Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Dirty Pipe: Apa itu, apakah ponsel saya terpengaruh, apa yang sedang dilakukan untuk memperbaikinya, dan apakah saya perlu mengkhawatirkannya?

by

Apa itu “Pipa Kotor?”
Dirty Pipe adalah nama yang diberikan untuk kerentanan CVE-2022-0847, yang ada di kernel Linux versi 5.8 dan yang lebih baru. Peneliti menemukan masalah tersebut melalui apa yang dianggap sebagai bug yang menyebabkan log akses pada mesin rusak sebentar-sebentar.

Pemeriksaan menunjukkan bahwa masalah tersebut dapat digunakan sebagai eksploitasi yang sangat serius. Kerentanan memungkinkan data disuntikkan ke file arbitrer karena cara kernel Linux membaca, menulis, dan meneruskan data melalui apa yang disebut “pipa”.

Karena pada dasarnya semua yang ada di Linux adalah “file”, dan karena Dirty Pipe dapat secara selektif mengubah data dalam file apa pun (baik secara langsung atau melalui cara file dibaca melalui cache), itu berarti penyerang dapat menggunakan exploit untuk memodifikasi file sistem. Aktor dapat menggunakan exploit Dirty Pipe untuk menyuntikkan kode arbitrer untuk dijalankan oleh proses yang diistimewakan. Kode itu kemudian dapat digunakan untuk semua jenis aplikasi potensial, seperti memberikan izin root ke perangkat lunak lain dan memodifikasi sistem tanpa otorisasi.

Dalam istilah yang kurang teknis, Dirty Pipe adalah kerentanan di Linux yang memungkinkan aplikasi jahat mengontrol sistem hampir penuh, dan itu menakutkan.

Untuk memulai, Dirty Pipe hanya memengaruhi perangkat Android yang menjalankan kernel Linux versi 5.8 dan yang lebih baru. Tidak ada daftar lengkap ponsel yang terkait dengan versi kernel Linux tertentu, tetapi banyak ponsel Android “hidup” pada versi kernel tertentu sepanjang hidup mereka. Kernel 5.8 dirilis pada tahun 2020, tetapi perangkat Android tidak mulai menerima versi yang lebih baru sampai rilis Android 12. Gambar Kernel Generik sedikit memperumit ini, tetapi hanya Pixel 6 dan 6 Pro yang menggunakannya, dan perangkat konsumen menggunakan versi kernel setelah 5.8 juga tidak debut hingga Android 12.

Singkatnya, jika ponsel Anda diluncurkan dengan Android 11 atau lebih lama, Anda aman dari Dirty Pipe, dan bahkan jika Anda memutakhirkan ke Android 12, tidak ada alasan untuk khawatir. Itu berarti sebagian besar ponsel dari tahun 2021 dan sebelumnya tidak terpengaruh. Namun, beberapa ponsel yang lebih baru terpengaruh.

Kita tahu seri Pixel 6, Pixel 6 Pro, dan Samsung Galaxy S22 dipengaruhi oleh Dirty Pipe. Android Police secara terpisah mengonfirmasi bahwa Xiaomi 12 Pro menjalankan versi kernel Linux yang terpengaruh. Qualcomm telah mengkonfirmasi kepada kami bahwa dari semua chipsetnya, hanya Snapdragon 8 Gen 1 yang mungkin menggunakan kernel yang terpengaruh. Semua perangkat keras lainnya seharusnya tidak terpengaruh.

Jika Anda khawatir tentang apakah ponsel Anda rentan terhadap Pipa Kotor, hingga semuanya ditambal, pemeriksaan itu mudah, tetapi tidak selalu sederhana. Versi kernel harus terdaftar di suatu tempat di aplikasi Pengaturan ponsel Anda, tetapi perusahaan yang berbeda meletakkannya di tempat yang berbeda (dan beberapa bahkan menamainya secara berbeda). Yang perlu Anda perhatikan untuk saat ini adalah dua digit pertama untuk kernel.

Ikuti langkah-langkah di bawah ini untuk menemukan versi kernel untuk Google Pixel, OnePlus (menjalankan Oxygen OS 12 atau lebih baru), dan ponsel Samsung Galaxy:

Ponsel Samsung Galaxy
Ketuk Pengaturan → Tentang telepon → Informasi perangkat lunak.
Ponsel Google Pixel
Pilih Pengaturan → Tentang ponsel → Versi Android.
Ponsel OnePlus
Buka Pengaturan → Tentang perangkat → Versi.

Jika Anda memiliki telepon dari pabrikan yang berbeda, cukup ketik “kernel” di bilah pencarian Pengaturan. Meskipun mungkin masih tidak muncul di semua perangkat, ini adalah cara cepat dan mudah untuk mengakses informasi dalam banyak kasus, termasuk untuk perangkat yang tidak tercakup di atas.

Ingat, jika beberapa digit pertama versi kernel ponsel Anda lebih rendah dari 5,8, Anda aman.

Sumber : Android Police

Apakah geng Trickbot membajak router Anda? Pemindai ini mungkin punya jawaban

by

Microsoft telah menerbitkan alat yang memindai dan mendeteksi perangkat Internet-of-Things yang didukung MikroTik yang telah dibajak oleh geng Trickbot.

Pemindai open-source muncul setelah penyelidikan oleh tim peneliti Redmond’s Defender for IoT tentang bagaimana kru malware jahat mengambil alih router MikroTik dan mengaturnya untuk menyalurkan komunikasi ke dan dari komputer yang terinfeksi Trickbot di jaringan dan server backend penjahat.

Tim keamanan Microsoft menguraikan bagaimana penjahat berkompromi dengan perangkat MikroTik untuk memperkuat komunikasi C2 Trickbot. Geng pertama-tama harus memperoleh kredensial untuk gateway, dan menurut Microsoft ia melakukan ini melalui berbagai metode termasuk menggunakan kata sandi MikroTik default dan meluncurkan serangan brute force.

Atau mereka dapat mengeksploitasi CVE-2018-14847 pada perangkat yang menjalankan versi RouterOS yang lebih lama dari 6.42. Ini memungkinkan penyerang untuk membaca file arbitrer seperti user.dat, yang berisi kata sandi, Microsoft menjelaskan.

Penjahat kemudian mengubah kata sandi router untuk mempertahankan akses, dan kemudian menggunakan perangkat yang disusupi untuk mengirim perintah ke sistem beracun Trickbot di jaringan agar mereka menjalankan ransomware, menambang koin, mencuri atau menghapus data, dan sebagainya.

Microsoft mencatat bahwa lalu lintas C2 yang dialihkan diterima dari port 449 port Trickbot yang dikenal dan dialihkan melalui port 80.

Pemindai terhubung ke perangkat MikroTik dan mencari aturan konfigurasi pengalihan lalu lintas dan perubahan port, di antara indikator Trickbot lainnya. Jika Anda ingin mencari sendiri, tanpa menggunakan kode Microsoft, atau memerlukan saran tentang apa yang harus dilakukan jika Anda merasa router Anda telah disusupi, Redmond menawarkan ini:

Jalankan perintah berikut [pada router] untuk mendeteksi apakah aturan NAT diterapkan ke perangkat (dilengkapi oleh alat juga):

/ip firewall nat print

Jika ada data berikut, ini mungkin mengindikasikan infeksi:

rantai=dstnat action=dst-nat ke-alamat=

ke-port=80 protokol=tcp dst-address=

rantai=srcnat action=masquerade src-address=

Jalankan perintah berikut untuk menghapus aturan NAT yang berpotensi berbahaya:

/ip firewall nat menghapus angka=

Tips nomor satu untuk melindungi dari serangan Trickbot di masa depan: tetap ditambal, dan gunakan kata sandi yang kuat bukan kata sandi default MikroTik.

Sumber : The Register

Scammers memiliki 2 cara baru yang cerdas untuk menginstal aplikasi berbahaya di perangkat iOS

by

Scammers meningkatkan permainan mereka dengan menyalahgunakan dua fitur Apple yang sah untuk melewati persyaratan pemeriksaan App Store dan menipu orang agar menginstal aplikasi berbahaya.

