Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region

Region

Serangan Siber di Pelabuhan Los Angeles Telah Berlipat Ganda Sejak Pandemi

by

Jumlah serangan bulanan yang menargetkan Pelabuhan Los Angeles sekarang sekitar 40 juta, direktur eksekutif pelabuhan Gene Seroka mengatakan kepada BBC.

Los Angeles adalah pelabuhan tersibuk di belahan bumi barat, menangani lebih dari $250 miliar (£210bn) kargo setiap tahun.

Ancaman diyakini datang terutama dari Eropa dan Rusia, dan bertujuan untuk mengganggu ekonomi AS, kata Seroka.

“Intelijen kami menunjukkan ancaman datang dari Rusia dan sebagian Eropa. Kami harus tetap selangkah di depan mereka yang ingin merusak perdagangan internasional,” katanya kepada BBC World Service.

Mereka menghadapi serangan ransomware, malware, spear phishing, dan pengumpulan kredensial setiap hari, dengan tujuan menyebabkan gangguan sebanyak mungkin dan memperlambat ekonomi.

Pelabuhan tersebut telah menginvestasikan jutaan dolar dalam perlindungan siber, mengembangkan salah satu Pusat Ketahanan Siber pertama di dunia, yang merupakan bagian dari FBI.

“Kita harus mengambil setiap tindakan pencegahan terhadap potensi insiden siber, terutama yang dapat mengancam atau mengganggu arus kargo,” kata Seroka.

Pusat Ketahanan Siber menyediakan pengumpulan intelijen yang ditingkatkan dan perlindungan yang ditingkatkan terhadap ancaman siber dalam rantai pasokan maritim.

Ini adalah hub bagi pelabuhan untuk menerima, menganalisis, dan berbagi informasi dengan mereka yang beroperasi di dermaga, seperti penangan kargo dan jalur pelayaran.

Ketegangan pada rantai pasokan telah mereda, kata Seroka. Pada Januari 2022 ada 109 kapal kontainer yang antri selama lebih dari dua hari untuk masuk ke Pelabuhan Los Angeles. Saat ini ada sekitar 20 orang yang menunggu untuk berlabuh.

Tapi Seroka yakin penyumbatan tidak akan hilang sepenuhnya sampai 2023. “Ada begitu banyak kargo masuk dan tidak cukup ruang,” katanya.

“Dua tahun terakhir telah membuktikan peran vital yang dimiliki pelabuhan terhadap infrastruktur kritis, rantai pasokan, dan ekonomi negara kita. Sangat penting bagi kita untuk menjaga sistem seaman mungkin,” tambahnya.

Sumber: BBC

Bagaimana NSA Bergerak Menuju Masa Depan Ketahanan Kuantum

by

Komputasi kuantum adalah teknologi maju pesat yang memiliki potensi untuk mengubah industri dengan memecahkan masalah optimasi kompleks yang menghindari komputer klasik. Tapi apa yang terjadi ketika komputer kuantum digunakan melawan infrastruktur digital yang melindungi data paling sensitif di negara kita? Ini adalah pertanyaan yang tidak menunggu untuk diketahui oleh Administrasi Keamanan Nasional (NSA), dan juga organisasi swasta.

Komputer kuantum memanfaatkan sifat kuantum partikel subatom untuk melakukan perhitungan yang tak terhitung jumlahnya secara bersamaan dan, dalam hitungan detik, memecahkan masalah yang bahkan superkomputer paling kuat saat ini akan membutuhkan waktu ribuan tahun untuk menyelesaikannya. Pertimbangkan penggunaan komputer semacam itu dalam mengoptimalkan portofolio investasi keuangan, perutean kendaraan, proses manufaktur, alokasi sumber daya energi, dan pengembangan obat, dan potensi transformasi komputasi kuantum menjadi jelas. Namun, perkembangan pesat superkomputer revolusioner ini telah menimbulkan kekhawatiran di sektor pertahanan karena negara-bangsa yang bermusuhan saat ini menginvestasikan miliaran dolar untuk mempersenjatai komputer kuantum.

