Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Alat Android Anti-Pelacakan DuckDuckGo Bisa “bahkan lebih kuat” daripada iOS

by Leave a Comment

DuckDuckGo memposisikan Perlindungan Pelacakan Aplikasi sebagai sesuatu seperti Transparansi Pelacakan Aplikasi Apple untuk perangkat iOS, tetapi “bahkan lebih kuat”. Mengaktifkan layanan di aplikasi DuckDuckGo untuk Android (di bawah bagian “Lainnya dari DuckDuckGo”) menginstal layanan VPN lokal di ponsel Anda, yang kemudian dapat mulai memblokir pelacak secara otomatis di DDG’s

Google baru-baru ini memberi pengguna Android beberapa alat asli untuk mencegah pelacakan nakal, termasuk persetujuan pelacakan lokasi aplikasi demi aplikasi dan penyisihan pelacakan iklan asli terbatas.

Technica that App Tracking Protection, Saat mengenali pelacak dari daftar blokirnya, “melihat ke domain tujuan untuk setiap permintaan keluar dan memblokirnya jika mereka ada di daftar blokir kami dan aplikasi yang meminta tidak dimiliki oleh perusahaan yang sama yang memiliki domain.”

Perlindungan Pelacakan Aplikasi diluncurkan setahun yang lalu dalam versi beta terbatas. Sejak itu, DuckDuckGo telah memperbarui aplikasi untuk menunjukkan kepada Anda lebih banyak informasi tentang jenis pelacak data apa yang coba dikumpulkan— “seperti lokasi tepat Anda, usia, dan sidik jari digital ponsel Anda.” Melalui pengujiannya, DuckDuckGo telah melihat bahwa ponsel Android dengan 35 aplikasi dapat melihat 1.000–2.000 upaya pelacakan setiap hari, mengirimkan data ke lebih dari 70 perusahaan.

sumber : ars technica

Skandal Spyware Eropa Adalah Panggilan Darurat Global

by Leave a Comment

Beberapa pemerintah Eropa menggunakan alat pengawasan canggih untuk memata-matai rakyatnya sendiri

Investigasi spyware yang dipimpin oleh 16 media di seluruh dunia. Wartawan menemukan bahwa pemerintah telah menargetkan lebih dari 50.000 nomor telepon di seluruh dunia menggunakan alat pengawasan

Spyware memungkinkan untuk secara diam-diam melacak dan menarik informasi dari suatu perangkat. Setelah perangkat lunak mengakses ponsel atau komputer target, siapa pun yang menginstalnya dapat menarik teks dan email, mengunduh setiap foto di perangkat, dan bahkan melacak lokasi GPS perangkat.

Memungkinkan pengguna untuk diam-diam menyedot kata sandi, daftar kontak, acara kalender, pesan teks, panggilan suara langsung, dan data lainnya dari ponsel target. Bahkan memungkinkan operator perangkat lunak menyalakan kamera dan mikrofon ponsel untuk melihat orang tersebut dan lingkungannya.

Meskipun mereka mengakui itu digunakan semata-mata untuk alasan keamanan nasional, pihak berwenang Hungaria menargetkan lebih dari 300 orang, dari pengacara dan jurnalis hingga pemilik bisnis terkenal, aktivis, dan politisi oposisi, menurut laporan tersebut.

Pejabat di Siprus memperoleh teknologi pengawasan dari Eropa. secara ilegal melacak lebih dari 9,5 juta perangkat seluler. Pihak berwenang Spanyol tampaknya telah menargetkan orang-orang di Catalonia dengan Pegasus NSO Group

Penyelidik tidak melakukan apa pun: Penulis laporan menulis bahwa penyalahgunaan spyware “tanpa ampun memperlihatkan ketidakdewasaan dan kelemahan UE sebagai entitas demokrasi.”

Ada perbedaan yang jelas dan besar antara spyware dan pelanggaran pengawasan di negara-negara demokratis dan di banyak otokrasi.

Supremasi hukum dan keberadaan media yang relatif independen, di antara banyak faktor lainnya, memberi lebih banyak ruang untuk skandal dan reformasi.

Tapi itulah mengapa laporan UE tentang penyalahgunaan spyware menjadi pengingat penting.

Mengontrol teknologi ini sangat sulit, karena jenis kontrol ekspor yang diberlakukan pemerintah pada barang fisik, seperti senjata dan bahan kimia, tidak dapat diterjemahkan dengan cara yang sama ke perangkat lunak. Namun untuk benar-benar berjuang melindungi privasi di era modern.

sumber : slate

Google Membayar Denda Sebesar $391,5 Juta Untuk Melacak Lokasi Pengguna Android

by

Google membayar denda sebesar $391,5 juta untuk gugatan privasi yang diajukan oleh jaksa agung AS dari 40 negara bagian.

Sesuai kesepakatan, jaksa agung AS telah menemukan bahwa raksasa pencarian menyesatkan pengguna Android dan telah melacak lokasi mereka bahkan ketika mereka menonaktifkan pelacakan GPS, dan ini telah terjadi sejak 2014.

Google membayar penalti dikarenakan melacak lokasi pengguna tanpa persetujuan
Google menggunakan ‘Aktivitas Web & Aplikasi’ untuk melacak lokasi dan riwayat pengguna, yang memungkinkan mereka mengumpulkan, menyimpan, dan memproses data pengguna akhir tanpa persetujuan mereka.

Google harus menjadi lebih transparan dengan pengguna android mengenai pelacakan lokasi dan bagaimana data pengguna akan diproses.

Persyaratan transparansi penyelesaian ini akan memastikan bahwa Google tidak hanya membuat pengguna mengetahui bagaimana data lokasi mereka digunakan, tetapi juga bagaimana mengubah pengaturan akun mereka jika mereka ingin menonaktifkan pengaturan akun terkait lokasi.

Kemudian, Google mengambil solusi dan memperbaiki prosedure pelacak lokasinya dan menghentikan pengguna yang menyesatkan untuk hal yang sama

Selain itu, Google kembali didenda $170 juta oleh Frandce National Commission on Informatics and Liberty (CNIL) atas kebebasan persetujuan pengguna internet dengan mempersulit penonaktifan cookie palacakan situs web dengan opsi yang disembunyikan di balik beberapa navigasi

Google membayar penalti lebih dari 5 miliar penalti untuk eksploitasi data pengguna

  • Google membayar denda $2,72 miliar karena menyalahgunakan posisi pasar dominannya untuk memanipulasi hasil pencarian pada Juni 2017
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar $1,7 miliar untuk praktik antipersaingan dalam periklanan digital pada Maret 2019.

Gugatan ini pertama kali diajukan oleh empat pengacara AS pada Januari 2021 untuk melacak lokasi pengguna tanpa persetujuan mereka dan sekarang Google telah membayar penyelesaian untuk gugatan class action lawsuit tersebut

sumber : the cyber security times

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

by

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

PCspooF: Kerentanan Baru Mempengaruhi Jaringan Pesawat Luar Angkasa dan Pesawat Terbang

by

Sebuah metode serangan baru telah diungkapkan terhadap bagian penting dari teknologi yang disebut time-triggered ethernet (TTE) yang digunakan dalam infrastruktur penting keselamatan, yang berpotensi menyebabkan kegagalan sistem yang menggerakkan pesawat ruang angkasa dan pesawat terbang.

TTE adalah salah satu teknologi jaringan yang merupakan bagian dari apa yang disebut jaringan kekritisan campuran di mana lalu lintas dengan persyaratan waktu dan toleransi kesalahan yang berbeda hidup berdampingan dalam jaringan fisik yang sama. Ini berarti bahwa kedua perangkat kritis, yang memungkinkan kontrol kendaraan, dan perangkat non-kritis, yang digunakan untuk pemantauan dan pengumpulan data, berbagi jaringan yang sama.

Keuntungan yang jelas dari pendekatan ini adalah kenyataan bahwa ada persyaratan bobot dan daya yang lebih rendah serta biaya pengembangan dan waktu yang lebih rendah karena hanya mengandalkan satu teknologi. Tapi ini juga datang dengan kekurangannya sendiri.

ilustrasi level tinggi PCspooF

“Pendekatan kekritisan campuran ini memberi lebih banyak tekanan pada desain jaringan untuk memberikan isolasi,” Andrew Loveless, penulis utama studi tersebut,

Protokol jaringan dan perangkat keras perlu melakukan pekerjaan ekstra untuk memastikan lalu lintas kritis selalu dijamin berhasil dan tepat waktu.”

Selagi perangkat penting dalam jaringan harus melalui pemeriksaan menyeluruh, perangkat non-kritis bukan hanya perangkat komersial siap pakai (COTS) tetapi juga tidak memiliki proses ketat yang sama, yang mengarah ke kemungkinan jalan untuk kompromi rantai pasokan yang dapat terjadi. dipersenjatai untuk mengaktifkan serangan dengan mengintegrasikan komponen pihak ketiga nakal ke dalam sistem.

“Di PCspooF, kami menemukan cara bagi perangkat non-kritis berbahaya untuk merusak jaminan isolasi ini di jaringan TTE,” Baris Kasikci,

Pada gilirannya, dicapai dengan menggunakan perangkat jahat untuk menyuntikkan interferensi elektromagnetik (EMI) ke sakelar TTE melalui kabel Ethernet,

Sebagai mitigasi, penelitian ini merekomendasikan penggunaan optocoupler atau pelindung gelombang untuk memblokir interferensi elektromagnetik, memeriksa alamat MAC sumber untuk memastikannya asli, menyembunyikan bidang PCF utama, menggunakan protokol autentikasi lapisan tautan seperti IEEE 802.

Temuan menunjukkan bahwa penggunaan perangkat keras umum dalam sistem yang direkayasa untuk memberikan jaminan isolasi yang ketat kadang-kadang dapat mengalahkan perlindungan itu sendiri, kata para peneliti, menambahkan sistem perangkat lunak kritik campuran harus diperiksa dengan cermat dengan cara yang sama untuk memastikan mekanisme isolasi. sangat mudah.

sumber : the hacker news

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

by

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

dekripsi rutin chunk (kapersky)

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

by

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

by

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Backstage attack flow diagram (Oxeye)

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews