Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region

Region

AS menuntut peretas Rusia di balik serangan NotPetya, KillDisk, dan Olympic Destroyer

by

Departemen Kehakiman AS telah mengungkap dakwaan terhadap enam warga Rusia yang diyakini sebagai anggota salah satu unit peretasan dan perang siber Rusia – yang dikenal sebagai Sandworm.

Sebagai bagian dari unit ini, para pejabat AS mengatakan keenam nya melakukan serangan siber yang “merusak” atas nama dan di bawah perintah pemerintah Rusia dengan maksud untuk mengguncang negara lain, mencampuri politik internal mereka, dan menyebabkan malapetaka dan kerugian moneter.

Serangan mereka berlangsung selama dekade terakhir dan termasuk beberapa serangan siber terbesar yang diketahui hingga saat ini:

  1. Pemerintah Ukraina & Infrastruktur Kritis: Dari Desember 2015 hingga Desember 2016, grup ini mengatur serangan malware yang merusak terhadap jaringan listrik Ukraina, Kementerian Keuangan Ukraina, dan Layanan Keuangan Negara Ukraina, menggunakan malware yang mengubah peralatan industri (BlackEnergy pada 2015 dan Industroyer pada tahun 2016) atau menghapus hard drive (KillDisk).
  2. Pemilu Prancis: Pada bulan April dan Mei 2017, Sandworm mengatur kampanye spearphishing dan upaya peretasan dan kebocoran terkait yang menargetkan “La République En Marche!” Presiden Prancis Macron! (“En Marche!”), Politikus Prancis, dan pemerintah Prancis lokal sebelum pemilu Prancis 2017.
  3. Wabah Ransomware NotPetya: Pada 27 Juni 2017, Sandworm merilis ransomware NotPetya. Awalnya ditujukan untuk perusahaan Ukraina, ransomware dengan cepat menyebar dan memengaruhi perusahaan di seluruh dunia, menyebabkan kerusakan lebih dari $1 miliar bagi para korbannya.
  4. Penyelenggara, Peserta, Mitra, dan Peserta Olimpiade Musim Dingin PyeongChang: Antara Desember 2017 hingga Februari 2018, Sandworm meluncurkan kampanye spearphishing dan aplikasi seluler berbahaya yang menargetkan warga dan pejabat Korea Selatan, atlet Olimpiade, mitra, dan pengunjung, serta Komite Olimpiade Internasional (“IOC”) pejabat. Serangan tersebut terjadi setelah atlet Rusia dilarang dari acara olahraga tersebut karena skema doping yang disponsori negara.
  5. Sistem TI Olimpiade Musim Dingin PyeongChang (Perusak Olimpiade): Dari Desember 2017 hingga Februari 2018, Sandworm mengatur intrusi ke dalam komputer yang mendukung Olimpiade Musim Dingin PyeongChang 2018, yang mencapai puncaknya pada 9 Februari 2018, dengan dirilisnya Olympic Destroyer, jenis malware yang merusak yang mencoba menghapus server penting selama upacara pembukaan.
  6. Investigasi Novichok Poisoning: Pada bulan April 2018, kelompok Sandworm mengatur kampanye spearphishing yang menargetkan investigasi oleh Organisasi untuk Larangan Senjata Kimia (“OPCW”) dan Laboratorium Sains dan Teknologi Pertahanan Inggris (“DSTL”) ke dalam keracunan agen saraf Sergei Skripal, putrinya, dan beberapa warga negara Inggris.
  7. Perusahaan Georgia dan Entitas Pemerintah: Pada tahun 2018, Sandworm melakukan kampanye spearphishing yang menargetkan perusahaan media besar di negara Georgia. Serangan-serangan ini diikuti pada 2019 dengan upaya menyusupi jaringan Parlemen Georgia, dan kampanye perusakan situs web massal pada 2019.

“Seperti yang diperlihatkan dalam kasus ini, tidak ada negara yang mempersenjatai kemampuan siber mereka dengan jahat dan tidak bertanggung jawab seperti Rusia, dengan sembrono menyebabkan kerusakan tambahan yang belum pernah terjadi sebelumnya untuk mengejar keuntungan taktis kecil dan untuk memuaskan rasa dengki,” kata Asisten Jaksa Agung untuk Keamanan Nasional John C. Demers, mengacu pada serangan seperti BlackEnergy, NotPetya, dan OlympicDestroyer, yang semuanya tidak ditujukan untuk pengumpulan intelijen tetapi jelas merupakan serangan destruktif yang bermaksud sabotase.