Perhatian utama Departemen Pertahanan (DoD) adalah bahwa komputer kuantum yang dipersenjatai dapat digunakan untuk memecahkan enkripsi yang melindungi data dan komunikasi pemerintah yang sensitif. Ada ribuan ilmuwan, matematikawan, dan pemrogram kuantum yang saat ini dipekerjakan oleh negara-negara musuh untuk memajukan ancaman kuantum terhadap Amerika Serikat. Komputer kuantum yang dapat mengganggu sistem digital vital dan mendekripsi informasi rahasia menghadirkan ancaman keamanan nasional yang sangat besar. Amerika Serikat telah merespons dengan mengembangkan teknologi untuk melawan ancaman kuantum dan memperkuat infrastruktur digitalnya. Secara khusus, NSA telah ditugaskan untuk memastikan keamanan masa depan infrastruktur digital Amerika Serikat dengan menerapkan solusi tahan kuantum pada sistem keamanan nasional (NSS).

Mempercepat Upaya NSA

Garis waktu untuk upaya NSA untuk beralih ke PQC dipersingkat secara signifikan ketika pada bulan Januari Presiden Biden menandatangani Nota Keamanan Nasional (NSM-8) tentang “Meningkatkan Keamanan Siber Keamanan Nasional, Departemen Pertahanan, dan Sistem Komunitas Intelijen.” Memo tersebut secara khusus meminta NSA dan Komite Sistem Keamanan Nasional (CNSS) untuk, dalam waktu 180 hari, mengidentifikasi contoh enkripsi yang digunakan pada NSS yang tidak sesuai dengan algoritme tahan kuantum yang disetujui NSA, serta memberikan rencana dan garis waktu untuk mentransisikan sistem tersebut ke standar tahan kuantum.

NSA tidak dapat lagi menunggu hingga tahun 2024 bagi NIST untuk menyelesaikan standar PQC dan sekarang ditugaskan untuk mengaudit infrastruktur siber NSS saat ini dan segera menyediakan rencana transisi PQC. Mandat ini menandai awal dari siklus kenaikan terbesar dalam sejarah keamanan siber untuk Departemen Pertahanan. Organisasi swasta akan bijaksana untuk bertindak dengan urgensi yang sama seperti NSA dan mulai mengeksplorasi solusi pasca-kuantum untuk sistem mereka sendiri.

Kolaborasi Antar-Lembaga

Transisi yang berhasil dari NSS ke PQC akan membutuhkan kolaborasi dari berbagai otoritas pemerintah. Bagian 1(v) NSM-8 mengharuskan NSA untuk bekerja sama dengan Departemen Keamanan Dalam Negeri (DHS) dan organisasi keamanan nasional lainnya dalam mengoordinasikan proses transisi ini. Baru-baru ini, DHS merilis peta jalan yang menguraikan strategi transisi PQC langkah demi langkah bagi pemerintah dan lembaga komersial untuk menginventarisasi informasi paling sensitif mereka dan memprioritaskan peningkatan sistem mereka. Ini akan menjadi alat yang berguna bagi NSA karena lembaga tersebut melakukan proses evaluasi serupa untuk NSS. Alat DHS terbuka untuk umum dan menawarkan sumber daya yang berharga bagi organisasi swasta untuk melakukan audit serupa pada sistem mereka sendiri.

Perlunya Kolaborasi Publik-Swasta

NSA secara konsisten membuka pintunya untuk kolaborasi dengan sektor swasta yang akan sangat penting ketika Amerika Serikat bergerak maju ke generasi baru keamanan siber. Program Solusi Komersial untuk Rahasia (CSfC) NSA adalah platform yang memungkinkan pengembang komersial swasta (yaitu, vendor) untuk mendaftarkan komponen keamanan siber dari produk Commercial Off The Shelf (COTS) untuk digunakan di NSS. Komponen-komponen ini dikompilasi ke dalam Paket Kemampuan (CP) agnostik vendor yang disediakan untuk klien CSfC, termasuk DoD, komunitas intelijen, dinas militer, agen federal, dan pemangku kepentingan NSS lainnya. Meskipun CSfC tidak akan memberikan solusi komersial untuk algoritme pasca-kuantum sampai NIST menyelesaikan penelitian dan rekomendasi standar PQC, ada banyak sumber daya yang tersedia melalui CSfC yang dirancang untuk membantu klien, yang mencakup organisasi pemerintah dan swasta yang menggunakan NSS, mempermudah proses peningkatan.

