Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region / US

US

Google Membayar Denda Sebesar $391,5 Juta Untuk Melacak Lokasi Pengguna Android

by

Google membayar denda sebesar $391,5 juta untuk gugatan privasi yang diajukan oleh jaksa agung AS dari 40 negara bagian.

Sesuai kesepakatan, jaksa agung AS telah menemukan bahwa raksasa pencarian menyesatkan pengguna Android dan telah melacak lokasi mereka bahkan ketika mereka menonaktifkan pelacakan GPS, dan ini telah terjadi sejak 2014.

Google membayar penalti dikarenakan melacak lokasi pengguna tanpa persetujuan
Google menggunakan ‘Aktivitas Web & Aplikasi’ untuk melacak lokasi dan riwayat pengguna, yang memungkinkan mereka mengumpulkan, menyimpan, dan memproses data pengguna akhir tanpa persetujuan mereka.

Google harus menjadi lebih transparan dengan pengguna android mengenai pelacakan lokasi dan bagaimana data pengguna akan diproses.

Persyaratan transparansi penyelesaian ini akan memastikan bahwa Google tidak hanya membuat pengguna mengetahui bagaimana data lokasi mereka digunakan, tetapi juga bagaimana mengubah pengaturan akun mereka jika mereka ingin menonaktifkan pengaturan akun terkait lokasi.

Kemudian, Google mengambil solusi dan memperbaiki prosedure pelacak lokasinya dan menghentikan pengguna yang menyesatkan untuk hal yang sama

Selain itu, Google kembali didenda $170 juta oleh Frandce National Commission on Informatics and Liberty (CNIL) atas kebebasan persetujuan pengguna internet dengan mempersulit penonaktifan cookie palacakan situs web dengan opsi yang disembunyikan di balik beberapa navigasi

Google membayar penalti lebih dari 5 miliar penalti untuk eksploitasi data pengguna

  • Google membayar denda $2,72 miliar karena menyalahgunakan posisi pasar dominannya untuk memanipulasi hasil pencarian pada Juni 2017
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar $1,7 miliar untuk praktik antipersaingan dalam periklanan digital pada Maret 2019.

Gugatan ini pertama kali diajukan oleh empat pengacara AS pada Januari 2021 untuk melacak lokasi pengguna tanpa persetujuan mereka dan sekarang Google telah membayar penyelesaian untuk gugatan class action lawsuit tersebut

sumber : the cyber security times

Departemen Kesehatan AS Memperingatkan Tentang Ransomware Venus yang Menargetkan Organisasi Perawatan Kesehatan

by

Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) hari ini memperingatkan bahwa serangan ransomware Venus juga menargetkan organisasi perawatan kesehatan negara itu.

Namun, tidak ada situs yang kebocoran data yang diketahui bahwa aktor ancaman yang menyebarkan ransomware Venus diketahui digunakan untuk menerbitkan data curian secara online, menurut laporan HC3.

Puluhan korban sejak Agustus

Venus Ransomware pertama kali terlihat pada pertengahan Agustus 2022 dan sejak itu telah digunakan di seluruh jaringan puluhan korban perusahaan di seluruh dunia.

Pelaku ancaman di balik serangan ransomware Venus dikenal karena meretas layanan Remote Desktop korban yang diekspos ke publik untuk mengenkripsi perangkat Windows.

Selain menghentikan layanan database dan aplikasi Office, ransomware juga akan menghapus log peristiwa, Volume Salinan Bayangan, dan menonaktifkan Pencegahan Eksekusi Data pada titik akhir yang disusupi.

Pengiriman ransomware Venus (ID Ransomware)

Ransomware menargetkan perawatan kesehatan
Otoritas federal AS telah memperingatkan tentang operasi ransomware lain yang menargetkan organisasi perawatan kesehatan di seluruh Amerika Serikat tahun ini.

