke penyerang melalui layanan pesan Telegram. Para ahli menyatakan bahwa real-time relay sangat penting bagi penyerang karena halaman phishing juga akan meminta kode One Time Password (TOTP) berbasis waktu. Setelah memperoleh info ini, penyerang dapat mengakses halaman login perusahaan korban yang sebenarnya.

Menurut Cloudflare, hanya tiga karyawan yang jatuh karena pesan phishing dan memasukkan kredensial mereka. Namun, perusahaan tidak menggunakan kode TOTP, sebagai gantinya, karyawannya menggunakan kunci keamanan YubiKey yang sesuai dengan FIDO2. Ini berarti bahwa tanpa kunci perangkat keras, penyerang tidak dapat mengakses sistem perusahaan bahkan mengetahui kredensialnya.

Para peneliti juga menemukan bahwa dalam beberapa kasus halaman phishing digunakan untuk mengirimkan muatan berbahaya, termasuk perangkat lunak akses jarak jauh AnyDesk. Perangkat lunak akan memungkinkan penyerang untuk mengontrol mesin korban dari jarak jauh.

“Kami mengonfirmasi bahwa tidak ada anggota tim kami yang mencapai langkah ini. Namun, jika mereka memilikinya, keamanan endpoint kami akan menghentikan penginstalan perangkat lunak akses jarak jauh.” tutup Cloudflare.