Threat

Soalrwinds Hack menular Infrastruktur Kritis, Termasuk Industri Tenaga Listrik

December 26, 2020 by Mally

Kampanye Peretasan yang menginfeksi banyak lembaga pemerintah dan perusahaan teknologi dengan perangkat lunak SolarWinds yang berbahaya, juga telah menginfeksi lebih dari selusin perusahaan infrastruktur penting di industri listrik, minyak, dan manufaktur yang juga menjalankan perangkat lunak tersebut, menurut sebuah perusahaan keamanan yang melakukan penyelidikan terhadap beberapa. dari pelanggaran.

Selain perusahaan infrastruktur penting, perangkat lunak SolarWinds juga menginfeksi tiga perusahaan yang menyediakan layanan untuk perusahaan tersebut, kata Rob Lee, CEO Dragos, Inc., yang berspesialisasi dalam keamanan sistem kontrol industri dan menemukan beberapa infeksi.

Lee mencatat bahwa dalam beberapa kasus OEM tidak hanya memiliki akses ke jaringan pelanggan – mereka sebenarnya secara langsung menginfeksi pelanggan mereka dengan perangkat lunak SolarWinds. Itu karena beberapa dari mereka menggunakan SolarWinds tidak hanya di jaringan mereka sendiri, tetapi juga telah menginstalnya di jaringan pelanggan untuk mengelola dan memantaunya, terkadang tanpa pelanggan menyadarinya.

Namun, saat ini tidak ada bukti bahwa peretas menggunakan backdoor dalam perangkat lunak SolarWinds untuk mendapatkan akses ke 15 entitas listrik, minyak, gas, dan manufaktur yang terinfeksi perangkat lunak tersebut. Namun Lee mencatat bahwa tidak mungkin untuk mengungkap aktivitas tersebut jika penyerang benar-benar mengaksesnya dan menggali lebih jauh ke dalam jaringan kontrol industri, karena entitas infrastruktur penting umumnya tidak melakukan logging ekstensif dan pemantauan jaringan sistem kontrol mereka.

sumber : TheIntercept

Departemen Keamanan Dalam Negeri US : China menggunakan TV TCL untuk memata-matai orang Amerika

December 26, 2020 by Mally

Penjabat Sekretaris Departemen Keamanan Dalam Negeri Chad Wolf mengatakan agen federal sedang mencari tahu apakah pembuat televisi China TCL telah membangun “backdoors” keamanan-bypass ke dalam perangkat TV yang diberdayakan Android, seperti yang dilaporkan dalam Panduan Tom bulan lalu.

“DHS sedang meninjau entitas seperti pabrikan China TCL,” kata Wolf pada Senin (21 Desember) dalam pidatonya.

“Tahun ini ditemukan bahwa TCL memasukkan pintu belakang ke dalam semua perangkat TVnya yang mengekspos pengguna ke pelanggaran dunia maya dan eksfiltrasi data,” tambah Wolf.

“TCL juga menerima dukungan negara PKC [Partai Komunis China] untuk bersaing di pasar elektronik global, yang telah mendorongnya menjadi produsen televisi terbesar ketiga di dunia.”

Kami tidak yakin berapa banyak bantuan pemerintah yang sebenarnya didapat TCL dari pemerintah China, dan peringkat pasarnya bergantung pada statistik siapa yang Anda gunakan. Tapi kami tahu bahwa kekurangan yang kami tulis bulan lalu tidak memengaruhi set TCL yang menjalankan sistem operasi Roku, yang merupakan sebagian besar set TCL yang dijual di Amerika Utara.

TCL mengatakan kepada Tom’s Guide bulan lalu bahwa itu memperbaiki dua masalah dalam set TCL yang menjalankan Android yang telah ditemukan oleh dua peretas, John Jackson dan Sick Codes.

*Perhatikan bahwa tidak ada bukti yang diberikan untuk membuktikan informasi ini dan harus diambil dengan sedikit perhatian sebelum sepenuhnya mempercayai data ini.

sumber : Tomsguide

Peretas Rusia yang dicurigai menggunakan vendor Microsoft untuk membobol pelanggan

December 25, 2020 by Mally

WASHINGTON (Reuters) – Tersangka peretas Rusia di balik serangan dunia maya AS yang terburuk dalam beberapa tahun memanfaatkan akses pengecer ke layanan Microsoft Corp untuk menembus target yang tidak memiliki perangkat lunak jaringan yang dikompromikan dari SolarWinds Corp, kata penyelidik.