Peringatan sebelumnya termasuk peringatan pelaku ancaman yang menyebarkan muatan ransomware Maui dan Zeppelin dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

pada akhirnya, perusahaan manajemen piutang layanan lengkap Professional Finance Company Inc (PFC) mengungkapkan dalam pemberitahuan pelanggaran data bahwa serangan ransomware Quantum dari akhir Februari menyebabkan pelanggaran data yang berdampak pada 657 organisasi layanan kesehatan.

sumber : bleeping computer

Serangan DDoS Hacktivist berdampak kecil pada organisasi penting

by

Biro Investigasi Federal (FBI) mengatakan pada hari Jumat bahwa serangan penolakan layanan (DDoS) terdistribusi yang dikoordinasikan oleh kelompok peretas memiliki dampak kecil pada layanan yang mereka targetkan.

Seperti yang dijelaskan oleh lembaga penegak hukum dalam pemberitahuan industri swasta yang dikeluarkan hari ini, ini terjadi karena mereka menargetkan infrastruktur yang menghadap publik seperti situs web alih-alih layanan yang sebenarnya, yang menyebabkan gangguan terbatas.

Kelompok tersebut biasanya menargetkan organisasi infrastruktur penting atau profil tinggi seperti lembaga keuangan, layanan darurat, bandara, dan fasilitas pemerintah, kesehatan, dan medis.

Dengan menghapus situs web mereka, para peretas bertujuan untuk meningkatkan kredibilitas mereka dan “secara keliru menyatakan dampak atau gangguan yang lebih besar daripada apa yang terjadi.”

Dalam satu contoh baru-baru ini dari insiden semacam itu, kelompok peretas pro-Rusia KillNet mengklaim serangan terhadap situs web beberapa bandara besar di seluruh AS.

Serangan DDoS membanjiri server yang menampung situs-situs ini, sehingga tidak memungkinkan bagi pelancong untuk memesan layanan bandara atau mendapatkan pembaruan tentang penerbangan terjadwal mereka.

Contoh penting situs web bandara yang tidak dapat diakses selama insiden termasuk:

  • Bandara Internasional Hartsfield-Jackson Atlanta (ATL), salah satu pusat lalu lintas udara yang lebih signifikan di AS.
  • Bandara Internasional Los Angeles (LAX)
  • Bandara Internasional Chicago O’Hare (ORD)

Sementara serangan DDoS ini tidak berdampak pada penerbangan, mereka masih memiliki efek buruk pada sektor ekonomi penting, menunda layanan terkait.

Satu minggu sebelumnya, kelompok yang sama juga menyerang situs web pemerintah AS di Colorado, Kentucky, dan Mississippi, dengan keberhasilan sedang, membuat beberapa di antaranya offline untuk waktu yang singkat.

Killnet juga mengklaim telah menghapus situs CISA’s Protected Critical Infrastructure Information Management System pada hari Jumat setelah serangannya terhadap Departemen Keuangan AS pada awal Oktober digagalkan sebelum mempengaruhi infrastruktur agensi.

Seminggu yang lalu, CISA, FBI, dan MS-ISAC menerbitkan nasihat bersama untuk memberikan informasi kepada para pembela HAM tentang pengurangan kemungkinan dan dampak serangan DDoS.

Sumber: Bleeping Computer

Bank U.S. Memproses sekitar 18,7 Miliar Rupiah dalam Pembayaran Ransomware pada 2021, menururt laporan federal

by

Bank dan lembaga keuangan AS memproses sekitar $1,2 miliar kemungkinan pembayaran ransomware pada tahun 2021, rekor baru dan hampir tiga kali lipat jumlah tahun sebelumnya.

Lebih dari setengah serangan ransomware dikaitkan dengan tersangka peretas siber Rusia, menurut laporan baru yang dirilis Selasa dari Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan, atau FinCEN, yang menganalisis data.

CEO Perusahaan Joseph Blount Jr. membayar penjahat siber yang berbasis di Rusia sebesar $5 juta. Departemen Kehakiman kemudian memulihkan sekitar setengah dari uang tebusan

36 pemimpin negara dan EU bertemu pada selasa di Washington. untuk membahas penanggulangan yang efektif terhadap ancaman ransomware. Serangan Ransomware adalah jenis serangan siber di mana peretas memasang perangkat lunak berbahaya di komputer atau server yang mengancam akan merilis data atau memblokir akses ke sana hingga uang tebusan dibayarkan.

