Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

by

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Isi file ISO (Red Canary)

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer

Microsoft: Pencuri kartu kredit semakin tersembunyi

by

Peneliti keamanan Microsoft telah mengamati tren yang mengkhawatirkan dalam skimming kartu kredit, di mana pelaku ancaman menggunakan teknik yang lebih canggih untuk menyembunyikan kode pencuri informasi berbahaya mereka.

Geng skimming mengaburkan cuplikan kode mereka, menyuntikkannya ke dalam file gambar, dan menyamarkannya sebagai aplikasi web populer untuk menghindari deteksi.

Ini merusak keefektifan produk pendeteksi ancaman dan meningkatkan kemungkinan informasi kartu kredit pengguna internet dicuri oleh pelaku kejahatan.

Skimming kartu pembayaran adalah serangan berbasis web di mana peretas menyuntikkan kode JavaScript berbahaya ke situs web e-niaga dengan mengeksploitasi kerentanan pada platform yang mendasarinya (Magento, PrestaShop, WordPress, dll.) atau praktik keamanan yang buruk.

Kode diaktifkan ketika pengunjung situs mencapai halaman checkout dan mulai memasukkan rincian kartu kredit atau debit mereka untuk membayar pesanan yang ditempatkan.

Apa pun yang diketik pada formulir halaman itu dicuri oleh skimmer dan dikirim ke operator jahat yang kemudian menggunakan detail ini untuk melakukan pembelian online atau menjual data kepada orang lain.

Ikhtisar serangan skimming (Microsoft)

Analis Microsoft melaporkan melihat peningkatan dalam penggunaan tiga metode persembunyian: menyuntikkan skrip dalam gambar, penggabungan string, dan spoofing skrip.

Dalam kasus pertama, file gambar berbahaya diunggah ke server target yang menyamar sebagai favicon. Isinya, bagaimanapun, termasuk skrip PHP dengan JavaScript yang disandikan base64.

Script berjalan untuk mengidentifikasi halaman checkout, menjalankan pemeriksaan untuk mengecualikan pengguna admin, dan kemudian menyajikan formulir palsu kepada pengunjung situs yang sah.

Memvalidasi status pengguna admin (Microsoft)

Menggunakan kebingungan rangkaian string, penyerang memuat skimmer dari domain di bawah kendali mereka menggunakan implan di situs target.

Domain dikodekan base64 dan digabungkan dari beberapa string, sedangkan skimmer itu sendiri tidak perlu dikaburkan karena tidak di-host pada platform yang ditargetkan.

URL yang disandikan gabungan (Microsoft)

Yang ketiga, script spoofing, tren menyamarkan skimmer sebagai Google Analytics atau Meta Pixel (Facebook Pixel), dua alat pelacak pengunjung yang banyak digunakan hadir di hampir setiap situs.

Pelaku ancaman menyuntikkan string yang disandikan base64 ke dalam kode Google Pengelola Tag palsu, menipu admin agar melewatkan pemeriksaan, mengira itu adalah bagian dari kode standar situs web.

Skimmer dipalsukan sebagai kode Google Analytics (Microsoft)

Dalam kasus Meta Pixel, pelaku ancaman meniru beberapa parameter umum dari plugin yang sebenarnya sambil juga menjaga URL skimmer dikodekan di base64 dan dipecah menjadi beberapa string.

Memalsukan fungsi Meta Pixel (Microsoft)

Analisis Microsoft mengungkapkan bahwa skrip tersebut tidak hanya memuat skimmer kartu tetapi juga menampilkan mekanisme anti-debugging tetapi tidak dapat mengaburkannya ke tingkat yang diperlukan untuk detail lebih lanjut tentang fungsi itu.

Karakteristik umum di antara semua skimmer kartu pembayaran termasuk adanya string yang disandikan base64 dan fungsi JavaScript “atob()” pada halaman web yang disusupi.