Sementara pembaruan pada perangkat lunak Orion SolarWinds sebelumnya adalah satu-satunya titik masuk yang diketahui, perusahaan keamanan CrowdStrike Holdings Inc mengatakan hari Kamis peretas telah memenangkan akses ke vendor yang menjual lisensi Office dan menggunakannya untuk mencoba membaca email CrowdStrike. Itu tidak secara khusus mengidentifikasi peretas sebagai orang-orang yang menyusupi SolarWinds, tetapi dua orang yang mengetahui penyelidikan CrowdStrike mengatakan mereka.

CrowdStrike menggunakan program Office untuk pengolah kata tetapi tidak untuk email. Upaya yang gagal, yang dilakukan beberapa bulan lalu, ditunjukkan ke CrowdStrike oleh Microsoft pada 15 Desember.

CrowdStrike, yang tidak menggunakan SolarWinds, mengatakan tidak menemukan dampak dari upaya intrusi dan menolak menyebutkan nama resellernya.

Banyak lisensi perangkat lunak Microsoft dijual melalui pihak ketiga, dan perusahaan tersebut dapat memiliki akses yang hampir konstan ke sistem klien saat pelanggan menambahkan produk atau karyawan. Microsoft mengatakan pada hari Kamis bahwa pelanggan tersebut perlu waspada.

Penggunaan pengecer Microsoft untuk mencoba masuk ke perusahaan pertahanan digital teratas menimbulkan pertanyaan baru tentang berapa banyak jalan yang dimiliki para peretas, yang diduga pejabat AS beroperasi atas nama pemerintah Rusia, yang mereka miliki.

sumber : Reuters

Livecoin pertukaran crypto Rusia diretas setelah kehilangan kendali atas servernya

December 25, 2020 by Mally

Pertukaran cryptocurrency Rusia Livecoin memposting pesan di situs resminya pada Malam Natal mengklaim itu diretas dan kehilangan kendali atas beberapa servernya, memperingatkan pelanggan untuk berhenti menggunakan layanannya. Menurut postingan di media sosial, serangan itu tampaknya terjadi pada malam antara 23 Desember dan 24 Desember.

Peretas tampaknya telah menguasai infrastruktur Livecoin dan kemudian mulai mengubah nilai tukar menjadi nilai raksasa dan tidak realistis.

Sebelum admin Livecoin berhasil mendapatkan kembali akses ke beberapa sistem mereka selama akhir 24 Desember, nilai tukar Bitcoin telah menggelembung dari $ 23.000 / BTC biasa menjadi lebih dari $ 450.000 / BTC, Ether tumbuh dari $ 600 / ETH menjadi $ 15.000, dan harga Ripple meningkat dari $ 0,27 / XRP menjadi lebih dari $ 17 / XRP.

Setelah nilai tukar diubah, para penyerang misterius mulai menguangkan akun, menghasilkan keuntungan besar.

sumber : ZDNET

Kampanye Emotet Dimulai Kembali Setelah Hiatus Tujuh Minggu

December 23, 2020 by Mally

Pada bulan Oktober, tiga gelombang spam yang sarat dengan Emotet downloader bekerja untuk menyebarkan malware ke sistem pengguna yang rentan, memulai rangkaian yang sering mengakibatkan infeksi ransomware Ryuk atau upaya untuk mencuri kredensial rekening bank melalui Trojan perbankan Trickbot.

Tujuh minggu setelah kampanye besar Emotet terakhir, para penjahat siber di belakang kampanye tersebut telah memulai upaya mereka untuk menyusupi lebih banyak sistem, menurut beberapa organisasi keamanan siber.

Tim anti-spam Abuse.ch mencatat pada 22 Desember bahwa aktivitas kelompok kejahatan siber telah meningkatkan tepat sebelum Natal. Sehari sebelumnya, penyedia keamanan perpesanan Proofpoint mencatat bahwa sistemnya melihat lebih dari 100.000 pesan dalam berbagai bahasa dan dengan berbagai lampiran atau tautan.

Kampanye terbaru dapat menyebabkan sistem yang dikompromikan dan ancaman terhadap jaringan bisnis, karena sebagian besar karyawan terus bekerja dari rumah.

“Apa yang membuat Emotet sangat berbahaya bagi organisasi adalah bahwa itu telah menjadi pijakan utama untuk penyebaran Trojan perbankan lainnya di masa depan,” kata Sherrod DeGrippo, direktur senior penelitian dan deteksi ancaman di Proofpoint. “Pada titik ini, Trojan perbankan arus utama dapat menyebabkan serangan ransomware yang menghancurkan”.