National Cyber ​​Center of Excellence (NCCoE) telah meluncurkan Proyek Migrasi Pasca-Kuantum yang menyatukan pakar akademis, industri, dan pemerintah untuk mengembangkan seperangkat alat bagi organisasi untuk mengaudit sistem mereka, menilai risiko, dan mempersiapkan peningkatan kuantum. Jenis kolaborasi publik-swasta ini akan sangat penting untuk memastikan bahwa baik pemerintah maupun sektor swasta menavigasi transisi dengan lancar. Sektor swasta harus mengikuti jejak NSA dan otoritas siber lainnya dan mulai mempersiapkan sistem mereka untuk transisi ke PQC guna memastikan bahwa infrastruktur digital yang mendukung Amerika Serikat tetap aman sekarang, dan memasuki era kuantum.

Sumber: The National Interest

Bagaimana Conti Ransomware Meretas dan Mengenkripsi Pemerintah Kosta Rika

by

Rincian telah muncul tentang bagaimana geng ransomware Conti melanggar pemerintah Kosta Rika, menunjukkan ketepatan serangan dan kecepatan bergerak dari akses awal ke tahap akhir perangkat enkripsi.

Sebuah laporan dari perusahaan intelijen siber Advanced Intelligence (AdvIntel) merinci langkah-langkah peretas Rusia dari pijakan awal hingga mengekstraksi 672GB data pada 15 April dan mengeksekusi ransomware.

Titik masuk aktor ancaman adalah sistem milik Kementerian Keuangan Kosta Rika, di mana anggota grup yang disebut sebagai ‘MemberX’ memperoleh akses melalui koneksi VPN menggunakan kredensial yang disusupi.

CEO Advanced Intelligence Vitali Kremez mengatakan kepada BleepingComputer bahwa kredensial yang dikompromikan diperoleh dari malware yang diinstal pada perangkat awal yang dikompromikan di jaringan korban.

Lebih dari 10 sesi malware Cobalt Strike disiapkan pada tahap awal serangan, kata peneliti AdvIntel dalam laporan tersebut.

Rincian AdvIntel tentang aktivitas aktor ancaman di jaringan pemerintah Kosta Rika mencakup perintah khusus yang digunakan pada setiap langkah.

Menurut para peneliti, MemberX kemudian menggunakan saluran backdoor Cobalt Strike untuk mengunduh output fileshare ke mesin lokal.

Penyerang dapat mengakses pembagian administratif tempat mereka mengunggah suar Cobalt Strike DLL dan kemudian menjalankannya menggunakan alat PsExec untuk eksekusi file jarak jauh.

Menggunakan alat pasca-eksploitasi Mimikatz untuk mengekstrak kredensial, musuh mengumpulkan kata sandi masuk dan hash NTDS untuk pengguna lokal, sehingga mendapatkan “hash administrator lokal, domain, dan administrator perusahaan yang biasa dan bruteable.”

Para peneliti mengatakan bahwa operator Conti memanfaatkan Mimikatz untuk menjalankan serangan DCSync dan Zerologon yang memberi mereka akses ke setiap host di jaringan interkoneksi Kosta Rika.

Untuk memastikan bahwa mereka tidak kehilangan akses jika defender mendeteksi malware Cobalt Strike, Conti menanam alat akses jarak jauh Atera pada host dengan aktivitas pengguna yang lebih sedikit di mana mereka memiliki hak administratif.

Pencurian data dimungkinkan menggunakan program baris perintah Rclone yang dapat mengelola file di beberapa layanan penyimpanan cloud. Conti menggunakan ini untuk mengunggah data ke layanan hosting file MEGA.

Diagram aliran serangan:

Sumber: BleepingComputer

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

by

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Malware yang hampir tidak terdeteksi terkait dengan Cozy Bear Rusia

by

Tim intelijen ancaman Unit 42 Palo Alto Networks mengklaim bahwa sepotong malware yang tidak dapat dideteksi oleh 56 produk antivirus adalah bukti bahwa penyerang yang didukung negara telah menemukan cara baru untuk menjalankan bisnis jahat.

Analis Unit 42 menegaskan bahwa malware itu terlihat pada Mei 2022 dan berisi muatan berbahaya yang menunjukkan bahwa itu dibuat menggunakan alat yang disebut Brute Rate (BRC4).

Di situs webnya, BRC4 digambarkan sebagai “Pusat Komando dan Kontrol Khusus untuk Tim Merah dan Simulasi Musuh”. Pembuat alat ini bahkan mengklaim bahwa mereka merekayasa balik perangkat lunak antivirus untuk membuat BRC4 lebih sulit dideteksi.

Malware Unit 42 yang diamati mulai hidup sebagai file yang berpura-pura menjadi curriculum vitae seorang pria bernama Roshan Bandara. Luar biasa, CV Bandara ditawarkan sebagai file ISO format file gambar disk. Jika pengguna mengklik ISO, itu dipasang sebagai drive Windows dan menampilkan jendela File Manager dengan satu-satunya file: “Roshan-Bandara_CV_Dialog”.

File tersebut terlihat seperti file Microsoft Word tetapi yang mengejutkan sebenarnya bukan CV. Ketika diklik dua kali, CMD.EXE akan terbuka dan menjalankan OneDrive Updater, yang mengambil dan menginstal BRC4.

Setelah malware berjalan, banyak hal buruk dapat terjadi pada mesin yang terinfeksi.

Tapi Unit 42 tidak peduli dengan hal-hal buruk itu. Teknik yang digunakan untuk menjalankan BRC4 inilah yang menarik perhatian tim, karena sangat licik sehingga menunjukkan bahwa aktor negara-bangsa berada di balik pengembangannya.

Bahkan mungkin APT29 geng yang terkait dengan Moskow juga dikenal sebagai Cozy Bear dan diduga terlibat dalam serangan terhadap Solar Winds dan banyak serangan lainnya. APT29 telah menggunakan ISO beracun di masa lalu.

Unit 42 juga mencatat bahwa ISO yang digunakan dalam serangan ini dibuat pada hari yang sama saat versi baru BRC4 muncul, menunjukkan bahwa aktor yang didukung negara dapat mengawasi dunia yang suram dari malware komersial dan dengan cepat menjalankannya sementara dunia mencoba untuk mengejar.

Sumber: The Register

AS, Brasil menyita 272 situs web yang digunakan untuk mengunduh musik secara ilegal

by

Domain enam situs web yang mengalirkan dan menyediakan unduhan ilegal musik berhak cipta disita oleh Investigasi Keamanan Dalam Negeri AS (HSI) dan Departemen Kehakiman.

266 situs web lain yang merupakan bagian dari jaringan yang sama juga diturunkan di Brasil, dengan enam orang ditangkap dalam 30 penggeledahan dan penyitaan di seluruh negeri.

“Menurut dokumen pengadilan, penegak hukum mengidentifikasi enam domain ini digunakan untuk mendistribusikan materi berhak cipta tanpa izin dari pemegang hak cipta,” kata Departemen Kehakiman hari ini dalam siaran pers.

“Investigasi penegakan hukum mengkonfirmasi bahwa konten musik yang dilindungi hak cipta hadir dan tersedia untuk streaming atau diunduh di masing-masing dari enam situs web ini dari Distrik Timur Virginia.”

Enam domain yang disita di AS (Corourbanos.com, Corourbano.com, Pautamp3.com, SIMP3.com, flowactivo.co, dan Mp3Teca.ws) terdaftar di pendaftar yang berbasis di AS dan dihapus setelah penyelidikan bersama dengan Brasil pihak berwenang menjuluki Operasi 404.4​​​​​.

Situs web diiklankan di media sosial untuk menarik pengguna yang mau mengunduh dan mengalirkan konten musik ilegal yang mereka sediakan. Pihak berwenang Brasil juga meminta dan menghapus 15 profil jejaring sosial yang digunakan untuk tujuan promosi.

Pelanggaran hak cipta berada di balik kerugian tahunan sebesar R$15 miliar di Brasil (sekitar $2,8 miliar), menurut Bráulio de Melo, Wakil Sekretaris Operasi Kementerian Kehakiman dan Keamanan Publik Brasil (Seopi/MJSP).

