Security

Penyusupan OAuth Klue: Kelompok “Icarus” Bobol Data Salesforce CRM untuk Pemerasan

1 hour ago
3 minutes read

Platform intelijen pasar terkemuka, Klue, dilaporkan mengalami insiden pelanggaran keamanan pada sistem otentikasi OAuth. Celah ini dimanfaatkan oleh kelompok kriminal siber baru bernama “Icarus” untuk mencuri data sensitif Customer Relationship Management (CRM) Salesforce milik berbagai perusahaan global, yang kemudian berlanjut pada kampanye pemerasan siber (extortion campaign).

Menanggapi insiden yang tengah diinvestigasi ini, pihak Salesforce langsung mengambil langkah tegas dengan menonaktifkan integrasi aplikasi Klue Battlecards secara sepihak di seluruh platformnya guna melindungi basis data pelanggan dari paparan kebocoran yang lebih luas.

Anatomi Serangan: Eksploitasi Kredensial Dormant Hingga Skrip Otomasi API

Berdasarkan laporan forensik digital dari perusahaan keamanan siber ReliaQuest dan Huntress (yang juga mengonfirmasi bahwa mereka turut menjadi korban dalam insiden ini), peretas menerapkan taktik infiltrasi yang cerdas pada rantai pasok perangkat lunak (supply chain):

[ Infiltrasi Backend Klue ] ──► Peretas Temukan Kredensial Dormant dari Prototip Lama
                                               │
                                               ▼
[ Injeksi Kode Malicious  ] ──► Dorong Pembaruan Kode untuk Curi Token OAuth Pelanggan
                                               │
                                               ▼
[ Eksploitasi Jarak Jauh  ] ──► Jalankan Skrip Python Otomatis untuk Kueri REST API Salesforce
                                               │
                                               ▼ (Gunakan Endpoint /sobjects & /query)
[ Penyedotan Data Massal  ] ──► Petakan Objek Berharga, Sedot Data CRM Selama 6-24 Jam
  1. Pintu Masuk Kredensial Dormant: Peretas pertama kali menyusup ke lingkungan backend Klue menggunakan sebuah kredensial lama yang berstatus tidak aktif namun masih valid (dormant but active credential) yang dulunya dibuat oleh Klue untuk proyek integrasi prototipe.
  2. Pencurian Token OAuth via Malicious Update: Setelah menguasai sistem internal, aktor siber menyuntikkan pembaruan kode berbahaya (malicious code update) yang dirancang khusus untuk memanen token OAuth milik pelanggan. Token-token inilah yang digunakan pelanggan untuk mengintegrasikan produk Klue Battlecards dengan platform pihak ketiga.
  3. Penyedotan Data Otomatis: Berbekal token OAuth curian tersebut, peretas meluncurkan skrip otomasi berbasis bahasa pemrograman Python untuk melakukan kueri langsung ke REST API Salesforce milik organisasi korban selama 6 hingga 24 jam penuh tanpa memicu kecurigaan awal.
  4. Taktik Burburst-and-Stealth: Di salah satu lingkungan korban, ReliaQuest mengamati penyerang awalnya bergerak secara perlahan (reconnaissance) melalui endpoint /services/data/v59.0/sobjects untuk memetakan objek data berharga. Setelah target teridentifikasi, mereka mengubah taktik menjadi sangat agresif dengan mengirimkan hampir 1.000 kueri dalam jendela waktu 15 menit menggunakan endpoint /services/data/v59.0/query demi menyedot data secepat mungkin.

Profil Kelompok “Icarus” dan Surel Pemerasan “Mr. Bean”

Meskipun metodologi serangan ini sangat mirip dengan gaya peretasan pihak ketiga yang biasa dilakukan oleh geng pemeras ShinyHunters, bukti digital mengarah kuat pada aktor baru bernama Icarus yang diperkirakan baru mulai aktif beroperasi pada April 2026.

          [ STRUKTUR OPERASI PEMERASAN KELOMPOK ICARUS ]
                                  │
    ┌─────────────────────────────┴─────────────────────────────┐
    ▼                                                           ▼
[ Surel Teror "Mr. Bean" ]                                  [ Dark Web Leak Site ]
• Target: Pengguna Integrasi Klue                          • Tajuk Utama: "Get Ready"
• Konten: Bukti Kebocoran Data CRM                         • Pesan: "big corps getting listed."
• Kontak: ID Session Messenger Khusus                      • Status: Negosiasi / Publikasi Data

Icarus mengirimkan surel pemerasan ke organisasi korban menggunakan nama alias “mr bean”. Di dalam surel tersebut, mereka menginstruksikan korban untuk membuka jalur komunikasi negosiasi tebusan melalui aplikasi pesan terenkripsi Session Messenger. Huntress mengonfirmasi bahwa ID Session yang diberikan dalam surel tersebut cocok dengan nilai ID yang terpampang di situs pembocor data (dark web leak site) milik kelompok Icarus.

Hingga saat ini, salah satu nama perusahaan korban sempat terpajang di situs Icarus namun kini telah dihapus, sebuah indikasi kuat bahwa proses negosiasi pembayaran tebusan sedang berjalan di belakang layar.

Dampak Kebocoran: Data Komunikasi Penjualan dan Laporan Kompetitif Korban

Berdasarkan investigasi internal yang dibagikan oleh Klue kepada para pelanggannya, tumpukan data yang berhasil dijarah oleh kelompok Icarus meliputi informasi sensitif terkait operasional bisnis (CRM), di antaranya:

  • Daftar kontak bisnis dan data akun pelanggan korporat.
  • Dokumen riwayat komunikasi penjualan (sales communications).
  • Berkas dokumen penawaran harga produk (price quotes).
  • Laporan analisis intelijen kompetitif pasar (competitive intelligence reports).

Meskipun data bisnis internal bocor, Huntress memastikan tidak ada bukti yang menunjukkan bahwa kekayaan intelektual inti, telemetri pelanggan, kata sandi (passwords), informasi kartu pembayaran (data finansial), atau sistem rekayasa teknik (engineering systems) ikut terkompromi dalam insiden siber ini.

Sebagai langkah lokalisasi dampak, Klue telah mematikan seluruh jalur integrasi eksternal mereka ke berbagai platform SaaS utama, meliputi Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive, dan Slack selama masa pemulihan sistem.

Tindakan Mitigasi Darurat Bagi Administrator Jaringan

Bagi organisasi yang mengintegrasikan sistem SaaS mereka dengan layanan Klue, para administrator IT (sysadmins) diimbau untuk segera menerapkan langkah-langkah penyelamatan berikut:

1. Blokir Indikator Ancaman (IP Address)

Segera periksa log akses Salesforce dan sistem SaaS perusahaan Anda. Lakukan pemblokiran (block) terhadap empat alamat IP berikut yang teridentifikasi digunakan oleh peretas Icarus untuk meluncurkan serangan kueri API:

  • 138.226.246.94
  • 212.86.125.24
  • 213.111.148.90
  • 94.154.32.160

2. Revokasi dan Rotasi Token OAuth

Lakukan pencabutan hak akses (revoke) secara paksa untuk seluruh token OAuth yang terhubung dengan aplikasi Klue Battlecards. Buat dan rotasi token baru setelah sistem backend dipastikan telah bersih.

3. Terminasi Sesi Aktif & Audit Log

Putus seluruh sesi masuk aktif (active sessions) yang mencurigakan di platform Salesforce. Lakukan audit menyeluruh terhadap log API untuk mendeteksi jika ada lonjakan aktivitas kueri data tidak wajar dalam beberapa pekan terakhir.

Sumber: ReliaQuest Enterprise Threat Analysis, Huntress Corporate Security Breach Disclosure, & Salesforce System Alert

Tags
1 hour ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button