Sementara kampanye Emotet terbaru dimulai sekitar pertengahan Desember, aktivitas tersebut menjadi paling jelas dalam beberapa hari terakhir. Proofpoint mengeluarkan pernyataan singkat di Twitter pada 21 Desember yang juga menampilkan tangkapan layar dari manipulasi psikologis yang digunakan untuk mencoba membuat korban mematikan fitur Microsoft 365 yang memblokir dokumen berbahaya.

Sumber: Dark Reading

Krebs: AS harus ‘berhati-hati’ tentang meningkatnya perang dunia maya dengan Rusia

December 22, 2020 by Mally

Mantan kepala Cybersecurity and Infrastructure Security Agency (CISA) Christopher Krebs dalam sebuah wawancara pada hari Minggu mengungkapkan pada seruan anggota parlemen untuk pembalasan sebagai tanggapan atas intrusi dunia maya di berbagai lembaga pemerintah yang diyakini dilakukan oleh Rusia. Berbicara dengan Jake Tapper dari CNN tentang “State of the Union,” Krebs mengatakan bahwa anggota parlemen seperti Senator Mitt Romney (R-Utah,) harus waspada dengan pernyataan “tanggapan dunia maya yang besarnya sama atau lebih besar” di awal program,

“Saya akan sangat berhati-hati untuk meningkatkan ini,” jawab Krebs.

Mantan kepala keamanan siber AS itu menambahkan. “Diperlukan adanya percakapan di antara negara-negara yang berpikiran sama” tentang apa bentuk spionase dunia maya yang dapat diterima, Krebs juga ditanyai selama wawancara tentang tweet pada hari Sabtu dari Presiden Trump, yang bertentangan dengan pejabat tinggi AS dan menyarankan keterlibatan China dalam serangan dunia maya serta tuduhan intrusi yang tidak berdasar ke dalam sistem pemungutan suara AS.

Krebs juga ditanyai selama wawancara tentang tweet pada hari Sabtu dari Presiden Trump, yang bertentangan dengan pejabat tinggi AS dan menyarankan keterlibatan China dalam serangan dunia maya serta tuduhan intrusi yang tidak berdasar ke dalam sistem pemungutan suara AS. “Ini Rusia,” jawab Krebs pada hari Minggu, sebelum menambahkan dinas intelijen Rusia, SVR: “Mereka sangat ahli dalam hal itu.”
Peretasan itu mungkin terjadi, tambahnya, karena sistem lama masih digunakan di seluruh lembaga pemerintah yang belum meningkatkan kemampuannya selama bertahun-tahun dan tidak “dioptimalkan” untuk dipertahankan dengan mudah.

Source : The Hill

Grup peretasan kedua telah menargetkan sistem SolarWinds

December 22, 2020 by Mally

Ketika bukti forensik perlahan-lahan digali setelah serangan rantai pasokan SolarWinds, peneliti keamanan telah menemukan pelaku ancaman kedua yang telah mengeksploitasi perangkat lunak SolarWinds untuk menanam malware di jaringan perusahaan dan pemerintah.

Rincian tentang aktor ancaman kedua ini masih langka, tetapi peneliti keamanan tidak percaya entitas kedua ini terkait dengan dugaan peretas yang didukung pemerintah Rusia yang melanggar SolarWinds untuk memasukkan malware ke dalam aplikasi resmi Orion.

Malware yang digunakan dalam serangan asli, dengan nama sandi Sunburst (atau Solorigate), dikirimkan ke pelanggan SolarWinds sebagai pembaruan yang di-boobytrapped untuk aplikasi Orion.

Tetapi dalam beberapa hari pertama setelah pengungkapan publik dari peretasan SolarWinds, laporan awal menyebutkan dua muatan tahap kedua.

Laporan dari Guidepoint, Symantec, dan Palo Alto Networks merinci bagaimana penyerang juga menanam web shell .NET bernama Supernova. Peneliti keamanan percaya bahwa penyerang menggunakan web shell Supernova untuk mengunduh, mengkompilasi, dan mengeksekusi skrip Powershell yang berbahaya (yang oleh beberapa orang dinamai CosmicGale).

Namun, dalam analisis tindak lanjut dari tim keamanan Microsoft, sekarang diklarifikasi bahwa web shell Supernova bukan bagian dari rantai serangan asli.

Kebingungan bahwa Supernova terkait dengan rantai serangan Sunburst + Teardrop berasal dari fakta bahwa sama seperti Sunburst, Supernova menyamar sebagai DLL untuk aplikasi Orion – dengan Sunburst disembunyikan di dalam file SolarWinds.Orion.Core.BusinessLayer.dll dan Supernova di dalam App_Web_logoimagehandler.ashx.b6031896.dll.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings