Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Grup Peretasan APT Baru yang Menargetkan Industri Bahan Bakar, Energi, dan Penerbangan

by

Aktor ancaman yang sebelumnya tidak terdokumentasi telah diidentifikasi berada di balik serangkaian serangan yang menargetkan industri produksi bahan bakar, energi, dan penerbangan di Rusia, AS, India, Nepal, Taiwan, dan Jepang dengan tujuan mencuri data dari jaringan yang disusupi.

Perusahaan keamanan siber Positive Technologies menjuluki kelompok ancaman persisten (APT) canggih tersebut sebagai ChamelGang – mengacu pada kemampuan bunglon mereka, termasuk menyamarkan “malware dan infrastruktur jaringannya di bawah layanan sah Microsoft, TrendMicro, McAfee, IBM, dan Google.”

“Untuk mencapai tujuan mereka, para penyerang menggunakan metode penetrasi yang sedang tren—rantai pasokan,” kata para peneliti tentang salah satu insiden yang diselidiki oleh perusahaan.

“Grup tersebut menyusup ke anak perusahaan dan menembus jaringan perusahaan target melaluinya. Serangan hubungan tepercaya jarang terjadi saat ini karena kompleksitas eksekusi mereka. Dengan menggunakan metode ini […], grup ChamelGang dapat mencapai tujuannya dan mencuri data dari jaringan yang disusupi.”

Penyusupan yang dipasang oleh musuh diyakini telah dimulai pada akhir Maret 2021, dengan serangan berikutnya pada bulan Agustus memanfaatkan apa yang disebut rantai kerentanan ProxyShell yang memengaruhi Server Microsoft Exchange, detail teknis yang pertama kali diungkapkan di keamanan Black Hat USA 2021 konferensi awal bulan itu.

Selengkapnya: The Hacker News

Mengapa ancaman keamanan siber saat ini lebih berbahaya

by

Selama dua tahun terakhir, munculnya serangan ransomware besar-besaran dan pengungkapan infeksi rantai pasokan perangkat lunak berbahaya telah meningkatkan keamanan siber menjadi agenda utama pemerintah.

Pada saat yang sama, perusahaan Amerika dan bahkan masyarakat umum telah sadar akan bahaya digital baru yang ditimbulkan oleh aktor negara-bangsa dan organisasi kriminal.

Maka tidak mengherankan bahwa dua utas yang berjalan melalui Aspen Cyber Summit tahun ini adalah sifat rumit dari ancaman keamanan siber yang sekarang kita hadapi dan bagaimana mereka mungkin berbeda dari tantangan yang kita hadapi di masa lalu.

Tidak seperti 20 tahun yang lalu, bahkan ketika sistem TI yang ekstensif secara komparatif berdiri sendiri dan langsung, sistem yang saling ketergantungan sekarang membuat penanganan dan pertahanan terhadap ancaman menjadi proposisi yang jauh lebih sulit.

Salah satu variabel baru yang dilemparkan ke dalam campuran digital adalah pertumbuhan meteroik ransomware, yang membuatnya tampak bahwa serangan siber semakin buruk.

Terlebih lagi, permukaan serangan saat ini tidak hanya jauh lebih luas daripada sebelumnya, tetapi juga mencakup perangkat internet-of-things (IoT), yang, tidak seperti komputer mainframe dan laptop dan bahkan perangkat seluler, sulit diperbarui dari perspektif keamanan.

Jay Healey, peneliti senior di Universitas Columbia, mengatakan bahwa interkoneksi sektor infrastruktur kritis yang hampir ada di mana-mana saat ini dengan jaringan digital memang menimbulkan ancaman yang lebih gelap daripada Trojan dan virus.

Perubahan signifikan lainnya dari 20 tahun lalu adalah pergeseran sifat kejahatan dunia maya, kata Kevin Mandia, CEO FireEye. “Ketika Anda melihat para penjahat, saya pikir mungkin 20 tahun yang lalu mereka harus sangat teknis.” Sekarang hambatan masuk kejahatan dunia maya rendah dan kejahatan dunia maya menjadi layanan.

Selengkapnya: CSO Online

Grab ambil saham mayoritas di e-wallet Indonesia OVO

by

Perusahaan ride-hailing dan pembayaran Asia Tenggara Grab akan melipatgandakan kepemilikannya di e-wallet OVO Indonesia menjadi 90%, kata perusahaan Indonesia itu pada hari Senin, sambil menunggu persetujuan dari regulator.

Tiga sumber yang mengetahui kesepakatan tersebut mengatakan kepada Reuters bahwa Grab telah membeli saham konglomerat Indonesia Lippo, yang meluncurkan OVO, dan platform e-commerce Tokopedia.

Saham Grab yang berbasis di Singapura akan berkembang dari 39% saat ini, menurut pengajuan peraturan yang diserahkan kepada pihak berwenang Indonesia, dalam tahap pertama restrukturisasinya.

“Kami menyambut baik komitmen yang lebih besar dari Grab di OVO. Kami bekerja dalam konsultasi erat dengan regulator untuk menyelesaikan proses restrukturisasi kepemilikan,” kata OVO dalam sebuah pernyataan.

OVO adalah salah satu e-wallet terbesar di Indonesia. Pada 2019, OVO bernilai $ 2,9 miliar dan telah diunduh lebih dari 100 juta kali.

Sumber: Reuters

Facebook, Instagram, dan WhatsApp kembali online setelah adanya pemadaman global

by

Facebook, Instagram, dan WhatsApp mulai kembali online setelah masalah perutean BGP menyebabkan pemadaman di seluruh dunia selama lebih dari lima jam.

Pada tanggal 4 Oktober, sekitar pukul 11:50 EST, ketiga situs web tiba-tiba tidak dapat dijangkau, dengan browser menampilkan kesalahan DNS saat mencoba membukanya.

Sementara pada awalnya, masalah tampaknya terkait DNS, kemudian diketahui bahwa masalahnya jauh lebih buruk dari itu.

Seperti yang dijelaskan oleh Giorgio Bonfiglio, TAM Utama di Amazon AWS, berbagai prefixes perutean Facebook tiba-tiba menghilang dari tabel perutean BGP Internet, secara efektif membuatnya tidak mungkin untuk terhubung ke layanan apa pun yang dihosting di alamat IP mereka.

BGP atau Border Gateway Protocol membuat Internet modern berfungsi dan bagaimana komputer di satu sisi dunia dapat terhubung ke perangkat di sisi lain.

Agar lebih mudah dipahami, protokol perutean BGP mirip dengan “sistem pos” Internet, yang memfasilitasi lalu lintas dari satu sistem jaringan (otonom) ke sistem jaringan lainnya.

Ketika sebuah jaringan ingin terlihat di Internet, mereka perlu mengiklankan rute mereka, atau prefix, dengan seluruh dunia.

Jika prefix tersebut dihapus, tidak ada orang lain di Internet yang tahu cara menyambung ke server mereka.

Saat Facebook mengonfigurasi organisasi mereka untuk menggunakan domain registrar dan server DNS yang dihosting di prefix perutean mereka sendiri, saat prefix tersebut dihapus, tidak ada yang dapat terhubung ke alamat IP tersebut dan layanan yang berjalan di atasnya.

Mulai pukul 17:00 EST, prefix perutean Facebook mulai terlihat di tabel perutean BGP di jaringan lain. Dengan prefix ini sekarang sedang diiklankan di Internet, pengguna dapat terhubung ke Facebook, Instagram, dan WhatsApp kembali.

Tidak jelas apa yang menyebabkan pemadaman terjadi, tetapi kemungkinan karena kesalahan konfigurasi, seperti banyak pemadaman terkait BGP lainnya di masa lalu.

Sumber: Bleeping Computer

Dua operator ransomware ditangkap di Ukraina

by

Dua anggota geng ransomware ditangkap di Ukraina setelah operasi penegakan hukum internasional bersama dilakukan.

Penangkapan tersebut terjadi pekan lalu, pada 28 September, di Kyiv, ibu kota Ukraina, dan dilakukan oleh petugas Kepolisian Nasional Ukraina, dengan bantuan dari Gendarmerie Prancis, FBI, Europol, dan Interpol.

