Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Perampokan Lazarus: Bagaimana Korea Utara hampir melakukan peretasan bernilai miliaran dolar

by

Pada tahun 2016, peretas Korea Utara merencanakan serangan senilai $1 miliar di bank nasional Bangladesh dan berhasil mencapai satu inci – hanya secara kebetulan saja, semua transfer kecuali $81 juta dihentikan, lapor Geoff White dan Jean H Lee. Tapi bagaimana salah satu negara termiskin dan paling terisolasi di dunia melatih tim penjahat cyber elit?

Semuanya dimulai dengan printer yang tidak berfungsi. Itu hanya bagian dari kehidupan modern, dan ketika itu terjadi pada staf di Bank Bangladesh, mereka memikirkan hal yang sama yang kebanyakan dari kita lakukan. Itu tidak tampak seperti masalah besar.

Tapi ini bukan sembarang printer, dan bukan sembarang bank.

Bangladesh Bank adalah bank sentral negara itu, yang bertanggung jawab untuk mengawasi cadangan mata uang yang berharga dari sebuah negara di mana jutaan orang hidup dalam kemiskinan.

Dan printer memainkan peran penting. Itu terletak di dalam ruangan yang sangat aman di lantai 10 kantor utama bank di Dhaka, ibukota. Tugasnya adalah mencetak catatan transfer jutaan dolar yang mengalir masuk dan keluar dari bank.

Ketika staf menemukan itu tidak berfungsi, pada pukul 08:45 pada hari Jumat 5 Februari 2016, “kami menganggap itu adalah masalah umum seperti hari-hari lainnya,” manajer tugas Zubair Bin Huda kemudian mengatakan kepada polisi. “Glitches seperti itu pernah terjadi sebelumnya.”

Sebenarnya, ini adalah indikasi pertama bahwa Bank Bangladesh berada dalam banyak masalah. Peretas telah membobol jaringan komputernya, dan pada saat itu juga sedang melakukan serangan cyber paling berani yang pernah dicoba. Tujuan mereka: untuk mencuri satu miliar dolar.

Untuk menghilangkan uang itu, geng di belakang pencurian akan menggunakan rekening bank palsu, badan amal, kasino, dan jaringan kaki tangan yang luas.

Tapi siapa peretas ini dan dari mana asalnya?

Menurut para penyelidik, sidik jari digital hanya mengarah ke satu arah: ke pemerintah Korea Utara.

Selengkapnya: BBC

Putusan pembajakan senilai $1 miliar dapat memaksa ISP untuk memutuskan lebih banyak pengguna Internet

by

Putusan miliaran dolar dalam gugatan pembajakan yang melibatkan penyedia layanan Internet utama dapat memaksa ISP untuk menghentikan lebih banyak akun pelanggan dan “menghukum yang tidak bersalah dan bersalah,” kelompok advokasi telah memperingatkan. Mendesak pengadilan banding untuk membatalkan putusan, kelompok menulis bahwa “menegakkan putusan ini akan mengakibatkan pengguna yang tidak bersalah dan rentan kehilangan akses Internet penting”.

Kekhawatiran ini diangkat dalam pengajuan pengadilan minggu lalu oleh Electronic Frontier Foundation (EFF), Pusat Demokrasi dan Teknologi, Asosiasi Perpustakaan Amerika, Asosiasi Perpustakaan Perguruan Tinggi Dan Penelitian, Asosiasi Perpustakaan Penelitian, dan Pengetahuan Publik. Pengajuan kelompok dibuat ke Pengadilan Banding AS untuk Sirkuit ke-4 untuk mendukung banding yang berusaha membatalkan putusan dalam kasus yang diluncurkan oleh label rekaman terhadap Cox Communications.

Juri memutuskan pada Desember 2019 bahwa Cox harus membayar ganti rugi $1 miliar kepada label rekaman besar. Sony, Universal, dan Warner telah menggugat ISP kabel pada tahun 2018 di Pengadilan Distrik AS untuk Distrik Timur Virginia. Seorang hakim distrik menguatkan putusan pada Januari 2021, menyetujui penghakiman $ 1 miliar dan membuka jalan bagi Cox untuk mengajukan banding ke Sirkuit ke-4.