Selain pemindaian dan deteksi aktif, administrator situs web harus memastikan bahwa mereka menjalankan versi terbaru dari sistem manajemen konten (CMS) dan plugin mereka.

Dari perspektif pelanggan, meminimalkan kerusakan skimmer hanya dimungkinkan dengan menggunakan kartu pribadi satu kali, menetapkan batas pembayaran yang ketat, atau menggunakan metode pembayaran elektronik.

Sumber: Bleeping Computer

Peretas menargetkan pemerintah Rusia dengan pembaruan Windows palsu yang mendorong RAT

by

Peretas menargetkan lembaga pemerintah Rusia dengan email phishing yang berpura-pura sebagai pembaruan keamanan Windows dan umpan lain untuk menginstal malware akses jarak jauh.

Serangan dilakukan oleh kelompok APT (ancaman persisten lanjutan) yang sebelumnya tidak terdeteksi yang diyakini beroperasi dari China, yang terkait dengan empat kampanye spear-phishing terpisah.

Operasi ini berlangsung antara Februari dan April 2022, bertepatan dengan invasi Rusia ke Ukraina. Targetnya adalah entitas pemerintah Federasi Rusia.

Dalam keempat kasus, tujuan akhir kampanye adalah menginfeksi target dengan trojan akses jarak jauh (RAT) khusus yang kemungkinan besar membantu operasi spionase.

Penemuan dan laporan datang dari analis di tim Malwarebytes Threat Intelligence, yang memperhatikan upaya khas aktor ancaman untuk menipu kelompok peretasan lain dan lolos tanpa terdeteksi.

Kampanye pertama dari empat kampanye yang dikaitkan dengan APT baru ini dimulai pada Februari 2022, hanya beberapa hari setelah invasi Rusia ke Ukraina, mendistribusikan RAT dengan nama “interactive_map_UA.exe”.

Untuk gelombang kedua, APT punya waktu lebih untuk mempersiapkan sesuatu yang lebih canggih. Mereka menggunakan arsip tar.gz yang seharusnya memperbaiki kerentanan Log4Shell yang dikirim oleh Kementerian Pengembangan Digital, Telekomunikasi, dan Komunikasi Massa Federasi Rusia.

Menurut Malwarebytes, kampanye ini memiliki penargetan yang sempit karena sebagian besar email terkait mencapai karyawan stasiun TV RT, jaringan televisi milik negara Rusia.

Email-email tersebut berisi PDF dengan instruksi untuk menginstal patch Log4j dan bahkan menyertakan saran seperti “jangan membuka atau membalas email yang mencurigakan”.

PDF yang berisi instruksi tentang cara menginstal malware
(Malwarebytes)

Kampanye ketiga memalsukan Rostec, konglomerat pertahanan milik negara Rusia, dan para aktor menggunakan domain yang baru terdaftar seperti “Rostec.digital” dan akun Facebook palsu untuk menyebarkan malware mereka sambil membuatnya tampak seperti berasal dari entitas yang dikenal.

Profil perusahaan palsu di Facebook (Malwarebytes)

Akhirnya, pada April 2022, para peretas China beralih ke dokumen Word yang terinfeksi makro yang berisi iklan pekerjaan palsu oleh Saudi Aramco, sebuah perusahaan minyak dan gas alam besar.

Dokumen tersebut menggunakan injeksi templat jarak jauh untuk mengambil templat jahat dan menjatuhkan skrip VBS ke kandidat yang melamar posisi “Analis Strategi dan Pertumbuhan”.

Rantai infeksi kampanye Aramco (Malwarebytes)

Malwarebytes dapat mengambil sampel muatan yang akan diterapkan pada keempat kampanye dan melaporkan bahwa dalam semua kasus, pada dasarnya DLL yang sama menggunakan nama yang berbeda.

Malware ini menampilkan teknik anti-analisis seperti peratan aliran kontrol melalui OLLVM dan pengaburan string menggunakan pengkodean XOR.

Mengontrol aliran yang merata di malware (Malwarebytes)

Dalam hal perintah yang dapat diminta C2 dari payload, ini termasuk yang berikut:

getcomputername – profilkan host dan tetapkan ID unik
unggah – terima file dari C2 dan tulis ke disk host
mengeksekusi – menjalankan instruksi baris perintah dari C2 dan merespons dengan hasilnya
exit – menghentikan proses malware
ls – mengambil daftar semua file di bawah direktori tertentu dan mengirimkannya ke C2

Perintah unggah malware (Malwarebytes)

Domain C2 yang ditemukan oleh Malwarebytes adalah “windowsipdate[.]com”, “microsoftupdetes[.]com”, dan “mirror-exchange[.]com”.

Temuan menarik lainnya adalah bahwa APT baru menggunakan pembuat makro yang sama untuk gelombang Saudi Aramco seperti TrickBot dan BazarLoader.

Terakhir, ada penyebaran perpustakaan wolfSSL, yang biasanya terlihat secara eksklusif di kampanye Lazarus atau Tropic Trooper.

Sumber: Bleeping Computer

Peretas dapat meretas akun online Anda bahkan sebelum Anda mendaftarkannya

by

Peneliti keamanan telah mengungkapkan bahwa peretas dapat membajak akun online Anda bahkan sebelum Anda mendaftarkannya dengan mengeksploitasi kelemahan yang telah diperbaiki di situs web populer, termasuk Instagram, LinkedIn, Zoom, WordPress, dan Dropbox.

Andrew Paverd, seorang peneliti di Microsoft Security Response Center, dan Avinash Sudhodanan, seorang peneliti keamanan independen, menganalisis 75 layanan online populer dan menemukan bahwa setidaknya 35 rentan terhadap serangan pra-pembajakan akun.

Serangan ini bervariasi dalam jenis dan tingkat keparahannya, tetapi semuanya berasal dari praktik keamanan yang buruk di sisi situs web itu sendiri.

Agar serangan pra-pembajakan bekerja, peretas perlu mengetahui alamat email target, yang relatif mudah melalui korespondensi email atau melalui berbagai pelanggaran data yang mengganggu perusahaan setiap hari.

Selanjutnya, penyerang membuat akun di situs yang rentan menggunakan alamat email target dan berharap korban mengabaikan pemberitahuan yang masuk ke kotak masuk mereka, menganggapnya sebagai spam. Terakhir, penyerang menunggu korban membuat akun di situs atau secara tidak langsung menipu mereka untuk melakukannya.

Alur serangan pra-pembajakan umum (Microsoft)

Selama proses ini, ada lima serangan berbeda yang dapat dilakukan oleh aktor ancaman, yaitu gabungan federasi klasik (CFM), ID sesi yang belum kedaluwarsa (AS), pengenal trojan (TID), perubahan email yang belum kedaluwarsa (UEC), dan Serangan penyedia identitas (IdP) (NV) yang tidak memverifikasi.

Dalam kasus pertama, CFM, platform yang rentan menggunakan penggabungan akun ketika target membuat akun dengan alamat email yang ada dan, dalam beberapa kasus, bahkan tidak memberi tahu mereka tentang fakta tersebut. Serangan ini bergantung pada pemberian opsi masuk tunggal (SSO) kepada korban, sehingga mereka tidak pernah mengubah kata sandi yang ditetapkan oleh penyerang.

Dalam serangan sesi yang belum kedaluwarsa, peretas membuat sesi tetap aktif setelah membuat akun menggunakan skrip otomatis. Saat korban membuat akun dan mengatur ulang kata sandi, sesi aktif mungkin tidak dibatalkan, sehingga penyerang dapat terus mengakses akun.

Metode pengenal trojan menggabungkan serangan Classic-Federated Merge dan Unexpired Session.

Dalam serangan UEC, penyerang membuat akun menggunakan alamat email korban dan kemudian mengirimkan permintaan perubahan untuk email itu tetapi tidak mengonfirmasinya. Kemudian, setelah korban melakukan reset kata sandi, penyerang memvalidasi perubahan dan mengambil alih kendali akun.