Berita selengkapnya:
Source: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

by

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Otoritas Jerman menggerebek kantor FinFisher

by

Otoritas Jerman telah menggerebek kantor FinFisher, sebuah perusahaan perangkat lunak Jerman yang membuat alat pengawasan, yang dituduh di masa lalu menyediakan perangkat lunak untuk rezim yang menindas.

Penggerebekan terjadi awal bulan ini, pada 6 Oktober dan 8 Oktober, dan diperintahkan oleh Kantor Kejaksaan Munich.
Penggerebekan terjadi di lokasi di seluruh Jerman dan Rumania. Ini termasuk 15 properti (tempat bisnis dan apartemen pribadi) di sekitar Munich dan sebuah perusahaan yang terhubung ke FinFisher yang berlokasi di Rumania, menurut juru bicara Kantor Kejaksaan Umum Munich.

Penggerebekan adalah bagian dari investigasi yang dimulai tahun lalu setelah pengaduan yang diajukan oleh Netzpolitik kepada jaksa Munich pada musim panas 2019. Penandatangan lain dalam pengaduan tersebut termasuk kelompok advokasi seperti Society for Freedom Rights, Reporters Without Borders, dan Pusat Konstitusi dan Hak Asasi Manusia Eropa.
Para penandatangan berpendapat bahwa malware FinFisher telah diinstal pada perangkat aktivis, pembangkang politik, dan warga negara biasa di negara-negara dengan rezim yang menindas, negara-negara di mana FinFisher dilarang menjual perangkat lunaknya.

FinFisher membantah tuduhan tersebut dan berhasil menggugat blog Jerman tersebut, setelah menghapus artikel aslinya; Namun, pengaduan pidana harus berjalan dengan sendirinya.
Penggerebekan hari ini adalah bagian dari proses hukum di mana otoritas Jerman mengumpulkan bukti terkait dengan klaim yang dibuat dalam pengaduan tersebut, Kantor Kejaksaan Umum Munich mengatakan kepada ZDNet.
FinFisher memasarkan alatnya seperti yang dimaksudkan untuk investigasi penegakan hukum dan badan intelijen. Pelanggan yang dikenal termasuk polisi federal Jerman dan polisi Berlin. Namun, alat perusahaan juga telah ditemukan pada perangkat kritikus pemerintah dan jurnalis di negara-negara seperti Ethiopia, Bahrain, Mesir, dan Turki – negara yang melarang ekspor alat pengawasan.

Source : ZDnet

QRadar: Software keamanan IBM populer terdapat celah terbuka untuk serangan eksekusi kode jarak jauh

by

QRadar, platform informasi keamanan perusahaan dan manajemen acara (SIEM) IBM, memungkinkan peretas melakukan berbagai serangan, termasuk eksekusi kode jarak jauh.
Bug, yang ditemukan oleh peneliti keamanan di start-up Securify yang berada di Belanda itu dipicu dengan meneruskan objek yang berisi kode berbahaya ke komponen Servlet dari QRadar Community Edition.

Aplikasi klien Java mengonversi objek menjadi aliran byte – atau ‘membuat serial’ mereka – dan mengirimkannya ke server, yang deserialisasi objek ke dalam struktur aslinya sebelum diproses.
Jika Bug tidak ditangani dengan benar, peretas dapat memanfaatkan proses untuk mengirim data berbahaya ke server aplikasi Java.

Yorick Koster dari Securify, yang melaporkan bug tersebut ke IBM, menemukannya dalam implementasi JSON-RPC dari RemoteJavaScript Servlet QRadar.
Menurut temuan Koster, beberapa metode di RemoteJavaScript Servlet menggunakan kelas org.apache.commons.lang3.SerializationUtils, yang tidak melakukan pemeriksaan apa pun saat deserialisasi objek yang diteruskan.

“Tidak ada pemeriksaan yang diterapkan untuk mencegah deserialisasi objek arbitrer.
“Akibatnya, pengguna yang diautentikasi dapat memanggil salah satu metode yang terpengaruh dan menyebabkan RemoteJavaScript Servlet untuk mendesialisasi objek arbitrer,” tulis Koster, menambahkan bahwa penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan objek yang dibuat secara khusus dan melakukan “penolakan layanan, perubahan pengaturan sistem, atau eksekusi kode arbitrer ”.

Patch Cepat
Koster menemukan dan melaporkan kerentanan deserialization bersama dengan sembilan bug lainnya pada bulan Januari saat secara aktif meneliti QRadar CE. Sebagian besar diperbaiki pada bulan April.
RemoteJavaScript Servlet diperbaiki dalam versi terbaru QRadar CE, dirilis pada bulan Oktober.

