Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Internet

Internet

Taktik Cyber Rusia Mendorong FCC untuk Mengatasi Keamanan Internet Routing

by

Komisi Komunikasi Federal (FCC) mengutip agresi Rusia terhadap Ukraina dalam mengumumkan persetujuan bulatnya atas pemberitahuan penyelidikan untuk penggunaan yang aman dari Border Gateway Protocol, sistem perutean internet.

“Pekan lalu, Departemen Keamanan Dalam Negeri memperingatkan organisasi AS di semua tingkatan bahwa mereka dapat menghadapi ancaman dunia maya yang berasal dari konflik Rusia-Ukraina,” bunyi siaran pers dari FCC, Senin.

“Pemberitahuan ini akan memulai penyelidikan atas kerentanan sistem perutean global internet. Penyelidikan juga akan memeriksa dampak dari kerentanan ini pada transmisi data melalui email, e-commerce, transaksi bank, Voice-over Internet Protocol yang saling berhubungan dan panggilan 911—dan cara terbaik untuk mengatasi tantangan ini.”

Digunakan bersama dengan botnet, BGP dapat dimanipulasi untuk mengeksekusi serangan distributed denial of service seperti yang baru-baru ini dialami di Ukraina. AS telah mengaitkan serangan DDoS itu dengan Rusia. Pemberitahuan FCC menjelaskan bagaimana musuh juga dapat mengeksploitasi kerentanan di BGP untuk mengarahkan lalu lintas dan mencuri data.

Pemberitahuan tersebut mencantumkan berbagai upaya selama bertahun-tahun baik di dalam maupun di luar komisi untuk menetapkan penggunaan BGP yang aman.

Institut Standar dan Teknologi Nasional, Satuan Tugas Teknik Internet, Masyarakat Internet, dan Dewan Keandalan dan Interoperabilitas Keamanan Komunikasi milik FCC memiliki semua praktik terbaik yang terdokumentasi untuk mengatasi risiko keamanan yang terkait dengan protokol. Namun hal tersebut belum diterapkan secara komprehensif oleh penyedia layanan internet.

Selengkapnya: Nextgov

Saat Perang Dimulai, Ukraina Beralih ke Telegram

by

Setiap hari selama dua tahun terakhir, ribuan orang Ukraina membuka saluran resmi Telegram Covid-19 untuk berita pandemi terbaru. Akun @COVID19_Ukraine membagikan angka kasus harian, jumlah orang yang meninggal, dan saran kesehatan terbaru dari pemerintah. Jutaan orang membaca saluran tersebut selama krisis kesehatan global.

Tetapi ketika pasukan Rusia berbaris menuju perbatasan Ukraina, saluran itu merespons. Saluran tersebut menanyakan apakah anggota menginginkan update tentang berita “sosial-politik” terbaru? Orang-orang sangat memilih untuk adanya perubahan. Sejak itu saluran Telegram telah membagikan berita perang terbaru 24 jam sehari—mengubah nama tampilannya menjadi @UkraineNOW—dan menjadi sumber penting informasi terverifikasi bagi warga Ukraina.

Pada hari-hari sejak perang dimulai, WIRED telah meninjau ratusan posting Telegram dari akun dan politisi pemerintah Ukraina yang diverifikasi. Pesan mereka membantu menjaga orang tetap aman, menghilangkan prasangka disinformasi Rusia, dan melawan ancaman yang muncul.

Dengan hampir 500.000 anggota sebelum invasi Rusia, UkrainaNOW sudah menjadi salah satu saluran Telegram terbesar di negara itu. Sekarang satu juta orang bergantung padanya untuk mendapatkan informasi terbaru tentang perang.

Selain mempromosikan pesan resmi, pemerintah Ukraina juga menggunakan Telegram untuk meminta bantuan dari warganya. Fedorov membentuk “Tentara TI” yang didukung pemerintah dari peretas sukarelawan menggunakan Telegram; lebih dari 200.000 orang telah mendaftar.

Selengkapnya: Wired

Banjir lalu lintas sampah berbahaya membuat situs web Ukraina tidak dapat dijangkau

by

Kementerian Pertahanan Ukraina dan dua bank ditutup pada hari Selasa oleh banjir lalu lintas berbahaya yang dirancang untuk mencegah orang mengunjungi situs tersebut, kata pusat keamanan informasi Ukraina.