Putusan itu juga dapat menyebabkan ISP “tidak terlalu cenderung membiarkan hotspot Wi-Fi publik terbuka di lingkungan yang kurang terlayani, karena hal itu berisiko menghancurkan tanggung jawab,” tulis kelompok tersebut.

Selengkapnya: Ars Technica

Di dalam serangan ransomware: bagaimana jaringan gelap penjahat dunia maya berkolaborasi untuk melakukannya

by

Dalam komunike Carbis Bay mereka, G7 mengumumkan niat mereka untuk bekerja sama mengatasi kelompok ransomware. Beberapa hari kemudian, Presiden AS Joe Biden bertemu dengan Presiden Rusia Vladimir Putin, di mana proses ekstradisi untuk membawa penjahat siber Rusia ke pengadilan di AS dibahas. Putin dilaporkan setuju pada prinsipnya, tetapi bersikeras bahwa ekstradisi harus dilakukan secara timbal balik.

Masalah penegakan hukum adalah bahwa ransomware – suatu bentuk malware yang digunakan untuk mencuri data organisasi dan menyimpannya untuk tebusan – adalah suatu hal yang susah ditangkap. Tidak hanya itu kejahatan campuran, termasuk pelanggaran yang berbeda di berbagai badan hukum, tetapi juga kejahatan yang mengangkangi kewenangan lembaga kepolisian yang berbeda dan, dalam banyak kasus, negara. Dan tidak ada satu pelaku utama. Serangan Ransomware melibatkan jaringan terdistribusi dari penjahat dunia maya yang berbeda, seringkali tidak diketahui satu sama lain untuk mengurangi risiko penangkapan.

Serangan Ransomware juga berubah. Model bisnis industri kriminal telah bergeser ke arah ransomware-as-a-service. Ini berarti operator menyediakan perangkat lunak berbahaya, mengelola sistem pemerasan dan pembayaran, serta mengelola reputasi “merek”. Tetapi untuk mengurangi risiko penangkapan, mereka merekrut afiliasi dengan komisi yang besar untuk menggunakan perangkat lunak mereka untuk meluncurkan serangan.

Untuk mengurangi risiko tertangkap, kelompok pelaku cenderung mengembangkan dan menguasai keterampilan khusus untuk berbagai tahap serangan. Kelompok-kelompok ini mendapat manfaat dari saling ketergantungan ini, karena mengimbangi tanggung jawab pidana di setiap tahap.

Mereka mungkin dibeli oleh “broker akses awal”, yang berspesialisasi dalam mendapatkan akses awal ke sistem komputer sebelum menjual detail akses tersebut kepada calon penyerang ransomware.

Ekosistem ini terus berkembang. Misalnya, perkembangan baru-baru ini adalah munculnya “konsultan ransomware”, yang memungut biaya untuk menasihati pelanggar pada tahap-tahap utama serangan.

Selengkapnya: The Conversation

Penegak Hukum Diam-diam Menjalankan Bagian dari Web Gelap, Sekali Lagi: Apa Pelajarannya Di Sini?

by

Selama hampir dua tahun, FBI tidak seperti yang lain. Organisasi secara sembunyi-sembunyi mendirikan dan mengoperasikan platform komunikasi terenkripsi yang disebut “ANOM” yang digunakan oleh kejahatan terorganisir. Percaya bahwa mereka menggunakan sarana komunikasi pribadi yang aman, banyak pedagang gelap melakukan operasi mereka di sini untuk melakukan bisnis.

Membocorkan sedikit dari topik; beberapa tahun sebelum ini, takedown dark web skala besar lainnya—atau lebih tepatnya, pengambilalihan—terjadi, pada awalnya secara diam-diam. Penghapusan itu dikenal sebagai “Operasi Bayonet” dan melibatkan unit kejahatan dunia maya di beberapa negara (kebanyakan Jerman, Belanda, dan AS).

Jadi mari kita simpulkan apa yang terjadi. Hal pertama yang perlu diperhatikan: Apa yang terjadi melibatkan dua pasar gelap yang terpisah, Hansa dan AlphaBay. Suatu hari, penegak hukum Belanda menerima tip dari seorang peneliti keamanan mengenai lokasi server pengembangan Hansa (tempat di mana pengembangan baru diuji sebelum ditayangkan di situs sebenarnya), yang jelas bukan hal yang mudah.

Belanda tahu hanya dengan menutupnya tidak akan adil bagi para pelanggar hukum ini dan mulai melakukan pengambilalihan. Tepat pada waktu yang sama, FBI memberi tahu Belanda: Mereka akan menutup pasar lain yang tadi disebutkan, AlphaBay. Ketika pasar ditutup, orang mencari penyedia terkemuka berikutnya.

Dengan rencana yang rumit, polisi Belanda dan Jerman merebut dan menguasai pasar Hansa. Dan tidak ada yang tahu, bahkan moderator. Ini sempurna karena sekarang orang baik dapat membuat perubahan di situs web untuk memberi mereka lebih banyak informasi tentang orang-orang yang menggunakan situs ini.

Seperti yang diharapkan, ketika FBI menjatuhkan AlphaBay, banyak yang berbondong-bondong ke Hansa, yang telah diambil alih oleh Unit Kejahatan Teknologi Tinggi Nasional Belanda dan mungkin tim Jerman dan AS.

Pada akhirnya, penegak hukum menjalankan situs untuk sementara waktu, menemukan banyak pengedar narkoba dan yang lainnya, dan menangkap banyak, banyak dari mereka. Di Belanda, polisi bahkan mengetuk pintu beberapa pembeli dan penjual yang lebih kecil.

Jadi, dengan mengingat hal ini, mari kita kembali ke kasus yang lebih baru.

“Untuk pertama kalinya, FBI mengoperasikan perusahaan perangkat terenkripsinya sendiri, yang disebut “ANOM,” yang dipromosikan oleh kelompok kriminal di seluruh dunia. Para penjahat ini menjual lebih dari 12.000 perangkat dan layanan terenkripsi ANOM ke lebih dari 300 sindikat kriminal yang beroperasi di lebih dari 100 negara, termasuk kejahatan terorganisir Italia, Geng Motor Penjahat, dan berbagai organisasi perdagangan narkoba internasional, menurut catatan pengadilan,” bunyi pernyataan yang dikeluarkan oleh FBI.

Operasi itu disebut Trojan Shield dan memuncak dalam 800 penangkapan, serta penyitaan lebih dari 8 ton kokain; 22 ton ganja; 2 ton metamfetamin/amfetamin; enam ton bahan kimia prekursor; 250 senjata api; dan lebih dari $48 juta dalam berbagai mata uang dunia.

Namun, selain menangkap orang jahat, tujuan dari operasi ini adalah untuk membuat para penjahat merasa bahwa tidak ada platform atau metode komunikasi yang aman bagi mereka, dengan harapan mencegah mereka untuk melakukan kegiatan terlarang sejak awal.

Selengkapnya: Interesting Engineering

Malware rasis memblokir The Pirate Bay dengan merusak file host Windows korban

by

Malware dicampur dengan julukan rasial mencoba untuk memblokir korban berbasis Windows dari mengunjungi situs berbagi file yang terkait dengan pelanggaran hak cipta, menurut penelitian Sophos baru.

Perangkat lunak berbahaya tersebut merupakan “proses konyol untuk memblokir orang agar tidak pergi ke Pirate Bay,” menurut peneliti Sophos Andrew Brandt, yang menemukan malware tersebut setelah seorang rekan menyebutkannya secara sepintas.

Alih-alih membuka pintu belakang untuk geng ransomware untuk mengeksploitasi atau menjatuhkan muatan berbahaya, malware ini hanya menenggelamkan banyak nama domain Pirate Bay dengan menambahkannya ke file host Windows dan mengarahkannya ke 127.0.0.1 – artinya mereka akan tidak dapat diakses dari mesin korban.

“Kami menemukannya dibagikan melalui BitTorrent,” Brandt menjelaskan kepada The Register. “Ini sangat aneh.”

The Pirate Bay adalah gudang terkenal file yang melanggar hak cipta, mulai dari film hingga game hingga perangkat lunak komersial. Banyak unggahan yang tersedia mengandung malware.