“Masalah khusus ini adalah masalah terbuka terakhir yang tersisa. Saya kira lebih sulit untuk memperbaikinya karena ini mempengaruhi seluruh JSON-RPC API mereka
“Saya terkejut bahwa saya dapat menemukan cukup banyak masalah dalam waktu yang relatif singkat dalam produk keamanan. Sungguh menyedihkan melihat bahwa bahkan industri keamanan gagal membuat aplikasi yang aman. ”

Source : PortSwigger

Kompleksitas merusak keamanan komputer, kata akademisi yang membantu menemukan kelemahan Meltdown dan Spectre

by Leave a Comment

Daniel Gruss, asisten profesor di grup Sistem Aman di Universitas Teknologi Graz Austria. Gruss dan rekan-rekannya menemukan beberapa snafus keamanan terbesar baru-baru ini, termasuk kelemahan desain mikroprosesor Meltdown dan Spectre, eksploitasi Rowhammer yang berfungsi, serangan pada Intel SGX termasuk Plundervolt, dan banyak lagi lainnya.

Pada konferensi Black Hat Asia, yang diadakan secara virtual pada hari Jumat di zona waktu Singapura, Gruss menguraikan keyakinannya bahwa meskipun mungkin untuk membuat sistem yang terbukti aman – dengan usaha keras – ini jarang dilakukan dalam produksi. Bagaimanapun, dunia telah terbiasa menggunakan labirin sistem yang saling terkait, tidak terbukti, dan seringkali tidak didokumentasikan secara publik.

Asisten profesor juga mengajukan teorinya bahwa ketika Hukum Moore habis, kita akan menggunakan lebih banyak sistem dengan semakin banyak prosesor dan inti akselerator yang semuanya berinteraksi satu sama lain, yang berarti semakin banyak risiko keamanan. Membangun sistem yang lebih sederhana bukanlah suatu pilihan, dia yakin, karena umat manusia sekarang memiliki ekspektasi komputasi kinerja tinggi.

Saran pertamanya adalah ilmu komputer perlu memikirkan kembali dirinya sendiri. Saat ini, kata dia, mata pelajaran tersebut dianggap sebagai ilmu formal. Gruss mengatakan itu perlu diubah, karena dua alasan.

Gruss berpikir itu mungkin kabar baik bagi para profesional keamanan karena dunia jelas akan membutuhkan lebih banyak dari mereka, dan banyak yang akan memiliki keterampilan baru untuk dipelajari. “Dalam 30 tahun saya berharap kami memiliki lebih banyak orang yang mempelajari dan menganalisis sistem, dan lebih banyak variasi pekerjaan keamanan,” katanya dalam acara virtual tersebut.

“Tanpa internet, ransomware tidak akan berkembang sebaik itu,” katanya, menggambarkan bagaimana perubahan pola penggunaan dapat menimbulkan masalah yang sama sekali tidak terduga.

Dia juga menyarankan bahwa asuransi akan memiliki lebih banyak peran karena metode empiris dapat mengungkapkan lebih banyak risiko. Dan perusahaan asuransi senang merancang produk yang dapat meminimalisir risiko. Namun asuransi tidak dapat, mengurangi kebutuhan akan kewaspadaan, dan ada argumen yang mendorong para penjahat.

“Kami akan memiliki keamanan kerja untuk semua orang yang bekerja di analisis keamanan,” kata Gruss. “Kurasa itu hal yang bagus.”

Source : theregister

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Keamanan Serius: Phishing tanpa link, saat phisher menggunakan halaman web mereka sendiri

by Leave a Comment

Dalam beberapa hari terakhir kami menerima dua kampanye phishing – satu dikirim oleh pembaca yang bijaksana dan yang lainnya dikirim secara langsung kepada kami – yang kami pikir akan menceritakan kisah visual yang berguna.

Pelaku penipuan ini biasanya berasal dari dua geng kriminal yang berbeda, beroperasi secara independen, tetapi mereka menggunakan trik serupa yang perlu diketahui.

3 Ciri ciri email Phising
Sebagian besar penipuan phishing dikirimkan melalui email dan Anda mungkin telah menerima ratusan atau bahkan ribuan selama hihdup anda, namun umumnya mereka menggunakan tiga tahap ini :

1. Email yang berisi URL untuk diklik
Terkadang penjahat menyebar jaring dengan menggunakan frasa seperti “Pelanggan yang Terhormat”, “Bapak / Ibu yang Terhormat”, atau bahkan hanya “Halo”.