Dua tersangka ditangkap, termasuk seorang pria berusia 25 tahun yang diyakini sebagai anggota penting dari operasi ransomware besar.

Pejabat menolak menyebutkan afiliasi tersangka ke geng ransomware tertentu, mengutip penyelidikan resmi yang sedang berlangsung, kata juru bicara Europol kepada The Record.

Pejabat Ukraina mengatakan dalam siaran pers tersangka bertanggung jawab atas serangan terhadap lebih dari 100 perusahaan di seluruh dunia dan telah menyebabkan kerusakan lebih dari $150 juta.

Dalam siaran pers, Europol mengatakan para tersangka telah aktif sejak April 2020 dan bahwa kelompok mereka “dikenal karena tuntutan tebusan mereka yang terlalu tinggi (antara €5 hingga €70 juta).”

Beberapa peneliti keamanan menduga bahwa dua tersangka yang ditangkap minggu lalu adalah anggota geng ransomware REvil.

Selengkapnya: The Record

Akademisi menemukan lapisan tersembunyi di Great Firewall China

by

Sebuah tim akademisi dari University of Maryland telah menemukan lapisan tersembunyi sebelumnya dalam sistem sensor Great Firewall China.

Diperkenalkan pada akhir 90-an, Great Firewall (GFW) adalah sistem kotak tengah yang dipasang di titik pertukaran internet China dan penyedia layanan internet yang memungkinkan pemerintah untuk mencegat lalu lintas internet, mengendus kontennya, dan memblokir koneksi ke situs web dan server yang dianggap tidak dapat diterima oleh negara.

Meskipun ada mekanisme sensor yang berbeda di dalam Great Firewall China yang melayani protokol yang berbeda, sistemnya yang paling kuat dan canggih secara teknis adalah yang dimaksudkan untuk menangani lalu lintas web terenkripsi HTTPS.

Saat ini, mekanisme sensor HTTPS ini mencakup dua sistem terpisah.

Yang pertama, dan yang tertua, adalah yang bekerja dengan mencegat koneksi HTTPS pada tahap awal dan kemudian melihat bidang data koneksi yang disebut SNI, yang memperlihatkan domain yang coba diakses pengguna.

Yang kedua, diperkenalkan tahun lalu, mirip dengan yang pertama tetapi melayani koneksi HTTPS yang menggunakan protokol modern yang mengenkripsi bidang SNI (sebagai eSNI).

Karena sistem ini tidak dapat melihat apa yang pengguna domain coba akses, mekanisme sensor ini jauh lebih tumpul karena GFW hanya memblokir semua koneksi di mana bidang eSNI terdeteksi.

Namun dalam makalah penelitian [PDF], akademisi dari University of Maryland mengungkapkan bahwa mereka menemukan sistem penyaringan HTTPS SNI sekunder bekerja secara paralel dengan yang pertama.

“Ini sebenarnya adalah penemuan yang tidak disengaja, dan sesuatu yang kami temukan di tahun 2019,” Kevin Bock, Ph.D. kandidat di departemen ilmu komputer di University of Maryland, mengatakan kepada The Record dalam email.

“Kami mulai menemukan strategi aneh di mana Geneva [sistem penghindaran sensor] dapat menghindari sensor di bagian pertama handshake TLS (di mana penyensoran dipahami terjadi), tetapi masih gagal lebih dalam di jabat tangan.”

Bock dan rekan-rekannya mengatakan sistem ini sama efektifnya dengan lapisan pertama dalam menyensor lalu lintas HTTPS, bahkan jika itu mengintervensi pada tahap terakhir koneksi.

“Penemuan ini berarti bahwa GFW sekarang menjalankan setidaknya tiga middlebox berbeda secara paralel dengan menyensor HTTPS: dua untuk koneksi berbasis SNI dan keluarga middlebox lainnya sepenuhnya untuk menyensor koneksi berbasis ESNI,” tambah peneliti.

Sumber: The Record

Ransomware Atom Silo baru menargetkan server Confluence yang rentan

by

Atom Silo, grup ransomware yang baru ditemukan, menargetkan kerentanan Confluence Server dan Pusat Data yang baru-baru ini ditambal dan dieksploitasi secara aktif untuk menyebarkan muatan ransomware mereka.

Atlassian Confluence adalah ruang kerja tim perusahaan berbasis web yang sangat populer yang membantu karyawan berkolaborasi dalam berbagai proyek.

Pada 25 Agustus, Atlassian mengeluarkan pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh (RCE) Confluence yang dilacak sebagai CVE-2021-26084 dan sedang aktif dieksploitasi.

Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah pada server yang belum ditambal dari jarak jauh.

Penemuan ini dibuat oleh para peneliti SophosLabs saat menyelidiki insiden baru-baru ini. Mereka juga menemukan bahwa ransomware yang digunakan oleh grup baru ini hampir identik dengan LockFile, yang sangat mirip dengan yang digunakan oleh grup ransomware LockBit.

Namun, operator Atom Silo menggunakan “beberapa teknik baru yang membuatnya sangat sulit untuk diselidiki, termasuk side-loading library dynamic-link berbahaya yang dirancang untuk mengganggu perangkat lunak perlindungan titik akhir.”

Setelah mengkompromikan server Confluence dan memasang backdoor, pelaku ancaman menjatuhkan backdoor tersembunyi tahap kedua menggunakan side-loading DLL untuk meluncurkannya pada sistem yang dilanggar.

Payload Ransomware yang disebarkan oleh Atom Silo juga dilengkapi dengan driver kernel berbahaya yang digunakan untuk mengganggu solusi perlindungan titik akhir dan menghindari deteksi.

Rincian teknis lebih lanjut tentang Atom Silo dan taktik gerakan lateral dapat ditemukan dalam laporan SophosLabs.

Sumber: Bleeping Computer

Perusahaan yang Mengarahkan Miliaran Pesan Teks Diam-diam Mengatakan Telah Diretas

by

Sebuah perusahaan yang merupakan bagian penting dari infrastruktur telekomunikasi global yang digunakan oleh AT&T, T-Mobile, Verizon dan beberapa lainnya di seluruh dunia seperti Vodafone dan China Mobile, diam-diam mengungkapkan bahwa peretas telah berada di dalam sistemnya selama bertahun-tahun, berdampak pada lebih dari 200 kliennya dan berpotensi memiliki jutaan pengguna ponsel di seluruh dunia.

Perusahaan, Syniverse, mengungkapkan dalam pengajuan tanggal 27 September dengan Komisi Keamanan dan Pertukaran AS bahwa “individu atau organisasi yang tidak dikenal memperoleh akses tidak sah ke basis data dalam jaringannya pada beberapa kesempatan, dan informasi masuk yang memungkinkan akses ke atau dari Data Elektroniknya. Lingkungan Transfer (EDT) dikompromikan untuk sekitar 235 pelanggannya.”

Seorang mantan karyawan Syniverse yang bekerja pada sistem EDT memberi tahu Motherboard bahwa sistem tersebut memiliki informasi tentang semua jenis catatan panggilan.

Syniverse berulang kali menolak untuk menjawab pertanyaan spesifik dari Motherboard tentang skala pelanggaran dan data spesifik apa yang terpengaruh, tetapi menurut orang yang bekerja di operator telepon, siapa pun yang meretas Syniverse dapat memiliki akses ke metadata seperti panjang dan biaya, penelepon dan nomor penerima, lokasi pihak dalam panggilan, serta isi pesan teks SMS.

Perusahaan menulis bahwa mereka menemukan pelanggaran pada Mei 2021, tetapi peretasan dimulai pada Mei 2016.

Syniverse menyediakan layanan tulang punggung untuk operator nirkabel seperti AT&T, Verizon, T-Mobile, dan beberapa lainnya di seluruh dunia.

Itu berarti pelanggaran data yang baru-baru ini ditemukan dan selama bertahun-tahun berpotensi mempengaruhi jutaan — jika bukan miliaran — pengguna ponsel, tergantung pada operator apa yang terpengaruh.

Sumber: Vice