Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cloud

Cloud

FTC AS Mencari Informasi tentang Cybersecurity Penyedia Cloud

by

Pergeseran global ke komputasi awan mungkin berada di bawah pengawasan ketat oleh regulator A.S. menyusul pengumuman oleh Komisi Perdagangan Federal A.S. bahwa mereka sedang mempelajari dinamika pasar industri awan, termasuk potensi risiko keamanan.

Badan pengawas mengeluarkan permintaan informasi yang menanyakan apakah penyedia cloud menggunakan langkah-langkah kontrak atau teknologi untuk mempertahankan pelanggan.

Ini juga meminta tanggapan publik paling lambat 22 Mei untuk pertanyaan seperti apa representasi yang dibuat penyedia cloud tentang keamanan data dan pembagian kontrak tanggung jawab untuk keamanan informasi pribadi konsumen yang disimpan di cloud.

“Sebagian besar ekonomi sekarang mengandalkan layanan cloud computing untuk berbagai layanan,” kata Chief Technology Officer FTC Stephanie Nguyen.

Analisis dari firma riset pasar teknologi Canalys mengatakan total pengeluaran di seluruh dunia untuk infrastruktur cloud tumbuh dua digit dan mencapai $247,1 miliar pada tahun 2022.

Tiga penyedia teratas – AWS, Microsoft Azure, dan Google Cloud – secara kolektif menyumbang sekitar dua pertiga dari total pengeluaran. Konsolidasi telah menjadi fakta kehidupan di pasar komputasi awan selama lebih dari satu dekade, ditandai dengan insiden seperti kegagalan penyedia infrastruktur sebagai layanan Nirvanix pada tahun 2013.

“Jika ini adalah industri dengan biaya modal yang sangat tinggi, yang menurut saya memang demikian, masuk akal untuk memiliki beberapa pemain utama, dalam hal ini Anda ingin memiliki aturan utilitas publik untuk memastikan tidak ada diskriminasi di berbagai lapisan. rantai pasokan,” kata Matt Stoller, direktur penelitian di American Economic Liberties Project, sebuah think tank Washington yang mempromosikan penegakan peraturan antimonopoli secara agresif. “Ada banyak pertanyaan terbuka tentang daerah ini,” tambahnya.

Selengkapnya: GOV INFO SECURITY

3 Cara Penyerang Lewati Keamanan Cloud

by

Kampanye serangan dunia maya ini adalah salah satu ancaman paling produktif saat ini yang menargetkan sistem cloud — dan kemampuan mereka untuk menghindari deteksi harus berfungsi sebagai peringatan tentang potensi ancaman yang akan datang, seorang peneliti keamanan merinci di sini hari ini.

“Kampanye malware yang berfokus pada cloud baru-baru ini telah menunjukkan bahwa kelompok musuh memiliki pengetahuan mendalam tentang teknologi cloud dan mekanisme keamanan mereka. Dan tidak hanya itu, mereka menggunakannya untuk keuntungan mereka,” kata Matt Muir, insinyur intelijen ancaman untuk Cado Security, yang membagikan detail tentang ketiga kampanye yang telah dipelajari timnya.

Sementara tiga kampanye serangan semuanya tentang cryptomining pada saat ini, beberapa teknik mereka dapat digunakan untuk tujuan yang lebih jahat. Dan sebagian besar, ini dan serangan lain yang dilihat tim Muir mengeksploitasi pengaturan cloud yang salah konfigurasi dan kesalahan lainnya. Itu sebagian besar berarti bertahan melawan mereka mendarat di kamp pelanggan cloud, menurut Muir.

“Secara realistis untuk jenis serangan ini, ini lebih berkaitan dengan pengguna daripada penyedia layanan [cloud],” kata Muir kepada Dark Reading. “Mereka sangat oportunistik. Sebagian besar serangan yang kami lihat lebih berkaitan dengan kesalahan” oleh pelanggan cloud, katanya.