Terakhir, dalam serangan NV, pelaku ancaman mengeksploitasi kurangnya verifikasi kepemilikan IdP saat membuat akun, membuka jalan untuk menyalahgunakan layanan login berbasis cloud seperti Okta dan Onelogin.

Metode serangan pra-pembajakan (arxiv.org)

Banyak layanan saat ini mengharuskan pengguna baru untuk memvalidasi kepemilikan alamat email, sehingga membuat akun baru dengan alamat email orang lain tidak akan berfungsi tanpa akses ke akun email tersebut.

Untuk melewati ini, penyerang dapat membuat akun menggunakan alamat email mereka dan kemudian beralih ke alamat email korban, menyalahgunakan fungsi standar yang tersedia di sebagian besar layanan online.

Dalam beberapa kasus, layanan tidak memerlukan verifikasi kedua untuk alamat email baru, yang memungkinkan pelaku ancaman untuk memasang serangan yang dijelaskan di atas.

Studi menunjukkan bahwa ketersediaan serangan yang berbeda serupa, dengan masalah sesi yang belum kedaluwarsa menjadi yang paling umum dalam kumpulan data terbatas.

Beberapa contoh platform yang rentan adalah Dropbox (UEC), Instagram (TID), LinkedIn (AS), WordPress.com (AS dan UEC), dan Zoom (CFM dan NV).

Situs yang rentan terhadap pra-pembajakan akun (arxiv.org)

Para peneliti melaporkan masalah ini secara bertanggung jawab ke platform, banyak di antaranya memperbaikinya setelah mengkategorikannya sebagai tingkat keparahan yang tinggi.

Namun, penting untuk digarisbawahi bahwa temuan ini hanya menyangkut segelintir situs, dan harus ada lebih banyak lagi yang mengikuti praktik keamanan buruk serupa.

Masalah utama dengan subkategori masalah keamanan ini dan akar penyebab kerentanan yang teridentifikasi adalah kurangnya verifikasi yang ketat.

Untuk menangani risiko akun yang dibajak sebelumnya, pengguna dapat segera mengatur MFA (autentikasi multi-faktor) di akun mereka, yang juga akan memaksa semua sesi sebelumnya menjadi tidak valid.

Sumber: Bleeping Computer

Windows Palsu mengeksploitasi komunitas infosec target dengan Cobalt Strike

by

Seorang aktor ancaman menargetkan peneliti keamanan dengan eksploitasi bukti konsep Windows palsu yang menginfeksi perangkat dengan pintu belakang Cobalt Strike.

Siapa pun yang berada di balik serangan ini memanfaatkan kerentanan eksekusi kode jarak jauh Windows yang baru-baru ini ditambal yang dilacak sebagai CVE-2022-24500 dan CVE-2022-26809.

Saat Microsoft menambal kerentanan, biasanya peneliti keamanan menganalisis perbaikan dan merilis eksploitasi proof-of-concept untuk kelemahan di GitHub.

Eksploitasi proof-of-concept ini digunakan oleh peneliti keamanan untuk menguji pertahanan mereka sendiri dan untuk mendorong admin menerapkan pembaruan keamanan.

Namun, aktor ancaman biasanya menggunakan eksploitasi ini untuk melakukan serangan atau menyebar secara lateral dalam jaringan.

Pekan lalu, seorang aktor ancaman menerbitkan dua eksploitasi proof-of-concept di GitHub untuk kerentanan Windows CVE-2022-24500 dan CVE-2022-26809 di GitHub.

Eksploitasi ini dipublikasikan di repositori untuk pengguna bernama ‘rkxxz’, yang telah dihapus dan akunnya dihapus.

CVE-2022-24500 PoC palsu diposting ke GitHub

Seperti yang selalu terjadi ketika PoC diterbitkan, berita dengan cepat menyebar di Twitter, dan bahkan menarik perhatian aktor ancaman yang mempostingnya di forum peretasan.

