News 211 - Naga Cyber Defense

Facebook, Instagram, dan WhatsApp kembali online setelah adanya pemadaman global

October 5, 2021 by Mally

Facebook, Instagram, dan WhatsApp mulai kembali online setelah masalah perutean BGP menyebabkan pemadaman di seluruh dunia selama lebih dari lima jam.

Pada tanggal 4 Oktober, sekitar pukul 11:50 EST, ketiga situs web tiba-tiba tidak dapat dijangkau, dengan browser menampilkan kesalahan DNS saat mencoba membukanya.

Sementara pada awalnya, masalah tampaknya terkait DNS, kemudian diketahui bahwa masalahnya jauh lebih buruk dari itu.

Seperti yang dijelaskan oleh Giorgio Bonfiglio, TAM Utama di Amazon AWS, berbagai prefixes perutean Facebook tiba-tiba menghilang dari tabel perutean BGP Internet, secara efektif membuatnya tidak mungkin untuk terhubung ke layanan apa pun yang dihosting di alamat IP mereka.

BGP atau Border Gateway Protocol membuat Internet modern berfungsi dan bagaimana komputer di satu sisi dunia dapat terhubung ke perangkat di sisi lain.

Agar lebih mudah dipahami, protokol perutean BGP mirip dengan “sistem pos” Internet, yang memfasilitasi lalu lintas dari satu sistem jaringan (otonom) ke sistem jaringan lainnya.

Ketika sebuah jaringan ingin terlihat di Internet, mereka perlu mengiklankan rute mereka, atau prefix, dengan seluruh dunia.

Jika prefix tersebut dihapus, tidak ada orang lain di Internet yang tahu cara menyambung ke server mereka.

Saat Facebook mengonfigurasi organisasi mereka untuk menggunakan domain registrar dan server DNS yang dihosting di prefix perutean mereka sendiri, saat prefix tersebut dihapus, tidak ada yang dapat terhubung ke alamat IP tersebut dan layanan yang berjalan di atasnya.

Mulai pukul 17:00 EST, prefix perutean Facebook mulai terlihat di tabel perutean BGP di jaringan lain. Dengan prefix ini sekarang sedang diiklankan di Internet, pengguna dapat terhubung ke Facebook, Instagram, dan WhatsApp kembali.

Tidak jelas apa yang menyebabkan pemadaman terjadi, tetapi kemungkinan karena kesalahan konfigurasi, seperti banyak pemadaman terkait BGP lainnya di masa lalu.

Sumber: Bleeping Computer

Dua operator ransomware ditangkap di Ukraina

October 5, 2021 by Mally

Dua anggota geng ransomware ditangkap di Ukraina setelah operasi penegakan hukum internasional bersama dilakukan.

Penangkapan tersebut terjadi pekan lalu, pada 28 September, di Kyiv, ibu kota Ukraina, dan dilakukan oleh petugas Kepolisian Nasional Ukraina, dengan bantuan dari Gendarmerie Prancis, FBI, Europol, dan Interpol.

Dua tersangka ditangkap, termasuk seorang pria berusia 25 tahun yang diyakini sebagai anggota penting dari operasi ransomware besar.

Pejabat menolak menyebutkan afiliasi tersangka ke geng ransomware tertentu, mengutip penyelidikan resmi yang sedang berlangsung, kata juru bicara Europol kepada The Record.

Pejabat Ukraina mengatakan dalam siaran pers tersangka bertanggung jawab atas serangan terhadap lebih dari 100 perusahaan di seluruh dunia dan telah menyebabkan kerusakan lebih dari $150 juta.

Dalam siaran pers, Europol mengatakan para tersangka telah aktif sejak April 2020 dan bahwa kelompok mereka “dikenal karena tuntutan tebusan mereka yang terlalu tinggi (antara €5 hingga €70 juta).”

Beberapa peneliti keamanan menduga bahwa dua tersangka yang ditangkap minggu lalu adalah anggota geng ransomware REvil.

Selengkapnya: The Record

Akademisi menemukan lapisan tersembunyi di Great Firewall China

October 5, 2021 by Mally

Sebuah tim akademisi dari University of Maryland telah menemukan lapisan tersembunyi sebelumnya dalam sistem sensor Great Firewall China.

Diperkenalkan pada akhir 90-an, Great Firewall (GFW) adalah sistem kotak tengah yang dipasang di titik pertukaran internet China dan penyedia layanan internet yang memungkinkan pemerintah untuk mencegat lalu lintas internet, mengendus kontennya, dan memblokir koneksi ke situs web dan server yang dianggap tidak dapat diterima oleh negara.

Meskipun ada mekanisme sensor yang berbeda di dalam Great Firewall China yang melayani protokol yang berbeda, sistemnya yang paling kuat dan canggih secara teknis adalah yang dimaksudkan untuk menangani lalu lintas web terenkripsi HTTPS.

Saat ini, mekanisme sensor HTTPS ini mencakup dua sistem terpisah.

Yang pertama, dan yang tertua, adalah yang bekerja dengan mencegat koneksi HTTPS pada tahap awal dan kemudian melihat bidang data koneksi yang disebut SNI, yang memperlihatkan domain yang coba diakses pengguna.

Yang kedua, diperkenalkan tahun lalu, mirip dengan yang pertama tetapi melayani koneksi HTTPS yang menggunakan protokol modern yang mengenkripsi bidang SNI (sebagai eSNI).

Karena sistem ini tidak dapat melihat apa yang pengguna domain coba akses, mekanisme sensor ini jauh lebih tumpul karena GFW hanya memblokir semua koneksi di mana bidang eSNI terdeteksi.

Namun dalam makalah penelitian [PDF], akademisi dari University of Maryland mengungkapkan bahwa mereka menemukan sistem penyaringan HTTPS SNI sekunder bekerja secara paralel dengan yang pertama.

“Ini sebenarnya adalah penemuan yang tidak disengaja, dan sesuatu yang kami temukan di tahun 2019,” Kevin Bock, Ph.D. kandidat di departemen ilmu komputer di University of Maryland, mengatakan kepada The Record dalam email.

“Kami mulai menemukan strategi aneh di mana Geneva [sistem penghindaran sensor] dapat menghindari sensor di bagian pertama handshake TLS (di mana penyensoran dipahami terjadi), tetapi masih gagal lebih dalam di jabat tangan.”

Bock dan rekan-rekannya mengatakan sistem ini sama efektifnya dengan lapisan pertama dalam menyensor lalu lintas HTTPS, bahkan jika itu mengintervensi pada tahap terakhir koneksi.

“Penemuan ini berarti bahwa GFW sekarang menjalankan setidaknya tiga middlebox berbeda secara paralel dengan menyensor HTTPS: dua untuk koneksi berbasis SNI dan keluarga middlebox lainnya sepenuhnya untuk menyensor koneksi berbasis ESNI,” tambah peneliti.

Sumber: The Record

Ransomware Atom Silo baru menargetkan server Confluence yang rentan

October 5, 2021 by Mally

Atom Silo, grup ransomware yang baru ditemukan, menargetkan kerentanan Confluence Server dan Pusat Data yang baru-baru ini ditambal dan dieksploitasi secara aktif untuk menyebarkan muatan ransomware mereka.

Atlassian Confluence adalah ruang kerja tim perusahaan berbasis web yang sangat populer yang membantu karyawan berkolaborasi dalam berbagai proyek.

Pada 25 Agustus, Atlassian mengeluarkan pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh (RCE) Confluence yang dilacak sebagai CVE-2021-26084 dan sedang aktif dieksploitasi.

Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah pada server yang belum ditambal dari jarak jauh.

Penemuan ini dibuat oleh para peneliti SophosLabs saat menyelidiki insiden baru-baru ini. Mereka juga menemukan bahwa ransomware yang digunakan oleh grup baru ini hampir identik dengan LockFile, yang sangat mirip dengan yang digunakan oleh grup ransomware LockBit.

Namun, operator Atom Silo menggunakan “beberapa teknik baru yang membuatnya sangat sulit untuk diselidiki, termasuk side-loading library dynamic-link berbahaya yang dirancang untuk mengganggu perangkat lunak perlindungan titik akhir.”

Setelah mengkompromikan server Confluence dan memasang backdoor, pelaku ancaman menjatuhkan backdoor tersembunyi tahap kedua menggunakan side-loading DLL untuk meluncurkannya pada sistem yang dilanggar.

Payload Ransomware yang disebarkan oleh Atom Silo juga dilengkapi dengan driver kernel berbahaya yang digunakan untuk mengganggu solusi perlindungan titik akhir dan menghindari deteksi.

Rincian teknis lebih lanjut tentang Atom Silo dan taktik gerakan lateral dapat ditemukan dalam laporan SophosLabs.

Sumber: Bleeping Computer

Perusahaan yang Mengarahkan Miliaran Pesan Teks Diam-diam Mengatakan Telah Diretas

October 5, 2021 by Mally

Sebuah perusahaan yang merupakan bagian penting dari infrastruktur telekomunikasi global yang digunakan oleh AT&T, T-Mobile, Verizon dan beberapa lainnya di seluruh dunia seperti Vodafone dan China Mobile, diam-diam mengungkapkan bahwa peretas telah berada di dalam sistemnya selama bertahun-tahun, berdampak pada lebih dari 200 kliennya dan berpotensi memiliki jutaan pengguna ponsel di seluruh dunia.

Perusahaan, Syniverse, mengungkapkan dalam pengajuan tanggal 27 September dengan Komisi Keamanan dan Pertukaran AS bahwa “individu atau organisasi yang tidak dikenal memperoleh akses tidak sah ke basis data dalam jaringannya pada beberapa kesempatan, dan informasi masuk yang memungkinkan akses ke atau dari Data Elektroniknya. Lingkungan Transfer (EDT) dikompromikan untuk sekitar 235 pelanggannya.”

Seorang mantan karyawan Syniverse yang bekerja pada sistem EDT memberi tahu Motherboard bahwa sistem tersebut memiliki informasi tentang semua jenis catatan panggilan.

Syniverse berulang kali menolak untuk menjawab pertanyaan spesifik dari Motherboard tentang skala pelanggaran dan data spesifik apa yang terpengaruh, tetapi menurut orang yang bekerja di operator telepon, siapa pun yang meretas Syniverse dapat memiliki akses ke metadata seperti panjang dan biaya, penelepon dan nomor penerima, lokasi pihak dalam panggilan, serta isi pesan teks SMS.

Perusahaan menulis bahwa mereka menemukan pelanggaran pada Mei 2021, tetapi peretasan dimulai pada Mei 2016.

Syniverse menyediakan layanan tulang punggung untuk operator nirkabel seperti AT&T, Verizon, T-Mobile, dan beberapa lainnya di seluruh dunia.

Itu berarti pelanggaran data yang baru-baru ini ditemukan dan selama bertahun-tahun berpotensi mempengaruhi jutaan — jika bukan miliaran — pengguna ponsel, tergantung pada operator apa yang terpengaruh.

Sumber: Vice

Membuat Sinyal Nirkabel dengan Kabel Ethernet untuk Mencuri Data dari Sistem Air-Gapped

October 5, 2021 by Mally

Mekanisme eksfiltrasi data yang baru ditemukan menggunakan kabel Ethernet sebagai “antena pemancar” untuk secara diam-diam menyedot data yang sangat sensitif dari air-gapped systems, menurut penelitian terbaru.

“Sangat menarik bahwa kabel yang datang untuk melindungi celah udara menjadi kerentanan celah udara dalam serangan ini,” Dr. Mordechai Guri, kepala R&D di Pusat Penelitian Keamanan Siber di Universitas Ben Gurion Negev di Israel, kepada The Hacker News.

Dijuluki “LANtenna Attack”, teknik baru ini memungkinkan kode berbahaya di komputer dengan celah udara untuk mengumpulkan data sensitif dan kemudian menyandikannya melalui gelombang radio yang berasal dari kabel Ethernet seolah-olah itu adalah antena.

Sinyal yang ditransmisikan kemudian dapat dicegat oleh penerima software-defined radio (SDR) terdekat secara nirkabel, memecahkan kode data, dan mengirimkannya ke penyerang yang berada di ruangan yang berdekatan.

“Khususnya, kode berbahaya dapat berjalan dalam proses mode pengguna biasa dan berhasil beroperasi dari dalam mesin virtual,” catat para peneliti dalam makalah berjudul “LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables.”

Sebagai tindakan pencegahan, para peneliti mengusulkan pelarangan penggunaan penerima radio di dalam dan di sekitar jaringan yang memiliki celah udara dan memantau aktivitas lapisan tautan kartu antarmuka jaringan untuk setiap saluran rahasia, serta mengganggu sinyal, dan menggunakan pelindung logam untuk membatasi medan elektromagnetik agar tidak mengganggu atau memancar dari kabel berpelindung.

Sumber: The Hacker News

Pelaku Ancaman Menyalahgunakan Bot Telegram untuk Membahayakan Akun PayPal

September 30, 2021 by Mally

Penjahat dunia maya menggunakan bot Telegram untuk mencuri token kata sandi satu kali (OTP) dan menipu orang melalui bank dan sistem pembayaran online, termasuk PayPal, Apple Pay, dan Google Pay, menurut penelitian baru.

Para peneliti dari Intel 471 menemukan kampanye tersebut telah beroperasi sejak Juni, dalam sebuah laporan yang diterbitkan Rabu.

“Otentikasi dua faktor adalah salah satu cara termudah bagi orang untuk melindungi akun online apa pun,” catat para peneliti dalam posting tersebut. “Jadi, tentu saja para penjahat berusaha menghindari perlindungan itu.”

Pelaku ancaman menggunakan bot dan channel Telegram dan berbagai taktik untuk mendapatkan informasi akun, termasuk menelepon korban, dan menyamar sebagai bank dan layanan yang sah, kata para peneliti.

Melalui rekayasa sosial, pelaku ancaman juga menipu orang untuk memberi mereka OTP atau kode verifikasi lainnya melalui perangkat seluler, yang kemudian digunakan penjahat untuk melakukan penipuan uang, kata mereka.

Memang, bot Telegram telah menjadi alat populer bagi penjahat dunia maya, yang telah menggunakannya dengan berbagai cara sebagai bagian dari penipuan pengguna. Kampanye serupa ditemukan pada bulan Januari, dijuluki Classiscam, di mana bot dijual sebagai layanan oleh penjahat dunia maya berbahasa Rusia dengan tujuan mencuri uang dan data pembayaran dari korban Eropa. Pelaku ancaman lain telah ditemukan menggunakan bot Telegram dengan cara yang agak unik sebagai perintah-dan-kontrol untuk spyware.

Dalam hal ini, peneliti Intel 471 mengamati dan menganalisis aktivitas kampanye terkait tiga bot—dijuluki SMSRanger, BloodOTPbot, dan SMS Buster.

Selengkapnya: The Threat Post

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

September 30, 2021 by Mally

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings