Ditemukan Trojan Aplikasi Comm100, Potensial Serangan Rantai Pasokan Mirip SolarWinds

Cyberthreat.id – Perusahaan keamanan siber Amerika Serikat, CrowdStrike, menemukan sebuah perangkat lunak berbahaya (malicious software/malware) yang didistribusikan oleh Comm100.

Comm100 adalah sebuah perusahaan layanan konsumen yang berbasis di Vancouver, Kanada. Mereka menyediakan layanan aplikasi, di antaranya chat bot dan manajemen media sosial yang tersebar di sejumlah negara.

Di situswebnya, Comm100 mengatakan memiliki lebih dari 15.000 pelanggan di sekitar 80 negara.

Namun, sejauh ini belum diketahui secara jelas bagaimana cakupan dan skala peretasan menggunakan malware tersebut.

CrowdStrike menyebutkan bahwa serangan itu masuk dalam kategori “serangan rantai pasokan” (supply chain compromise), mirip halnya insiden peretasan SolarWinds yang terungkap akhir 2020. (Baca: Ada 62 Entitas di Indonesia yang Rentan Peretasan Orion SolarWinds)

“Serangan rantai pasokan tersebut memakai installer trojan pada aplikasi Comm100 Live Chat,” kata CrowdStrike di blog perusahaan, Jumat (30 September 2022).

Serangan diduga terjadi antara 27-29 September 2022. File jenis trojan (malware yang meniru aplikasi resmi, biasa dipakai untuk memata-matai atau mencuri data) tersebut teridentifikasi telah menyerang sejumlah sektor seperti rumah sakit, perusahaan teknologi, asuransi, dan telekomunikasi di Amerika Utara (AS dan Kanada) dan Eropa.

“CrowdStrike Intelligence memiliki keyakinan bahwa aktor yang bertanggung jawab atas serangan ini kemungkinan memiliki kaitan dengan China,” tulis perusahaan.

Bagaimana modus serangan terjadi?

Peneliti CrowdStrike menggambarkan bahwa malware dikirimkan melalui installer aplikasi Comm100 yang dapat diunduh melalui situsweb perusahaan.

Perlu diketahui bahwa installer yang ditandatangani sertifikat Comm100 Network Corporation valid tersedia pada 26 September pukul 14.54 UTC (21.00 WIB).

Sementara temuan CrowdStrike bahwa  “agen desktop Microsoft Windows 7+ yang dihosting di https[:]//dash11.comm100[.] io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe yang tersedia hingga pagi hari tanggal 29 September adalah penginstal trojan.”

Sejak temuan itu, Com100 menyatakan telah memperbaiki kerentanan dengan merilis pengisntal terbaru versi 10.0.9.

Keyakinan bahwa serangan itu berasal dari peretas China, CEO CrowdStrike Adam Meyers mengatakan kepada Reuters, bahwa dugaan itu dilihat dari pola perilaku malware, bahasa dalam kode, dan fakta bahwa “Satu korban telah berulang kali menjadi sasaran peretas Cina sebelumnya,” ujarnya.

Pemerintah China membantah tudingan tersebut. Dalam sebuah email, juru bicara Kedutaan Besar China Liu Pengyu mengatakan para pejabat di Beijing "dengan tegas menentang dan menindak semua bentuk peretasan dunia maya sesuai dengan hukum" dan bahwa Amerika Serikat "sangat aktif dalam mengarang dan menyebarkan kebohongan tentang apa yang disebut Peretas Cina."[]