Penyedia Layanan Keamanan Email Mimecast Jadi Korban Peretasan SolarWinds

Cyberthreat.id – Perusahaan penyedia layanan keamanan email berbasis cloud, Mimecast, mengumumkan baru-baru ini juga turut menjadi korban serangan rantai pasokan (supply chain attack) perangkat lunak Orion buatan SolarWinds.

Menurut Mimecast, peretas telah melanggar jaringan komputernya pada awal Januari dan mengunduh kode sumber dari sejumlah repositori (penyimpanan) terbatas, demikian seperti dikutip dari BleepingComputer, diakses Minggu (21 Maret 2021).

Peretas yang diduga berafiliasi dengan China membobol perusahaan dengan malware “pintu belakang” Sunburst. Malware ini diduga telah menginfeksi pembaruan otomatis pada perangkat lunak pemantau alat-alat TI, Orion. SolarWinds, perusahaan TI asal AS, menyatakan ada 18.000 pelanggan SolarWinds yang menginstal Orion dalam kasus tersebut.

“Peretas mengakses sertifikat yang diterbitkan Mimecast dan informasi koneksi server pelanggan terakit. Peretas juga mengakses subset dari alamat email dan informasi kontak lainnya, serta kredensial terenkripsi,” ujar Mimecast.

Perusahaan meyakini bahwa kode sumber yang dieksfiltrasi oleh peretas tidak lengkap dan tidak cukup untuk mengembangkan versi yang bisa bekerja di layanan Mimecast.

"Kami tidak percaya bahwa peretas membuat modifikasi apa pun pada kode sumber kami," perusahaan menambahkan.

"Analisis forensik dari semua perangkat lunak Mimecast yang diterapkan pelanggan telah mengonfirmasi bahwa proses pembuatan perangkat lunak yang didistribusikan Mimecast tidak dirusak."

Meskipun Mimecast tidak mengungkapkan jumlah pasti pelanggan yang menggunakan sertifikat yang dicuri tersebut, perusahaan mengatakan bahwa sekitar 10 persen pelanggan menggunakan koneksi tersebut.

Produk Mimecast digunakan oleh lebih dari 36.000 pelanggan, berarti sekitar 10 persen atau sekitar 3.600 pelanggan berpotensi terpengaruh.

“Penyelidikan kami mengungkapkan aktivitas mencurigakan dalam segmen lingkungan jaringan produksi kami yang berisi sejumlah kecil server Windows,” ujar Mimecast.

“Pergerakan lateral dari titik akses awal ke server ini konsisten dengan mekanisme yang dijelaskan oleh Microsoft dan organisasi lain yang telah mendokumentasikan pola serangan aktor ancaman ini.”

Selain itu, “Kami menentukan bahwa peretasmemanfaatkan lingkungan Windows kami untuk melakukan kueri, dan berpotensi mengekstrak, kredensial akun layanan terenkripsi tertentu yang dibuat oleh pelanggan yang dihosting di Amerika Serikat dan Inggris Raya.”

“Kredensial tersebut membangun koneksi dari penyewa Mimecast ke layanan lokal dan cloud, yang mencakup LDAP, Azure Active Directory, Exchange Web Services, POP3 journaling, dan SMTP-authenticated delivery routes,” ujar perusahaan.

Namun, “Kami tidak memiliki bukti bahwa peretas mengakses email atau konten arsip yang kami miliki atas nama pelanggan kami,” perusahaan menambahkan.

Selama penyelidikan, Mimecast menemukan metode akses tambahan yang dibuat oleh peretas SolarWinds untuk mempertahankan akses ke sistem Windows yang diretas.[]