Serangan penolakan layanan terdistribusi menargetkan situs web untuk kementerian pertahanan Ukraina, Angkatan Bersenjata Ukraina, dan dua bank, Privatbank dan Oschadbank, Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi negara itu melaporkan. Pada saat posting ini dilaporkan, situs Kementerian Pertahanan tetap tidak dapat dijangkau sama sekali. Sementara itu, hanya beranda PrivatBank yang tersedia, dan telah dirusak. Situs Oschadbank hanya menyediakan akses terbatas.

Banjir data berbahaya juga dilaporkan oleh polisi siber Ukraina, tetapi pada saat posting ini dilaporkan, upaya untuk mengunjungi sebagian besar situs web departemen tidak berhasil. Halaman beranda mengatakan: “Kami mohon maaf atas ketidaknyamanan ini. Situs ini sedang dalam pemeliharaan.”

Kampanye yang menggunakan DDoSes (kependekan dari distributed denial-of-service) mengirimkan arus lalu lintas sampah yang dimaksudkan untuk membanjiri target sehingga mereka tidak dapat memberikan layanan. DDoSes bisa sulit dihentikan karena dikirimkan oleh sejumlah besar perangkat yang didistribusikan di wilayah geografis yang luas. Mereka analog dengan membanjiri kedai pizza dengan begitu banyak panggilan sehingga tidak dapat menerima pesanan dari pelanggan.

Meskipun DDoS memiliki kapasitas untuk melumpuhkan situs web atau bahkan sebagian besar Internet, gangguan yang ditimbulkannya bersifat sementara dan biasanya hanya berlangsung selama pihak yang bertanggung jawab terus mengirimkan torrent atau hingga layanan mitigasi DDoS menyaring lalu lintas sampah.

Perusahaan pengamatan jaringan Kentik telah melacak lalu lintas Internet yang mengalir melalui Ukraina. Grafik menunjukkan DDoSes mulai hari Selasa, ketika volume lalu lintas ke berbagai target tiba-tiba melonjak berkali-kali lipat. AS28907, sistem otonom yang menampung Angkatan Darat Ukraina, dihantam oleh tiga gelombang, seperti yang ditunjukkan oleh dua gambar berikut:

Gambaran sederhana lalu lintas yang diterima.

AS60173 DAN AS15742, yang masing-masing menampung Oschadbank dan PrivatBank, mengalami banjir serupa:

DDoSes tiba saat Rusia telah mengumpulkan lebih dari 100.000 tentara di perbatasannya dengan Ukraina. Tidak ada bukti bahwa pemerintah atau warga Rusia berada di balik aksi siber, tetapi pernyataan dari Pusat Komunikasi Strategis dan Keamanan Informasi Ukraina yang diposting di Facebook mengisyaratkan siapa yang dicurigai.

Sumber : Arstechnica

Target Internet Paling Menggoda

by

Jumlah aset yang terpapar terus meningkat, tetapi strategi keamanan yang ada tidak mengikuti. Permukaan serangan semakin kompleks, dan bagian yang sangat sulit adalah mencari tahu di mana harus fokus. Untuk setiap 1.000 aset di permukaan serangan, seringkali hanya ada satu yang benar-benar menarik bagi penyerang. Tapi bagaimana seorang bek bisa tahu yang mana itu?

Randori meneliti perangkat lunak yang terpapar internet apa yang paling menggoda bagi penyerang dengan menggunakan enam atribut yaitu: enumerabilitas, eksploitabilitas, kekritisan, penerapan, potensi pasca-eksploitasi, dan potensi penelitian.

Log4j
Tim penyerang kami melakukan eksploitasi dalam waktu satu jam, dan dapat menggunakannya di lingkungan VMware langsung pada hari yang sama. Meskipun komunitas keamanan secepat mungkin menerapkan tambalan dan strategi perbaikan, kemungkinan ada beberapa layanan yang masih menjalankan kode yang rentan. Karena sangat mudah untuk dieksploitasi dan variasi baru dari kerentanan Log4Shell kemungkinan besar akan muncul, itu akan menempati peringkat tinggi dalam daftar penyerang mana pun.

VPN
VPN sering kali tidak ditambal, salah konfigurasi, dan tidak terlindungi dengan baik. Jika penyerang mengeksploitasi perangkat yang satu ini, mereka dapat menjangkau perangkat tambahan yang dilindunginya. Mereka juga dikenal sebagai target eksploitasi; sebenarnya kami menemukan 9,8 CVE pada produk Global Protect Palo Alto.