PoC palsu dibagikan di forum peretasan

Namun, segera menjadi jelas bahwa eksploitasi proof-of-concept ini palsu dan memasang suar Cobalt Strike di perangkat orang.

Cobalt Strike adalah alat pentesting yang sah yang biasanya digunakan oleh pelaku ancaman untuk menembus dan menyebar secara lateral melalui suatu organisasi.

Dalam laporan cybersecurity Cyble, analis ancaman menganalisis PoC dan menemukan bahwa itu adalah aplikasi .NET yang berpura-pura mengeksploitasi alamat IP yang sebenarnya menginfeksi pengguna dengan pintu belakang.

Demonstrasi eksploitasi PoC CVE-2022-24500 palsu
Sumber: BleepingComputer

Dari sampel PoC yang tidak disamarkan yang dibagikan dengan BleepingComputer oleh Cyble, kita dapat melihat bahwa PoC palsu meluncurkan skrip PowerShell yang mengeksekusi skrip PowerShell yang dikompresi gzip [malshare | VirusTotal] untuk menyuntikkan suar ke dalam memori.

PoC palsu meluncurkan skrip PowerShell

Pada Januari 2021, kelompok peretasan Lazarus Korea Utara menargetkan peneliti kerentanan melalui akun media sosial dan kerentanan browser zero-day.

Pada Maret 2021, peretas Korea Utara kembali menargetkan komunitas infosec dengan membuat perusahaan keamanan siber palsu bernama SecuriElite (berlokasi di Turki).

Pada bulan November, peretasan Lazarus melakukan kampanye lain menggunakan versi trojan dari aplikasi rekayasa balik IDA Pro yang menginstal trojan akses jarak jauh NukeSped.

Dengan menargetkan komunitas infosec, pelaku ancaman tidak hanya mendapatkan akses ke penelitian kerentanan yang mungkin sedang dikerjakan korban, tetapi juga berpotensi mendapatkan akses ke jaringan perusahaan keamanan siber.

Karena perusahaan keamanan siber cenderung memiliki informasi sensitif tentang klien, seperti penilaian kerentanan, kredensial akses jarak jauh, atau bahkan kerentanan zero-day yang tidak diungkapkan, jenis akses ini bisa sangat berharga bagi pelaku ancaman.

Sumber: Bleeping Computer

Bug Baru yang Belum Ditambal Dapat Membiarkan Penyerang Mencuri Uang dari Pengguna PayPal

by

Seorang peneliti keamanan mengklaim telah menemukan kerentanan yang belum ditambal dalam layanan transfer uang PayPal yang memungkinkan penyerang mengelabui korban agar tanpa sadar menyelesaikan transaksi yang diarahkan penyerang dengan satu klik.

Clickjacking, juga disebut UI redressing, mengacu pada teknik di mana pengguna tanpa disadari ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya seperti tombol dengan tujuan mengunduh malware, mengarahkan ulang ke situs web jahat, atau mengungkapkan informasi sensitif.

Ini biasanya dicapai dengan menampilkan halaman yang tidak terlihat atau elemen HTML di atas halaman yang terlihat, menghasilkan skenario di mana pengguna tertipu dengan berpikir bahwa mereka mengklik halaman yang sah padahal mereka sebenarnya mengklik elemen jahat yang dihamparkan di atasnya.

“Dengan demikian, penyerang ‘membajak’ klik yang dimaksudkan untuk halaman [yang sah] dan mengarahkannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya,” tulis peneliti keamanan h4x0r_dz dalam sebuah posting yang mendokumentasikan temuan tersebut.

h4x0r_dz, yang menemukan masalah ini di titik akhir “www.paypal[.]com/agreements/approve”, mengatakan masalah itu dilaporkan ke perusahaan pada Oktober 2021.