Perangkat lunak jahat Brandt menyamar sebagai salinan retak dari perangkat lunak sah yang tersedia untuk diunduh di BitTorrent atau sebagai tautan yang dibagikan di layanan obrolan-untuk-gamer Discord, yang juga memiliki CDN-nya sendiri yang relatif sedikit diketahui.

selengkapnya :

Nama jaringan tertentu dapat sepenuhnya menonaktifkan Wifi di iPhone Anda

by

Inilah bug yang lucu: seorang peneliti keamanan telah menemukan bahwa nama jaringan yang dibuat dengan hati-hati menyebabkan bug di tumpukan jaringan iOS dan dapat sepenuhnya menonaktifkan kemampuan iPhone Anda untuk terhubung ke Wi-Fi.

Di Twitter, Carl Schou menunjukkan bahwa setelah bergabung dengan jaringan Wi-Fi dengan nama tertentu (“%p%s%s%s%s%n”), semua fungsi Wi-Fi di iPhone dinonaktifkan sejak saat itu.

Setelah iPhone atau iPad bergabung dengan jaringan dengan nama “%p%s%s%s%s%n”, perangkat gagal tersambung ke jaringan Wi-Fi atau menggunakan fitur jaringan sistem seperti AirDrop. Masalah tetap ada setelah me-reboot perangkat (walaupun ada solusi, lihat di bawah).

Meskipun Schuo tidak merinci dengan tepat bagaimana dia mengetahui hal ini, programmer mana pun harus memperhatikan pola dalam nama jaringan yang funky yang diperlukan untuk memicu bug.

Berikut penjelasan yang mungkin: sintaks ‘%[karakter]’ biasanya digunakan dalam bahasa pemrograman untuk memformat variabel menjadi string keluaran. Dalam C, penentu ‘%n’ berarti menyimpan jumlah karakter yang ditulis ke dalam string format ke variabel yang diteruskan ke fungsi format string. Subsistem Wi-Fi mungkin meneruskan nama jaringan Wi-Fi (SSID) yang tidak dibersihkan ke beberapa perpustakaan internal yang melakukan pemformatan string, yang pada gilirannya menyebabkan penulisan memori dan buffer overflow yang berubah-ubah. Ini akan menyebabkan kerusakan memori dan pengawas iOS akan mematikan prosesnya, sehingga secara efektif menonaktifkan Wi-Fi bagi pengguna.

Jelas, ini adalah rangkaian peristiwa yang tidak jelas sehingga sangat tidak mungkin ada orang yang secara tidak sengaja jatuh ke dalamnya, kecuali jika banyak orang iseng Wi-Fi tiba-tiba muncul di alam liar dengan jaringan Wi-Fi terbuka menggunakan nama beracun. Sampai Apple memperbaiki kasus tepi ini dalam pembaruan OS di masa mendatang, awasi saja jaringan Wi-Fi apa pun dengan simbol persen di namanya.

Namun demikian, Jika Anda entah bagaimana terpengaruh oleh ini, bug tampaknya tidak merusak perangkat keras Anda secara permanen.

Anda harus dapat mengatur ulang semua pengaturan jaringan dan memulai dari awal. Di Pengaturan, buka Umum -> Atur Ulang -> Atur Ulang Pengaturan Jaringan. Ini mengatur ulang semua jaringan Wi-Fi yang disimpan di iPhone (serta hal-hal lain seperti pengaturan seluler dan akses VPN), sehingga menghapus pengetahuan tentang nama jaringan berbahaya dari memorinya. Anda kemudian dapat bergabung dengan Wi-Fi rumah standar Anda sekali lagi.

selengkapnya : 9to5mac.com

Alat keamanan baru Microsoft akan menemukan kerentanan firmware, dan banyak lagi, di PC dan perangkat IoT

by

Ketika sistem operasi menjadi lebih aman, penyerang semakin mengalihkan perhatian mereka ke firmware, yang kurang terlihat, lebih mendasar, dan jarang terlindungi dengan baik.

Kerentanan dalam firmware adalah persentase yang terus berkembang dari masalah baru yang ditambahkan ke Database Kerentanan Nasional NIST: lima kali lebih banyak serangan yang terjadi dibandingkan empat tahun lalu. Banyak organisasi mengalami serangan terhadap firmware (83% dalam survei Microsoft baru-baru ini, dan hanya organisasi yang mengetahui bahwa mereka telah diserang), tetapi melindungi firmware hanya mendapatkan sebagian kecil dari anggaran keamanan.