Solarwinds versi lama
Penyerang kemungkinan menempatkannya di urutan teratas daftar mereka karena 1) ada eksploitasi yang diketahui; 2) Solarwinds biasanya merupakan teknologi mission-critical untuk bisnis yang dapat memberikan akses istimewa kepada penyerang; dan 3) banyak digunakan. Satu eksploitasi dapat digunakan untuk melawan banyak orang.

Versi lama Microsoft IIS 6
Microsoft IIS 6 TIDAK didukung selama lebih dari setengah dekade. Penyerang menyukai perangkat lunak lama yang terbuka yang tidak lagi didukung. Pada tahun 2015 Dengan banyak kelemahan publik yang diketahui dan penerapan yang tinggi, IIS 6 adalah sesuatu yang mungkin diasumsikan oleh beberapa orang sebagai honeypot, tetapi penyerang lebih tahu—ini adalah target yang menarik.

Versi Microsoft OWA yang lebih lama
Ingat pelanggaran Windows Exchange dari tahun lalu yang berdampak pada 30.000 perusahaan? Terlepas dari risikonya, banyak perusahaan terus mengekspos OWA ke internet. Beberapa kerentanan yang diketahui dapat memberikan akses jarak jauh kepada penyerang dan diketahui dieksploitasi secara aktif.

Semakin banyak penyerang tahu tentang suatu sistem, semakin menggoda. Salah satu aspek yang sering menaikkan skor godaan OWA misalnya adalah penggunaan pengaturan default yang mengekspos informasi versi rinci. Layanan yang mengekspos nama, versi, dan lebih baik lagi, informasi konfigurasi, memudahkan penyerang untuk memeriksa silang untuk melihat apakah ada kerentanan publik yang diketahui atau eksploitasi yang dipersenjatai terhadap versi spesifik itu dan untuk mengonfirmasi apakah eksploitasi akan mendarat.

Tidak ada sistem yang akan sepenuhnya aman, tetapi membatasi informasi yang dapat dilakukan penyerang dari gerbang akan sangat membantu untuk menghilangkan angin dari layar mereka.

Ini bisa berarti menambahkan pencatatan/pemantauan, firewall aplikasi web, atau segmentasi ke aset penting di permukaan serangan — atau bahkan membuat sistem offline sepenuhnya jika mereka tidak perlu berkomunikasi dengan internet.

Selengkapnya : Threat Post

Migrasi pusat data eNom membuat situs-situs menjadi offline

by

Migrasi pusat data dari penyedia hosting web eNom menyebabkan masalah resolusi domain yang tidak terduga yang diperkirakan akan berlangsung selama beberapa jam.

Pelanggan mulai mengeluh bahwa mereka tidak dapat lagi mengakses situs web dan email mereka karena masalah Domain Name System (DNS).

Perusahaan mengatakan bahwa mereka menerima laporan domain yang menggunakan nameservers eNom yang gagal resolve dan mengakui masalah tersebut.

Setelah melihat ke dalam masalah, perusahaan telah menemukan bahwa masalah resolusi domain mempengaruhi beberapa ratus domain. eNom memperkirakan bahwa pemadaman akan berlangsung selama beberapa jam.

Pelanggan eNom yang terkena dampak tidak dapat mengubah nameserver karena eNom sedang tidak aktif dan yang dapat mereka lakukan hanyalah menunggu migrasi selesai.

Selengkapnya: Bleeping Computer

Inggris memenjarakan pria karena memata-matai remaja, mencuri foto menggunakan RAT

by

Seorang pria Nottingham dipenjara minggu ini selama lebih dari dua tahun setelah meretas komputer dan telepon puluhan korban, beberapa di antaranya di bawah umur, dan memata-matai mereka menggunakan trojan akses jarak jauh (RAT).

Robert Davies, 32 tahun menggunakan profil media sosial online palsu dan akun Skype untuk memancing korbannya dan meretas perangkat mereka dengan mengirimkan tautan yang memungkinkannya menginfeksi mereka dengan RAT yang dikaburkan menggunakan crypters (ini membantu alat jahat menghindari alat deteksi anti-malware ).

“Dia kemudian menggunakan RAT untuk mendapatkan akses jarak jauh ke perangkat mereka dan mencuri gambar seksual (terutama wanita) yang mereka simpan di sana,” kata Badan Kejahatan Nasional Inggris dalam siaran pers.

Dia juga merupakan pelanggan “We Leak Info”, pasar online besar yang mengklaim menyediakan akses ke sekitar 12,5 miliar catatan yang dicuri dari pelanggaran data sebelum dihapus oleh penegak hukum pada Januari 2020.

Davies menggunakan aksesnya ke komputer dan telepon korban untuk mencuri dan membangun koleksi ekstensif gambar orang dewasa dan anak-anak yang tidak senonoh (penyelidik menemukan lusinan gambar dan video anak-anak saat menganalisis data di komputer yang disita).

Davies hanya mendarat di radar NCA setelah penyelidik melihatnya membeli berbagai alat kejahatan dunia maya secara online, termasuk RAT dan crypter yang kemudian dia gunakan untuk berkompromi dan mengakses perangkat korbannya dari jarak jauh.

“Yang lebih mengganggu adalah fakta bahwa setidaknya salah satu korbannya adalah seorang remaja dan kami menemukan koleksi gambar dan video pelecehan seksual anak di komputernya.”

Davies minggu ini dijatuhi hukuman 26 bulan penjara setelah mengaku bersalah atas 24 pelanggaran Undang-Undang Penyalahgunaan Komputer, memiliki dan membuat gambar anak-anak yang tidak senonoh, dan memiliki gambar-gambar porno yang ekstrim.

“Secara total petugas NCA mengidentifikasi dan mengunjungi lebih dari 30 korban Davies selama penyelidikan,” tambah NCA.

Hukuman itu dijatuhkan setelah ditangkap tiga kali selama hampir dua tahun, antara November 2019 dan Agustus 2021, setiap kali didakwa atas pelanggaran tambahan saat petugas menganalisis informasi yang dikumpulkan dari perangkatnya.

Sumber : Bleeping Computer

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

by

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Sumber : Martin HSU

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

  • 2021-12-06: Laporan kedua tentang kerentanan diterima
  • 2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
  • 2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
  • 2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
  • 2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

TrickBot bekerja sama dengan Phisher Shatak untuk serangan Ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan. Operasi Shatak membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021 hingga hari ini. Serangan dimulai dengan email phishing yang dikirim oleh Shatak, kemudian mereka membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut IBM X-Force, Shatak menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip kode yang disandikan base-64 untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh. Kemudian ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke tugas terjadwal untuk ketekunan.

Aktor Conti menggunakan BazarBackdoor untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama. Mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa untuk menyebar secara lateral melalui jaringan.

Fitur pemantauan real-time Windows Defender juga dinonaktifkan untuk mencegah peringatan atau intervensi selama proses enkripsi. setelah itu mereka melakukan eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan menggunakan alat ‘Rclone’ untuk mengirim semuanya ke titik akhir jarak jauh di bawah kendali mereka. Conti menonaktifkan perlindungan real-time Defender.

Conti menonaktifkan perlindungan real-time Defender.
Sumber: Cybereason

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam laporan Computer Emergency Response Team (CERT) Prancis, TA551 muncul sebagai kolaborator ‘Lockean’, grup ransomware yang baru ditemukan dengan banyak afiliasi.

Shatak mengirim email phishing untuk mendistribusikan trojan perbankan Qbot/QakBot, yang digunakan untuk menyebarkan infeksi ransomware ProLock, Egregor, dan DoppelPaymer.

TA551 mungkin memiliki lebih banyak kolaborasi dengan geng ransomware lain selain yang ditemukan oleh para analis. Pelaku ancaman ini juga diidentifikasi dengan nama yang berbeda, seperti Shathak, UNC2420, dan Gold Cabin.

Pertahanan terbaik terhadap jenis serangan ini adalah dengan melatih karyawan tentang risiko email phishing. Admin juga harus menerapkan penggunaan otentikasi multi-faktor pada akun, menonaktifkan layanan RDP yang tidak digunakan, memantau log peristiwa yang relevan untuk perubahan konfigurasi yang tidak biasa, serta mencadangkan data penting secara teratur kemudian membuat cadangan tersebut offline sehingga tidak dapat ditargetkan oleh pelaku ancaman.

Selengkapnya : Bleeping Computer