Mungkin perkembangan yang paling menarik dari serangan ini adalah bahwa mereka sekarang menargetkan komputasi dan wadah tanpa server, katanya. “Kemudahan sumber daya cloud dapat dikompromikan telah menjadikan cloud sebagai sasaran empuk,” katanya dalam presentasinya, “Teknik Evasion Deteksi Dunia Nyata di Cloud.”

Selengkapnya: DARKReading

GoTo mengatakan peretas melanggar lingkungan pengembangnya, penyimpanan cloud

by

Perusahaan kolaborasi dan akses jarak jauh GoTo mengungkapkan hari ini bahwa mereka mengalami pelanggaran keamanan di mana pelaku ancaman memperoleh akses ke lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga mereka.

GoTo (sebelumnya LogMeIn) mulai mengirim email kepada pelanggan pada Rabu sore, memperingatkan bahwa mereka telah mulai menyelidiki serangan siber dengan bantuan Mandiant dan telah memberi tahu penegak hukum.

“Setelah mengetahui insiden tersebut, kami segera meluncurkan penyelidikan, melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum,” demikian bunyi email dari CEO GoTo Paddy Srinivasan.

Insiden ini juga memengaruhi anak perusahaan GoTo, LastPass, yang mengungkapkan hari ini bahwa pelaku ancaman mengakses informasi pelanggan melalui pelanggaran penyimpanan cloud yang sama.

GoTo mengatakan insiden tersebut tidak memengaruhi produk dan layanan mereka, dan mereka tetap berfungsi penuh.

Namun, mereka mengatakan telah mengerahkan “langkah-langkah keamanan yang ditingkatkan dan kemampuan pemantauan” setelah serangan itu.

BleepingComputer telah meminta informasi lebih lanjut kepada GoTo, seperti kapan serangan terjadi atau jika kode sumber dicuri, tetapi belum mendapat kabar.

sumber : bleeping computer

Microsoft meluncurkan layanan keamanan baru yang ditujukan untuk melindungi kode di cloud

by

Microsoft mengumumkan Defender Cloud Security Posture Management dan Defender untuk DevOps, dua penawaran baru dalam layanan Defender for Cloud perusahaan (sebelumnya Azure Defender) yang ditujukan untuk mengelola pengembangan perangkat lunak dan keamanan runtime di lingkungan multicloud, multi-pipa.

Dalam percakapan dengan TechCrunch, CVP Microsoft untuk keamanan cloud Shawn Bice mengatakan bahwa Defender for DevOps dan Defender Cloud Security Posture Management (atau Defender CSPM, untuk merujuknya dengan akronim yang lebih kuat) muncul dari tantangan yang semakin dihadapi perusahaan saat mereka menggunakan layanan cloud-native untuk menyebarkan dan mengelola aplikasi.

Pelanggan ini sering kali memiliki visibilitas yang tidak lengkap dan kurangnya mitigasi yang diprioritaskan, katanya, membuat keamanan mereka reaktif dibandingkan proaktif.

Menurut laporan tahun 2020 dari Orca Security, 59% tim keamanan siber melaporkan menerima lebih dari 500 peringatan tentang keamanan cloud per hari sebagian besar adalah positif palsu.

Tool sprawl sering disebut-sebut sebagai tantangan dalam menjaga keamanan kode. Menanggapi survei GitLab dari Agustus, 41% tim DevOps mengatakan bahwa mereka menggunakan antara enam hingga 10 alat dalam rantai alat pengembangan mereka, yang menyebabkan mereka melewatkan masalah keamanan.

Untuk tujuan ini, Defender CSPM memanfaatkan algoritme AI untuk melakukan analisis risiko kontekstual dari lingkungan pengembangan perangkat lunak.

Rekomendasi dan wawasan yang dihasilkan disalurkan ke platform manajemen kode sumber seperti GitHub dan Azure DevOps untuk mendorong upaya perbaikan; sebagai alternatif, pengguna dapat membuat alur kerja yang terhubung ke rekomendasi keamanan untuk memicu perbaikan otomatis.

Defender CSPM juga menyediakan “kueri serangan” yang dapat digunakan tim keamanan untuk menjelajahi data risiko dan ancaman, serta dasbor yang menunjukkan semua aturan yang diterapkan di seluruh lingkungan pengembang dan alat yang memungkinkan admin keamanan untuk menentukan aturan baru.

Adapun Defender untuk DevOps, ini menunjukkan postur keamanan kode aplikasi pra-produksi dan konfigurasi sumber daya. Tim keamanan dapat menggunakan layanan untuk mengaktifkan template dan gambar kontainer yang dirancang untuk meminimalkan kemungkinan kesalahan konfigurasi cloud mencapai lingkungan produksi.

Dengan peluncuran Defender CSPM dan Defender for Cloud, jelas Microsoft mencari bagian yang lebih besar dari segmen DevSecOps yang besar dan berkembang. Grand View Research memperkirakan bahwa pasar untuk DevSecOps — yang mencakup alat yang mengotomatiskan praktik keamanan di setiap langkah pengembangan perangkat lunak — bernilai $2,79 miliar pada tahun 2020.

Startup termasuk Spectral, yang bertujuan untuk mendeteksi potensi masalah keamanan dalam basis kode dan log, dan Cycode, yang menawarkan alat untuk mengamankan saluran DevOps, mungkin dianggap sebagai pesaing.

Tetapi skala Microsoft dan fakta bahwa Defender CSPM dan Defender for Cloud gratis untuk pelanggan Defender for Cloud selama periode pratinjau memberikan keuntungan.

“Microsoft berkomitmen untuk memungkinkan keamanan untuk semua,” tambah Bice, “[dengan] tolok ukur keamanan cloud yang komprehensif di berbagai cloud.”

Sumber: TechCrunch

Twilio mengungkapkan pelanggaran data yang berdampak pada pelanggan dan karyawan

by

Perusahaan komunikasi cloud Twilio mengatakan beberapa data pelanggannya diakses oleh penyerang yang melanggar sistem internal setelah mencuri kredensial karyawan dalam serangan SMS phishing.

“Pada 4 Agustus 2022, Twilio mengetahui akses tidak sah ke informasi terkait sejumlah akun pelanggan Twilio melalui serangan rekayasa sosial canggih yang dirancang untuk mencuri kredensial karyawan,” kata Twilio akhir pekan lalu.

“Para penyerang kemudian menggunakan kredensial yang dicuri untuk mendapatkan akses ke beberapa sistem internal kami, di mana mereka dapat mengakses data pelanggan tertentu.”

Perusahaan juga mengungkapkan penyerang memperoleh akses ke sistemnya setelah menipu dan mencuri kredensial dari beberapa karyawan yang ditargetkan dalam insiden phishing.

Untuk melakukan itu, mereka meniru departemen TI Twilio, meminta mereka untuk mengklik URL yang berisi kata kunci “Twilio,” “Okta,” dan “SSO” yang akan mengarahkan mereka ke klon halaman masuk Twilio.

​Pesan SMS phishing memancing karyawan Twilio untuk mengklik tautan yang disematkan dengan memperingatkan mereka bahwa kata sandi mereka telah kedaluwarsa atau dijadwalkan untuk diubah.

Direktur Komunikasi EMEA Twilio Katherine James menolak untuk memberikan informasi lebih lanjut ketika ditanya berapa banyak karyawan yang akun mereka disusupi dalam serangan phishing dan berapa banyak pelanggan yang terpengaruh oleh pelanggaran tersebut, dengan mengatakan perusahaan “tidak memiliki komentar tambahan untuk diberikan saat ini di luar apa yang ada. diposting di blog.”

Perusahaan belum mengidentifikasi penyerang, tetapi bekerja dengan penegak hukum sebagai bagian dari penyelidikan yang sedang berlangsung.

Twilio mencabut akun karyawan yang dikompromikan selama serangan untuk memblokir akses penyerang ke sistemnya dan telah mulai memberi tahu pelanggan yang terpengaruh oleh insiden ini.

Perusahaan juga mengungkapkan pada Mei 2021 bahwa itu dipengaruhi oleh serangan rantai pasokan Codecov tahun lalu di mana pelaku ancaman memodifikasi alat Codecov Bash Uploader yang sah untuk mencuri kredensial, kunci rahasia, dan token pengguna dari pelanggan Codecov.