FinCEN mengatakan terdapat 1.489 insiden ransomware yang menelan biaya hampir $1,2 miliar tahun lalu, peningkatan substansial dari $416 juta dalam kerusakan yang tercatat pada tahun 2020, menurut laporan tersebut.

Analisis FinCEN mencakup tahun 2021, dengan fokus pada paruh kedua tahun ini. Badan tersebut mengatakan empat dari lima serangan ransomware teratas yang dilaporkan selama periode ini terkait dengan Rusia. Sekitar 75% insiden terkait ransomware juga terkait dengan negara.

Bulan Maret, Biden menandatangani tindakan yang mengharuskan beberapa bisnis untuk melaporkan insiden siber tertentu dan pembayaran ransomware ke Badan Keamanan, Infrastruktur, dan Keamanan Siber. CISA juga meluncurkan kampanye untuk mengurangi risiko ransomware pada Januari 2021.

sumber : cnbc

CYBERCOM melaksanakan operasi pertahanan dunia maya global

by

Komando Siber A.S. melakukan konsep operasi ruang siber defensif baru dari 3-14 Oktober 2022.

Operasi ini dimaksudkan untuk menyoroti dan meningkatkan interoperabilitas CYBERCOM dengan mitra. Dengan meningkatkan konsistensi informasi dan berbagi wawasan dengan mitra aksi terpadu, kami meningkatkan keamanan dan stabilitas jaringan, sistem, dan tindakan nasional kami saat melawan aktivitas siber berbahaya.

Operasi 10 hari ini difokuskan secara internal dan dimaksudkan untuk mencari, mengidentifikasi, dan mengurangi malware yang diketahui publik dan variasi terkait yang berpotensi memengaruhi keamanan siber kami. Dimulai dengan malware yang dikenal atau variasinya memungkinkan operator untuk meningkatkan proses dan koordinasi dengan komando kombatan, antarlembaga, internasional, industri, dan mitra akademik. Jika dan ketika operator mengidentifikasi ancaman, wawasan mereka dibagikan di antara semua mitra.

“Di bawah kerangka ini, operasi tersebut merupakan kegiatan berkelanjutan yang dirancang untuk memperkuat ketahanan Jaringan Informasi Departemen Pertahanan (DODIN) dan sistem pendukung lainnya,” kata Laksamana Muda Angkatan Laut AS Matthew C. Paradise, wakil direktur, Operasi J-3 , CYBERCOM. “Operasi Ruang Siber Defensif membantu CYBERCOM memenuhi tanggung jawab misinya dengan mengaktifkan dan meningkatkan jaminan misi pasukan gabungan, serta sekutu dan mitra kami, dengan mempertahankan jaringan yang andal dan dapat dipertahankan,” tambah Paradise.

Operasi defensif ini dilakukan secara bersamaan di berbagai jaringan DOD dan secara global dengan mitra yang berpartisipasi.

Sumber: U.S. Cyber Command

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Facebook menghancurkan jaringan China yang menargetkan orang Amerika

    by

    Meta menghapus jaringan pengaruh Tiongkok yang berusaha mengobarkan ketegangan politik di Facebook, Instagram, dan Twitter menjelang pemilihan.

    Akun-akun itu meniru orang Amerika untuk menargetkan orang-orang di kedua sisi lorong politik atas isu-isu panas seperti akses aborsi dan hak senjata dan polarisasi tokoh masyarakat termasuk Presiden Joe Biden dan Gubernur Florida Ron DeSantis.

    Ben Nimmo, pemimpin intelijen ancaman global untuk Meta, mengatakan aktivitas tersebut menandai pergeseran operasi pengaruh China yang biasanya berusaha membentuk opini publik di luar negeri dengan mendorong propaganda pro-China dan menyerang Amerika Serikat.

    Operasi yang berasal dari China mendapat sedikit keterlibatan dan tidak secara langsung dikaitkan dengan pemerintah di Beijing.

    China tampaknya bereksperimen dengan taktik baru sebagai bagian dari operasi pengaruhnya yang lebih luas, menurut Graham Brookie, direktur senior Laboratorium Penelitian Forensik Digital Dewan Atlantik.

    Operasi pengaruh menargetkan terutama Amerika Serikat dan Republik Ceko.

    Tak satu pun dari posting mencapai audiens yang besar. Secara keseluruhan, ada 81 akun Facebook, delapan Halaman, satu Grup dan dua akun di Instagram.

    Sekitar 20 akun mengikuti satu atau lebih halaman. Sekitar 250 akun bergabung dengan satu atau lebih grup. Kurang dari 10 akun mengikuti satu atau lebih akun Instagram, menurut Meta.

    Meta mengatakan mereka menghapus semuanya karena melanggar kebijakannya terhadap “perilaku tidak autentik yang terkoordinasi.”

    Meta menghapus jaringan China lainnya pada tahun 2020 yang memposting tentang politik AS tetapi terutama menargetkan pengguna di Filipina dan Asia Tenggara.

    Pada bulan Agustus, Facebook, Instagram, WhatsApp, dan Twitter menghapus operasi pengaruh yang mempromosikan kepentingan kebijakan luar negeri AS di luar negeri.

    Operasi itu mempromosikan pandangan Amerika Serikat saat menyerang China, Iran, Rusia, dan negara-negara lain, menurut temuan para peneliti dari Stanford Internet Observatory dan perusahaan riset Graphika.

    Sumber: phys.org

    AS menambahkan dua operator China lagi ke daftar ‘ancaman keamanan nasional’

    by

    Komisi Komunikasi Federal AS (FCC) telah menambahkan dua perusahaan China ke dalam daftar pemasok peralatan komunikasi yang dinilai mengancam keamanan nasional: Pacific Network Corp, anak perusahaannya yang sepenuhnya dimiliki ComNet (USA) LLC, dan China Unicom (Amerika).

    Sekarang, bekerja sama dengan mitra keamanan nasional kami, kami mengambil tindakan tambahan untuk menutup pintu bagi perusahaan-perusahaan ini dengan menambahkan mereka ke Daftar Tercakup FCC, ”kata Ketua Jessica Rosenworcel.

    Penambahan terbaru bergabung dengan Huawei, ZTE Corporation, vendor komunikasi radio Hytera, sistem pengawasan video Hikvision dan Dahua, serta perusahaan keamanan siber yang berbasis di Rusia Kaspersky, ditambah perusahaan telekomunikasi China Mobile dan China Telecom, yang sudah ada dalam daftar.

    Perusahaan-perusahaan baru itu mendapat tempat di daftar sepuluh kuat sekarang karena mereka diyakini “tunduk pada eksploitasi, pengaruh dan kontrol pemerintah China, dan risiko keamanan nasional yang terkait dengan eksploitasi, pengaruh, dan kontrol semacam itu.” Oleh karena itu, mereka menimbulkan “risiko yang tidak dapat diterima terhadap keamanan nasional Amerika Serikat.”

    FCC pada dasarnya percaya bahwa perusahaan tidak akan dapat menolak permintaan dari Beijing yang dapat mencakup spionase atau pengumpulan intelijen.

    ComNet juga mendapatkan tempatnya dalam daftar karena FCC percaya interkoneksinya ke jaringan telekomunikasi AS dan pelanggan dapat memfasilitasi spionase ekonomi, pengumpulan intelijen, “atau sebaliknya memberikan kemampuan strategis untuk menargetkan, mengumpulkan, mengubah, memblokir, dan merutekan ulang lalu lintas jaringan. .”

    ComNet dan China Unicom telah dilarang beroperasi di AS dan, dengan melabeli mereka sebagai ancaman keamanan, FCC telah menjelaskan bahwa berbisnis dengan keduanya berbahaya bagi perusahaan AS.

    Pada tingkat yang lebih praktis, daftar tersebut juga berarti pembeli AS yang berbelanja menggunakan subsidi federal seperti Dana Layanan Universal FCC senilai $5 miliar sekarang dilarang berurusan dengan kedua perusahaan tersebut.

    Sumber: The Register