Sebagian dari masalahnya adalah kurangnya alat yang dapat digunakan untuk memindai untuk melihat firmware apa yang digunakan di seluruh jaringan Anda dan kerentanan apa yang ada. Ada banyak kode yang ditulis dengan buruk dan digunakan kembali dalam firmware, dan beberapa perangkat dikirimkan dengan ‘tagihan bahan’ perangkat lunak untuk memberi tahu Anda apa yang ada di dalam casing. Jika Anda menemukan masalah, memperbarui firmware adalah proses yang terfragmentasi dan tingkat rendah, dan tidak ada cara untuk menerapkan mitigasi kerentanan di bawah lapisan OS.

Semua itu sebabnya Microsoft membeli ReFirm Labs, rumah dari alat Binwalk open-source, yang platform firmware Centrifuge-nya mengotomatiskan proses menjalankan analisis statis untuk menemukan kerentanan firmware apa yang sudah Anda hadapi.

“Alat keamanan dasar yang Anda miliki di dunia desktop, yang akan menjadi roti dan mentega mereka untuk CISO, hanya saja tidak ada untuk IoT,” direktur mitra perusahaan dan keamanan OS di Microsoft, David Weston, mengatakan kepada TechRepublic. “Tidak mungkin kita akan mendapatkan 50 miliar perangkat yang terhubung ke cloud dan pindah dari dunia teknologi operasional dengan celah udara ini ke dunia cloud yang terhubung dengan AI tanpa menyelesaikan masalah dasar ini.”

“Sangat sulit bagi saya untuk mengatakan Windows aman atau Linux aman tanpa mengatakan firmware aman, dan itu adalah tempat dengan sedikit perhatian. Ini adalah kode yang paling istimewa di platform, bahkan dapat memodifikasi hypervisor, itu adalah paling tidak dilihat dan paling tidak dapat diperbarui. Tidak terlihat oleh sebagian besar teknologi keamanan saat ini.”

selengkapnya : www.techrepublic.com

Peretas Molerat Kembali Dengan Serangan Baru yang Menargetkan Pemerintah Timur Tengah

by

Kelompok ancaman persisten lanjutan (APT) Timur Tengah telah muncul kembali setelah jeda dua bulan untuk menargetkan lembaga pemerintah di Timur Tengah dan entitas pemerintah global yang terkait dengan geopolitik di kawasan itu dalam serangkaian kampanye baru yang diamati awal bulan ini.

Firma keamanan perusahaan yang berbasis di Sunnyvale, Proofpoint, mengaitkan aktivitas tersebut dengan aktor ancaman bermotivasi politik yang dilacaknya sebagai TA402, dan dikenal oleh moniker lain seperti Molerats dan GazaHackerTeam.

Berdasarkan penargetan dan kampanye sebelumnya, TA402 diduga beroperasi dengan motif yang sejalan dengan tujuan militer atau negara Palestina. Pelaku ancaman diyakini aktif selama satu dekade, dengan sejarah organisasi penyerang yang berlokasi di Israel dan Palestina, dan mencakup berbagai bidang vertikal seperti teknologi, telekomunikasi, keuangan, akademisi, militer, media, dan pemerintah.

Tidak jelas apa yang mendorong kolektif untuk menghentikan operasinya selama dua bulan, tetapi peneliti Proofpoint berspekulasi bahwa baik bulan suci Ramadhan atau gejolak saat ini di wilayah tersebut dan kekerasan berikutnya pada bulan Mei mungkin telah berperan.

Gelombang serangan terbaru dimulai dengan email spear-phishing yang ditulis dalam bahasa Arab dan berisi lampiran PDF yang disematkan dengan URL geofenced berbahaya untuk secara selektif mengarahkan korban ke arsip yang dilindungi kata sandi hanya jika alamat IP sumber milik negara yang ditargetkan di Tengah Timur.

Penerima yang berada di luar kelompok sasaran dialihkan ke situs web umpan yang ramah, biasanya situs berita berbahasa Arab seperti Al Akhbar (www.al-akhbar.com) dan Al Jazeera (www.aljazeera.net).

selengkapnya : thehackernews.com