Dengan lebih dari 5.000 karyawan di 26 kantor di 17 negara, Twillio menyediakan API suara, teks, obrolan, video, dan email yang dapat diprogram yang digunakan oleh lebih dari 10 juta pengembang dan 150.000 bisnis untuk membangun platform keterlibatan pelanggan.

Twilio juga mengakuisisi Authy pada Februari 2015, penyedia otentikasi dua faktor (2FA) yang populer untuk pengguna akhir, pengembang, dan perusahaan dengan jutaan pengguna di seluruh dunia.

Sumber: Bleeping Computer

Spyware CloudMensis Baru yang Menargetkan Pengguna Apple macOS

by

Peneliti keamanan siber telah mengungkap spyware yang sebelumnya tidak terdokumentasi yang menargetkan sistem operasi Apple macOS.

Malware, dengan nama kode CloudMensis oleh perusahaan keamanan siber Slovakia ESET, dikatakan secara eksklusif menggunakan layanan penyimpanan cloud publik seperti pCloud, Yandex Disk, dan Dropbox untuk menerima perintah penyerang dan mengekstrak file.

CloudMensis, yang ditulis dalam Objective-C, pertama kali ditemukan pada April 2022 dan dirancang untuk menyerang arsitektur silikon Intel dan Apple. Vektor infeksi awal untuk serangan dan target masih belum diketahui. Tetapi distribusinya yang sangat terbatas merupakan indikasi bahwa malware digunakan sebagai bagian dari operasi yang sangat bertarget yang ditujukan terhadap entitas yang diminati.

Rantai serangan yang ditemukan oleh ESET menyalahgunakan eksekusi kode dan hak administratif untuk meluncurkan payload tahap pertama yang digunakan untuk mengambil dan mengeksekusi malware tahap kedua yang dihosting di pCloud, yang, pada gilirannya, mengekstrak dokumen, tangkapan layar, dan lampiran email, antara lain .

Pengunduh tahap pertama juga dikenal untuk menghapus jejak pelarian kotak pasir Safari dan eksploitasi eskalasi hak istimewa yang menggunakan empat kelemahan keamanan yang sekarang diselesaikan pada tahun 2017, hal tersebut menunjukkan bahwa CloudMensis mungkin telah terbang di bawah radar selama bertahun-tahun.

Implan juga dilengkapi dengan fitur untuk melewati kerangka kerja keamanan Transparency, Consent, and Control (TCC), yang bertujuan untuk memastikan bahwa semua aplikasi mendapatkan persetujuan pengguna sebelum mengakses file di Dokumen, Unduhan, Desktop, iCloud Drive, dan volume jaringan.

Ini mencapai ini dengan mengeksploitasi kerentanan keamanan lain yang ditambal yang dilacak sebagai CVE-2020-9934 yang terungkap pada tahun 2020. Fungsi lain yang didukung oleh pintu belakang termasuk mendapatkan daftar proses yang berjalan, menangkap tangkapan layar, membuat daftar file dari perangkat penyimpanan yang dapat dilepas, dan menjalankan shell perintah dan muatan arbitrer lainnya.

Selain itu, analisis metadata dari infrastruktur penyimpanan cloud menunjukkan bahwa akun pCloud dibuat pada 19 Januari 2022, dengan kompromi dimulai pada 4 Februari dan memuncak pada Maret.

Sumber: The Hacker News

Grup peretas ‘8220’ mengembangkan botnet cloud ke lebih dari 30.000 host

by

Geng cryptomining yang dikenal sebagai 8220 Gang telah mengeksploitasi kerentanan Linux dan aplikasi cloud untuk mengembangkan botnet mereka ke lebih dari 30.000 host yang terinfeksi.

Grup ini adalah aktor berketerampilan rendah, bermotivasi finansial yang menginfeksi host AWS, Azure, GCP, Alitun, dan QCloud setelah menargetkan sistem yang tersedia untuk umum yang menjalankan versi Docker, Redis, Confluence, dan Apache yang rentan.

Serangan sebelumnya dari geng ini mengandalkan eksploitasi yang tersedia untuk umum untuk mengkompromikan server Confluence.

Setelah mendapatkan akses, penyerang menggunakan paksaan SSH untuk menyebar lebih jauh dan membajak sumber daya komputasi yang tersedia untuk menjalankan cryptominers yang menunjuk ke kumpulan yang tidak dapat dilacak.

Geng 8220 telah aktif setidaknya sejak 2017 dan tidak dianggap sangat canggih, tetapi ledakan tiba-tiba dalam jumlah infeksi menggarisbawahi betapa berbahaya dan berdampaknya aktor tingkat bawah ini ketika mereka mengabdikan diri untuk tujuan mereka.

Dalam kampanye terbaru, yang diamati dan dianalisis oleh SentinelLabs, Geng 8220 telah menambahkan hal-hal baru ke skrip yang digunakan untuk memperluas botnet mereka, sepotong kode yang cukup tersembunyi meskipun tidak memiliki mekanisme penghindaran deteksi khusus.

Mulai akhir bulan lalu, grup tersebut mulai menggunakan file khusus untuk pengelolaan langkah paksa SSH, yang berisi 450 kredensial hardcode yang sesuai dengan berbagai perangkat dan aplikasi Linux.

Pembaruan lainnya adalah penggunaan daftar blokir dalam skrip untuk mengecualikan host tertentu dari infeksi, sebagian besar mengenai honeypot yang dibuat oleh peneliti keamanan.

Akhirnya, 8220 Gang sekarang menggunakan versi baru dari cryptominer kustomnya, PwnRig, yang didasarkan pada XMRig penambang Monero open-source.

Dalam versi terbaru PwnRig, penambang menggunakan subdomain FBI palsu dengan alamat IP yang mengarah ke domain pemerintah federal Brasil untuk membuat permintaan kumpulan palsu dan mengaburkan tujuan sebenarnya dari uang yang dihasilkan.

Penurunan harga cryptocurrency memaksa aktor cryptojacking untuk meningkatkan operasi mereka sehingga mereka dapat mempertahankan keuntungan yang sama. Monero, khususnya, telah kehilangan lebih dari 20% nilainya selama enam bulan terakhir.

Sumber: Bleeping Computer

380K Server API Kubernetes Terekspos ke Internet

by

Lebih dari 380.000 server API Kubernetes memungkinkan beberapa jenis akses ke internet publik, membuat mesin orkestrasi kontainer sumber terbuka yang populer untuk mengelola penyebaran cloud menjadi target yang mudah dan permukaan serangan yang luas bagi pelaku ancaman, menurut temuan para peneliti.

Yayasan Shadowserver menemukan akses ketika memindai internet untuk server API Kubernetes, yang jumlahnya lebih dari 450.000, menurut sebuah posting blog yang diterbitkan minggu ini.

“ShadowServer melakukan pemindaian harian ruang IPv4 pada port 443 dan 6443, mencari alamat IP yang merespons dengan ‘status HTTP 200 OK’, yang menunjukkan bahwa permintaan telah berhasil,” menurut posting tersebut.

Dari lebih dari 450.000 instance Kubernetes API yang diidentifikasi oleh Shadowserver, 381.645 merespons dengan “200 OK”, kata para peneliti. Secara keseluruhan, Shadowserver menemukan 454.729 server API Kubernetes. Dengan demikian, instans API “terbuka” merupakan hampir 84 persen dari semua instans yang dipindai oleh Shadowserver.

Selain itu, sebagian besar server Kubernetes yang dapat diakses—201.348, atau hampir 53 persen—ditemukan di Amerika Serikat, menurut postingan tersebut.

Meskipun respons terhadap pemindaian ini tidak berarti server ini sepenuhnya terbuka atau rentan terhadap serangan, itu menciptakan skenario di mana server memiliki “permukaan serangan yang tidak perlu,” menurut posting tersebut.

“Tingkat akses ini sepertinya tidak dimaksudkan,” para peneliti mengamati. Eksposur juga memungkinkan kebocoran informasi pada versi dan build, tambah mereka.

Selengkapnya: Threat Post