Ini adalah edisi keempat dari operasi yang dimulai pada tahun 2019 dan berfokus pada pembongkaran organisasi kejahatan dunia maya dan infrastruktur yang mereka gunakan untuk pembajakan digital dan melanggar undang-undang hak cipta internasional.

“Perampasan enam domain ini oleh pemerintah akan mencegah pihak ketiga mengalirkan dan mengunduh konten yang dilindungi hak cipta dari situs-situs tersebut,” tambah Departemen Kehakiman.

Sumber: Bleeping Computer

Peretas China Mengeksploitasi Kerentanan Zero-Day Firewall Sophos untuk Menargetkan Entitas Asia Selatan

by

Seorang aktor ancaman persisten canggih (APT) China yang canggih mengeksploitasi kerentanan keamanan kritis dalam produk firewall Sophos yang terungkap awal tahun ini untuk menyusup ke target Asia Selatan yang tidak disebutkan namanya sebagai bagian dari serangan yang sangat bertarget.

“Penyerang menerapkan web shell backdoor yang menarik, membuat bentuk sekunder dari persistensi, dan akhirnya meluncurkan serangan terhadap staf pelanggan,” kata Volexity dalam sebuah laporan. “Serangan-serangan ini bertujuan untuk lebih jauh menembus server web yang dihosting di cloud yang menghosting situs web organisasi yang menghadap publik.”

Cacat zero-day yang dimaksud dilacak sebagai CVE-2022-1040 (skor CVSS: 9,8), dan menyangkut kerentanan bypass otentikasi yang dapat dipersenjatai untuk mengeksekusi kode arbitrer dari jarak jauh. Ini mempengaruhi Sophos Firewall versi 18.5 MR3 (18.5.3) dan sebelumnya.

Perusahaan keamanan siber, yang mengeluarkan tambalan untuk cacat pada 25 Maret 2022, mencatat bahwa itu disalahgunakan untuk “menargetkan sekelompok kecil organisasi tertentu terutama di kawasan Asia Selatan” dan telah memberi tahu entitas yang terkena dampak secara langsung.

Sekarang menurut Volexity, bukti awal eksploitasi kelemahan dimulai pada 5 Maret 2022, ketika mendeteksi aktivitas jaringan anomali yang berasal dari Sophos Firewall pelanggan yang tidak disebutkan namanya yang menjalankan versi terbaru, hampir tiga minggu sebelum pengungkapan publik dari kerentanan.

“Penyerang menggunakan akses ke firewall untuk melakukan serangan man-in-the-middle (MitM),” kata para peneliti. “Penyerang menggunakan data yang dikumpulkan dari serangan MitM ini untuk mengkompromikan sistem tambahan di luar jaringan tempat firewall berada.”

Selengkapnya: The Hacker News

A.S., mitra membongkar ‘botnet’ peretasan Rusia, kata Departemen Kehakiman

by

Penegakan hukum di Amerika Serikat, Jerman, Belanda dan Inggris membongkar jaringan global perangkat yang terhubung ke internet yang telah diretas oleh penjahat cyber Rusia dan digunakan untuk tujuan jahat, Departemen Kehakiman AS mengatakan pada hari Kamis.

Jaringan, yang dikenal sebagai botnet “RSOCKS”, terdiri dari jutaan komputer dan perangkat yang diretas di seluruh dunia, termasuk gadget “Internet of Things” seperti router dan pembuka garasi pintar, kata departemen itu dalam sebuah pernyataan.

Pengguna RSOCKS membayar biaya antara $30 dan $200 per hari untuk merutekan aktivitas internet berbahaya melalui perangkat yang disusupi untuk menutupi atau menyembunyikan sumber lalu lintas yang sebenarnya, kata departemen tersebut.

“Diyakini bahwa pengguna layanan proxy jenis ini melakukan serangan skala besar terhadap layanan otentikasi, juga dikenal sebagai isian kredensial, dan menganonimkan diri mereka sendiri saat mengakses akun media sosial yang disusupi, atau mengirim email berbahaya, seperti pesan phishing,” itu dikatakan.

Beberapa entitas publik dan swasta besar telah menjadi korban RSOCKS, termasuk universitas, hotel, studio televisi dan produsen elektronik, kata departemen itu. Itu tidak menyebutkan salah satu dari mereka.

Selengkapnya: NBC News