Namun terkadang mereka tahu nama penyedia listrik atau bank Anda; terkadang mereka tidak tahu tapi kebetulan menebak dengan benar; terkadang mereka memalsukan masalah dengan menulis beberapa teks umum yang cukup untuk menarik minat Anda.

Pesan email tidak terlalu panjang, yang perlu dilakukan adalah bagaimana agar anda mengeklik link berbahaya mereka.

Mengklik tautan phishing seharusnya sudah cukup aman, asalkan Anda berhati-hati selanjutnya, tetapi tetap saja pasti membawa anda selangkah lebih dekat ke masalah.

2. Halaman web tempat Anda perlu login untuk melangkah lebih jauh
Biasanya setelah anda mengeklik link tersebut, akan muncul halaman untuk login, dan sering kali itu adalah tiruan yang sangat mirip dengan web aslinya yang dibuat hanya dengan membajak HTML, gambar, font, stylesheet, dan JavaScript dari situs asli dan memasangnya di tempat lain.

Halaman penipu sering kali berada di situs resmi yang telah diretas untuk bertindak sebagai pembuka yang dapat dipercaya untuk serangan tersebut.

3. Situs web tempat data yang Anda masukkan ke dalam formulir login akan dikirim
Kadang-kadang situs tiruan akan diunggah ke situs yang sama yang digunakan pengguna terkadang para penjahat menggunakan situs pihak ketiga yang mungkin mengumpulkan data dari beberapa kampanye phishing yang berbeda pada waktu yang bersamaan.

Secara teknis, tautan yang dapat diklik ke situs (2) muncul di dalam email (1) sebagai apa yang dikenal sebagai hyperlink, dienkode ke dalam HTML menggunakan apa yang disebut tag anchor, ditulis sebagai , seperti ini:

Teks antara dan biasanya muncul di browser Anda dengan warna biru untuk menunjukkan bahwa Anda dapat mengkliknya untuk menuju link ke tempat lain.
Namun sebenarnya link yang dapat diklik itu bukanlah tujuan Anda selanjutnya.
Target tautan, seringkali berupa URL yang mengarah ke situs web lain, diberikan oleh nilai HREF = … yang muncul bersama dengan :

Jika Anda ingin melihat indikator yang tepat, Anda perlu mengetahui bahwa bagian dikenal sebagai tag, yang -nya adalah tag penutup yang cocok. Bagian HREF = … disebut sebagai atribut tag

Selengkapnya ; Naked Security Sophos

Eksploitasi Microsoft Netlogon terus meningkat

by Leave a Comment

Cisco Talos melacak lonjakan upaya eksploitasi terhadap kerentanan Microsoft CVE-2020-1472, peningkatan bug hak istimewa di Netlogon, yang diuraikan dalam laporan Microsoft Patch Tuesday Agustus. Kerentanan berasal dari cacat dalam skema otentikasi kriptografi yang digunakan oleh Netlogon Remote Protocol yang – antara lain – dapat digunakan untuk memperbarui sandi komputer dengan memalsukan token otentikasi untuk fungsionalitas Netlogon tertentu. Cacat ini memungkinkan penyerang meniru identitas komputer mana pun, termasuk pengontrol domain itu sendiri dan mendapatkan akses ke kredensial admin domain.

Ciri-ciri Netlogon:

    • Klien mengirimkan tantangan klien yang mencakup tantangan delapan byte.
      Server merespons dengan tantangan server termasuk tantangan delapan byte-nya.
      Klien dan server menghitung kunci sesi bersama
      Klien mengenkripsi kunci sesi bersama yang menghasilkan kredensial klien
      Server mengenkripsi kunci sesi bersama yang menghasilkan kredensial server

    • Microsoft saat ini menangani kerentanan ini dalam perilisan dua bagian mitigasi secara bertahap. Microsoft menguraikan rencananya dalam sebuah halaman advisori yang mengatakan, “Untuk pedoman tentang cara mengelola perubahan yang diperlukan untuk kerentanan ini dan informasi lebih lanjut tentang peluncuran bertahap, lihat Bagaimana mengelola perubahan dalam koneksi aman Netlogon yang terkait dengan CVE-2020-1472. Ketika fase kedua pembaruan Windows tersedia pada K1 2021, pelanggan akan diberi tahu melalui revisi kerentanan keamanan ini. Jika Anda ingin diberi tahu ketika pembaruan ini dirilis, kami menyarankan Anda mendaftar ke pengirim pemberitahuan keamanan agar diberi tahu tentang perubahan konten pada dokumen advisori ini. ”

    Source : Cisco Talos