“Titik akhir ini dirancang untuk Perjanjian Penagihan dan seharusnya hanya menerima billingAgreementToken,” peneliti menjelaskan. “Tetapi selama pengujian mendalam saya, saya menemukan bahwa kami dapat melewati jenis token lain, dan ini mengarah pada pencurian uang dari akun PayPal korban.”

Ini berarti bahwa musuh dapat menyematkan titik akhir yang disebutkan di dalam iframe, menyebabkan korban yang sudah masuk ke browser web untuk mentransfer dana ke akun PayPal yang dikendalikan penyerang hanya dengan mengklik tombol.

Yang lebih memprihatinkan, serangan itu bisa memiliki konsekuensi bencana di portal online yang terintegrasi dengan PayPal untuk checkout, memungkinkan pelaku jahat untuk mengurangi jumlah sewenang-wenang dari akun PayPal pengguna.

“Ada layanan online yang memungkinkan Anda menambahkan saldo menggunakan PayPal ke akun Anda,” kata h4x0r_dz. “Saya dapat menggunakan exploit yang sama dan memaksa pengguna untuk menambahkan uang ke akun saya, atau saya dapat mengeksploitasi bug ini dan membiarkan korban membuat/membayar akun Netflix untuk saya!”

(Pembaruan: Cerita telah diperbaiki untuk menyebutkan bahwa bug tersebut masih belum ditambal dan bahwa peneliti keamanan tidak diberikan hadiah bug apa pun untuk melaporkan masalah tersebut. Kesalahan ini disesalkan. Kami juga telah menghubungi PayPal untuk detail lebih lanjut.)

Sumber: The Hacker News

Interpol: Senjata Siber Buatan Militer akan Segera Tersedia di Web Gelap

by

Alat digital yang digunakan oleh militer untuk melakukan perang dunia maya pada akhirnya bisa berakhir di tangan penjahat dunia maya, seorang pejabat tinggi Interpol telah memperingatkan.

Jurgen Stock, sekretaris jenderal badan kepolisian internasional, mengatakan dia khawatir senjata siber yang dikembangkan negara akan tersedia di darknet – bagian tersembunyi dari internet yang tidak dapat diakses melalui mesin pencari seperti Google – dalam “beberapa tahun.”

“Itu adalah perhatian utama di dunia fisik – senjata yang digunakan di medan perang dan besok akan digunakan oleh kelompok kejahatan terorganisir,” kata Stock dalam panel yang dimoderatori CNBC di Forum Ekonomi Dunia di Davos, Swiss, Senin.

“Begitu juga dengan senjata digital yang mungkin hari ini digunakan oleh militer, dikembangkan oleh militer, dan besok akan tersedia untuk penjahat,” tambahnya.

Cyberweapon datang dalam berbagai bentuk, dengan ransomware — di mana peretas mengunci sistem komputer perusahaan dan menuntut pembayaran uang tebusan untuk memulihkan kendali — menjadi salah satu kuncinya. Topik perang siber telah lama menjadi perhatian pemerintah global, tetapi mendapat perhatian baru di tengah perang Rusia-Ukraina.

Moskow telah disalahkan atas berbagai serangan siber yang terjadi sebelum dan selama invasi militernya ke Ukraina. Kremlin secara konsisten membantah tuduhan tersebut. Sementara itu, Ukraina telah meminta bantuan peretas sukarelawan dari seluruh dunia untuk membantunya bertahan melawan agresi Rusia.

Stock meminta para pemimpin bisnis untuk meningkatkan kerja sama dengan pemerintah dan otoritas penegak hukum untuk memastikan pemolisian kejahatan dunia maya yang lebih efektif.

“Di satu sisi, kami menyadari apa yang terjadi, di sisi lain, kami membutuhkan data, yang ada di sektor swasta,” katanya.

“Kami membutuhkan laporan [pelanggaran dunia maya] Anda. Tanpa laporan Anda, kami buta.”

“Sejumlah besar” serangan siber tidak dilaporkan, kata Stock. “Itu adalah celah yang perlu kita tutup bersama, bukan hanya penegakan hukum yang mengharuskan kita membangun jembatan antara silo kita, pulau informasi.”

Jumlah serangan siber meningkat lebih dari dua kali lipat secara global pada tahun 2021, menurut laporan Outlook Keamanan Siber Global Forum Ekonomi Dunia. Ransomware tetap menjadi jenis serangan paling populer, menurut laporan itu, dengan rata-rata organisasi menjadi sasaran 270 kali setahun.

Insiden keamanan siber menempatkan infrastruktur energi kritis dan rantai pasokan dalam risiko, kata eksekutif dan pejabat pemerintah di panel tersebut.

Robert Lee, CEO dan salah satu pendiri perusahaan keamanan siber Dragos, mendesak bisnis untuk fokus pada skenario dunia nyata — seperti serangan yang didukung negara Rusia terhadap jaringan listrik Ukraina pada 2015 — daripada risiko yang lebih hipotetis. Ukraina menangkis upaya serupa untuk mengkompromikan infrastruktur energinya pada April tahun ini.

“Masalah kami tidak membutuhkan AI ‘next-gen’, blockchain, atau apa pun,” kata Lee. “Masalah kami biasanya hanya tentang meluncurkan hal-hal yang telah kami investasikan.”

Sumber: CNBC

Spyware ‘Predator’ Biarkan Peretas Pemerintah Membobol Chrome dan Android

by

Sebuah perusahaan pengawasan swasta yang mencurigakan menjual akses kelemahan keamanan yang kuat di Chrome dan Android tahun lalu kepada peretas yang berafiliasi dengan pemerintah, Google mengungkapkan Senin.

Cytrox, sebuah perusahaan rahasia yang berbasis di Makedonia Utara, diduga menjual akses empat kelemahan keamanan zero-day di browser Chrome serta satu di sistem operasi Android. Kliennya adalah “aktor ancaman” yang terkait dengan pemerintah di beberapa negara asing yang menggunakan eksploitasi untuk melakukan kampanye peretasan dengan spyware invasif Cytrox “Predator.

“Kami menilai dengan keyakinan tinggi bahwa eksploitasi ini dikemas oleh satu perusahaan pengawasan komersial, Cytrox, dan dijual ke berbagai aktor yang didukung pemerintah yang menggunakannya setidaknya dalam tiga kampanye yang dibahas di bawah ini,” peneliti dengan Google’s Threat Analysis Group (TAG) dijelaskan dalam posting blog.

Cytrox juga dikatakan telah memberi kliennya akses ke sejumlah “n-days”—kerentanan yang sudah memiliki patch yang dikeluarkan untuk mereka. Dalam kasus ini, pengguna yang ditargetkan mungkin belum memperbarui perangkat atau aplikasi mereka.

Peretas yang membeli layanan dan spyware Cytrox berbasis di seluruh dunia—Yunani, Serbia, Mesir, Armenia, Spanyol, Indonesia, Madagaskar, dan Pantai Gading, tulis para peneliti. Tim TAG Google juga menulis tentang tren baru yang mengganggu: mayoritas kerentanan zero-day yang mereka temukan tahun lalu sengaja “dikembangkan” oleh perusahaan pengawasan swasta seperti Cytrox.

“Tujuh dari sembilan TAG 0 hari yang ditemukan pada tahun 2021 termasuk dalam kategori ini: dikembangkan oleh penyedia komersial dan dijual kepada serta digunakan oleh aktor yang didukung pemerintah,” tulis para peneliti. “TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah.”

Skandal peretasan yang terkait dengan industri pengawasan swasta telah menimbulkan kontroversi signifikan dalam beberapa tahun terakhir. Secara khusus, perusahaan spyware terkenal NSO Group telah dituduh menjual alat intrusi digital canggihnya kepada pemerintah di seluruh dunia.

Sumber: Gizmodo