Apple telah lama mengharuskan aplikasi lulus tinjauan keamanan dan diterima di App Store sebelum dapat diinstal di iPhone dan iPad. Pemeriksaan mencegah aplikasi jahat masuk ke perangkat, di mana mereka kemudian dapat mencuri cryptocurrency dan kata sandi atau melakukan aktivitas jahat lainnya.

Perusahaan keamanan Sophos menyoroti dua metode baru yang digunakan dalam kampanye kejahatan terorganisir yang dijuluki CryptoRom, yang mendorong aplikasi cryptocurrency palsu ke pengguna iOS dan Android yang tidak curiga. Sementara Android mengizinkan aplikasi “sideloading” dari pasar pihak ketiga, Apple mengharuskan aplikasi iOS datang dari App Store, setelah mereka menjalani tinjauan keamanan menyeluruh.

Masuk ke TestFlight, platform yang disediakan Apple untuk pengujian beta aplikasi baru. Dengan menginstal aplikasi TestFlight Apple dari App Store, setiap pengguna iOS dapat mengunduh dan menginstal aplikasi yang belum lulus proses pemeriksaan. Setelah TestFlight diinstal, pengguna dapat mengunduh aplikasi yang belum diperiksa menggunakan tautan yang dipublikasikan penyerang di situs penipuan atau email.

Posting hari Rabu menunjukkan beberapa gambar yang digunakan dalam kampanye CryptoRom. Pengguna iOS yang mengambil umpan menerima tautan yang, ketika diklik, menyebabkan aplikasi TestFlight mengunduh dan menginstal aplikasi cryptocurrency palsu.

Chandraiah mengatakan bahwa vektor TestFlight memberi penyerang keuntungan yang tidak tersedia dengan teknik bypass App Store yang lebih terkenal yang juga menyalahgunakan fitur Apple yang sah. Salah satu fitur tersebut adalah platform Super Signature Apple, yang memungkinkan orang menggunakan akun pengembang Apple mereka untuk mengirimkan aplikasi secara ad hoc terbatas. Fitur lainnya adalah Program Perusahaan Pengembang perusahaan. Ini memungkinkan organisasi besar menyebarkan aplikasi berpemilik untuk penggunaan internal tanpa karyawan harus menggunakan App Store.

Sebaliknya, Chandraiah berkata, TestFlight:

[TestFlight] lebih disukai oleh pengembang aplikasi jahat dalam beberapa kasus daripada Super Signature atau Enterprise Signature karena sedikit lebih murah dan terlihat lebih sah ketika didistribusikan dengan Apple Test Flight App. Proses review juga diyakini tidak seketat review App Store.

Posting tersebut mengatakan scammer CryptoRom menggunakan fitur Apple kedua untuk menyamarkan aktivitas mereka. Fitur itu—dikenal sebagai Klip Web—menambahkan tautan halaman web langsung ke layar beranda iPhone dalam bentuk ikon yang dapat disalahartikan sebagai aplikasi jinak. Klip Web muncul setelah pengguna menyimpan tautan Web.

Peneliti Sophos mengatakan CryptoRom dapat menggunakan Klip Web untuk menambahkan pengaruh ke URL jahat yang mendorong aplikasi palsu.

Penipu CryptoRom sangat bergantung pada rekayasa sosial. Mereka menggunakan berbagai tipu muslihat untuk membangun hubungan dengan target meski tidak pernah bertatap muka. Jejaring sosial, situs kencan, dan aplikasi kencan termasuk di antara tipu muslihat tersebut. Dalam kasus lain, penipu memulai hubungan melalui “pesan WhatsApp yang tampaknya acak yang menawarkan tip investasi dan perdagangan kepada penerima.”

Penyalahgunaan TestFlight dan Web Clips kemungkinan akan terlihat oleh pengguna Internet yang cerdas, tetapi orang yang kurang berpengalaman mungkin akan tertipu. Pengguna iOS harus tetap berhati-hati terhadap situs, email, atau pesan apa pun yang menginstruksikan mereka untuk mengunduh aplikasi dari sumber selain App Store resmi.

Sumber : Arstechnica

Botnet Linux baru mengeksploitasi Log4J, menggunakan tunneling DNS untuk komunikasi

by

Botnet yang baru-baru ini ditemukan dalam pengembangan aktif menargetkan sistem Linux, mencoba menjerat mereka menjadi pasukan bot yang siap mencuri info sensitif, menginstal rootkit, membuat cangkang terbalik, dan bertindak sebagai proxy lalu lintas web.

Malware yang baru ditemukan, dijuluki B1txor20 oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), memfokuskan serangannya pada perangkat arsitektur CPU Linux ARM, X64.

Para peneliti pertama kali melihat botnet B1txor20 pada 9 Februari ketika sampel pertama terjebak oleh salah satu sistem honeypot mereka.

Secara keseluruhan, mereka menangkap total empat sampel malware, dengan backdoor, proxy SOCKS5, pengunduhan malware, pencurian data, eksekusi perintah arbitrer, dan fungsionalitas pemasangan rootkit.

Namun, yang membuat malware B1txor20 menonjol adalah penggunaan tunneling DNS untuk saluran komunikasi dengan server command-and-control (C2), teknik lama namun masih andal yang digunakan oleh pelaku ancaman untuk mengeksploitasi protokol DNS untuk melakukan tunnel malware dan data. melalui kueri DNS.

“Setelah menerima permintaan, C2 mengirimkan muatan ke sisi Bot sebagai tanggapan atas permintaan DNS. Dengan cara ini, Bot dan C2 mencapai komunikasi dengan bantuan protokol DNS.”

Peneliti 360 Netlab juga menemukan bahwa meskipun pengembang malware menyertakan serangkaian fitur yang lebih luas, tidak semuanya diaktifkan.

Informasi tambahan, termasuk indikator kompromi (IOCs) dan daftar semua instruksi C2 yang didukung, dapat ditemukan di akhir laporan 360 Netlab.

Gambar: 350 Netlab

“Sejak kerentanan Log4J terungkap, kami melihat semakin banyak malware yang muncul, Elknot, Gafgyt, Mirai semuanya terlalu familiar,” tambah peneliti 360 Netlab.

Misalnya, pada bulan Desember, mereka melihat pelaku ancaman mengeksploitasi kelemahan keamanan Log4J untuk menginfeksi perangkat Linux yang rentan dengan malware Mirai dan Muhstik Linux.

Botnet ini terlihat “merekrut” perangkat dan server IoT dan menggunakannya untuk menyebarkan penambang kripto dan melakukan serangan DDoS skala besar.

Barracuda mengkonfirmasi laporan 360 Netlan awal bulan ini, dengan mengatakan mereka melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, dengan varian botnet Mirai dimanfaatkan untuk DDoS dan cryptomining mengambil bagian terbesar.

Sumber : Bleeping Computer

Jerman memperingatkan terhadap perangkat lunak anti-virus Kaspersky Rusia

by

Badan keamanan siber Jerman BSI pada hari Selasa mendesak konsumen untuk tidak menggunakan perangkat lunak anti-virus yang dibuat oleh Kaspersky Rusia, memperingatkan perusahaan itu dapat terlibat dalam serangan peretasan di tengah perang Rusia di Ukraina.

Kegiatan militer dan intelijen Rusia di Ukraina, dan ancamannya terhadap sekutu Uni Eropa dan NATO, khususnya Jerman, berarti ada “risiko besar serangan TI yang berhasil”, kata Otoritas Keamanan Siber Federal (BSI) dalam sebuah pernyataan.

“Produsen IT Rusia sendiri dapat melakukan operasi ofensif, dapat dipaksa untuk menyerang sistem target di luar kehendaknya, atau dimata-matai sebagai korban operasi cyber tanpa sepengetahuannya, atau disalahgunakan sebagai alat untuk menyerang miliknya sendiri. pelanggan,” agensi memperingatkan.

Perusahaan dan operator infrastruktur penting sangat rentan tetapi individu juga bisa terkena, kata BSI, mengundang siapa pun yang ragu untuk menghubunginya untuk meminta nasihat.

Amerika Serikat melarang lembaga pemerintah menggunakan perangkat lunak Kaspersky sejak tahun 2017.

Kaspersky selalu menolak tuduhan bahwa ia bekerja dengan Kremlin. Tetapi bisnisnya sangat terpukul oleh larangan AS, yang mulai berlaku pada saat perangkat lunak perusahaan diinstal pada ratusan juta komputer di seluruh dunia.

Spesialis militer dan dunia maya khawatir bahwa invasi Rusia ke Ukraina dapat menyebabkan pecahnya serangan dunia maya — “Armagedon dunia maya” yang akan memiliki konsekuensi besar bagi warga sipil di kedua negara dan juga secara global, melalui efek limpahan.

Jerman dalam beberapa tahun terakhir berulang kali menuduh Rusia melakukan upaya spionase dunia maya.

Insiden paling terkenal yang dipersalahkan pada peretas Rusia hingga saat ini adalah serangan siber pada tahun 2015 yang melumpuhkan jaringan komputer majelis rendah parlemen, Bundestag, yang memaksa seluruh institusi offline selama berhari-hari sementara itu diperbaiki.

Rusia membantah berada di balik kegiatan semacam itu.

Sumber : Expatica

Pemerintah Israel terkena serangan cyber besar-besaran

by

Badan perlindungan siber Israel mengumumkan keadaan darurat pada hari Senin ketika situs web pemerintah negara itu jatuh dalam serangan online yang nyata.

Sebuah sumber dengan pasukan pertahanan Israel mengatakan serangan dunia maya itu adalah yang terbesar yang pernah dilakukan terhadap Israel, menurut surat kabar Haaretz.

Serangan dunia maya itu menghapus situs web untuk kementerian dalam negeri, kesehatan, keadilan dan kesejahteraan, serta kantor perdana menteri. Semua adalah halaman di domain gov.il Israel.

Pada Senin malam waktu Yerusalem, beberapa akses dilaporkan telah dipulihkan.

Para pejabat Israel menduga serangan itu adalah pekerjaan negara lain tetapi mengatakan kepada Haaretz bahwa mereka belum dapat menentukan siapa yang bertanggung jawab.

Pejabat pemerintah mengatakan mereka sedang memeriksa dengan perusahaan listrik dan air Israel untuk melihat apakah mereka terpengaruh, meskipun situs web utilitas Israel tampaknya berfungsi normal.

Badan perlindungan siber Israel mengumumkan keadaan darurat menyusul apa yang disebut para pejabat sebagai serangan siber terbesar di Israel dalam sejarahnya.

Para pejabat Israel mencurigai negara lain berada di balik serangan itu tetapi tidak dapat mengatakan dari mana asalnya saat ini.

Sumber : NY Post

Peretas menargetkan cabang Jerman dari raksasa minyak Rusia Rosneft

by

Anak perusahaan Jerman dari raksasa energi Rusia Rosneft telah terkena serangan siber, Kantor Federal untuk Keamanan Informasi (BSI) mengatakan pada hari Senin, dengan kelompok peretas Anonymous mengklaim bertanggung jawab.

Rosneft Deutschland melaporkan insiden itu pada dini hari Sabtu pagi, kata BSI.

Anonymous telah menerbitkan sebuah pernyataan pada hari Jumat yang mengklaim bertanggung jawab atas serangan itu dan mengatakan bahwa serangan itu telah menangkap 20 terabyte data.

Jaksa di Berlin telah membuka penyelidikan, menurut sebuah laporan di majalah Der Spiegel.

Rosneft Deutschland dilaporkan kemudian membuat sistemnya offline. Pipa dan kilangnya terus beroperasi seperti biasa, tambah laporan itu.

BSI telah memperingatkan pada awal Maret tentang peningkatan risiko serangan siber dan “peningkatan situasi ancaman bagi Jerman” setelah invasi Rusia ke Ukraina, menyarankan bisnis untuk meningkatkan langkah-langkah keamanan TI.

Sekarang telah mengeluarkan peringatan keamanan siber baru kepada perusahaan lain di industri minyak.

Rosneft Deutschland mengatakan telah bertanggung jawab atas sekitar seperempat dari semua impor minyak mentah ke Jerman dalam beberapa tahun terakhir dan memiliki saham di tiga kilang di negara itu.

Kepala eksekutif Rosneft Igor Sechin adalah sekutu dekat Presiden Rusia Vladimir Putin.

Mantan Kanselir Jerman Gerhard Schroeder adalah ketua dewan direksi, peran yang membuatnya mendapat kritik keras dalam beberapa pekan terakhir.

Kelompok peretas Anonymous telah mengklaim bertanggung jawab atas serangan siber di beberapa institusi Rusia sejak awal konflik di Ukraina, termasuk Kremlin sendiri, kementerian pertahanan, majelis rendah parlemen Duma dan media Rusia pro-Kremlin.

Anonymous mengatakan “tidak ingin dipusingkan secara langsung dengan perusahaan energi Rusia… karena ada beberapa negara yang memberikan sanksi yang pasokan energinya terkait dengan Rusia”.

Sumber : Macau Business

Mozilla Firefox menghapus penyedia pencarian Rusia karena masalah informasi yang salah

by

Mozilla telah menghapus penyedia pencarian default Yandex Search, Mail.ru, dan OK.ru dari browser Firefox atas laporan konten yang disponsori negara yang disukai dalam hasil pencarian.

Situs-situs ini adalah tiga situs web paling populer di Rusia, digunakan oleh lebih dari seratus juta pengguna per bulan.

Sejak 2014, Mozilla telah menjadikan Yandex sebagai mesin pencari default di Rusia, dan tahun berikutnya menjadikannya pencarian default untuk pengguna di Turki.

Dengan rilis Firefox 98.0.1 hari ini, Mozilla mengumumkan bahwa mereka menghapus penyedia Yandex dan Mail.ru dari menu pencarian drop-down browser tetapi tidak memberikan rincian apa pun tentang mengapa ini dilakukan.

Bagi mereka yang terpengaruh, Mozilla menyatakan bahwa penyedia pencarian default dan penyesuaian terkait, add-on, bookmark default telah dihapus sebagai bagian dari proses ini. Pengguna yang terpengaruh akan mengatur ulang browser mereka ke penyedia pencarian default, yang saat ini adalah Google.

Dalam sebuah pernyataan kepada BleepingComputer, Mozilla mengatakan mereka menghapus penyedia pencarian dari pengguna di Rusia, Belarus, Kazakhstan, dan Turki karena “prevalensi konten yang disponsori negara.”

“Setelah mempertimbangkan dengan cermat, kami menangguhkan penggunaan Yandex Search di Firefox karena laporan kredibel dari hasil pencarian yang menampilkan prevalensi konten yang disponsori negara, yang bertentangan dengan prinsip Mozilla,” juru bicara Mozilla menjelaskan kepada BleepingComputer.

“Ini berarti untuk saat ini Pencarian Yandex tidak akan menjadi pengalaman pencarian default (atau opsi pencarian default) untuk pengguna di Rusia, Belarus, Kazakhstan, dan Turki. Sementara itu, kami mengarahkan orang ke google.com.”

Selain Yandex dan Mail.ru, seorang pembaca Berita Peretas memperhatikan bahwa jejaring sosial Odnoklassniki Rusia (ok.ru) juga dihapus sebagai bagian dari proses ini. BleepingComputer telah mengetahui bahwa mereka terpengaruh sebagai anak perusahaan dari Mail.ru.

Sementara Mozilla belum menyatakan konten yang disponsori negara apa yang ditampilkan, BleepingComputer telah diberitahu bahwa itu adalah hasil pencarian yang mendukung media pemerintah Rusia yang menyebarkan informasi yang salah mengenai invasi Rusia ke Ukraina.

Sumber : Bleeping Computer