Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Ukraina terkena serangan siber besar-besaran yang menargetkan situs web pemerintah

by

Lusinan situs pemerintah Ukraina telah terkena serangan siber yang tidak menyenangkan, dengan peretas memperingatkan orang-orang untuk “takut dan mengharapkan yang terburuk.”

Serangan itu mengambil alih situs web Kementerian Luar Negeri, Kabinet menteri dan dewan keamanan dan pertahanan, memposting pesan di layar dalam bahasa Ukraina, Rusia, dan Polandia yang berbunyi: “Ukraina! Semua data pribadi Anda telah diunggah ke jaringan publik. Semua data di komputer hancur, tidak mungkin mengembalikannya.”

“Semua informasi tentang Anda telah menjadi publik, takut dan harapkan yang terburuk. Ini untuk masa lalu Anda, sekarang dan masa depan,” kata para peretas.

“Akibat serangan siber besar-besaran, situs web Kementerian Luar Negeri dan sejumlah lembaga pemerintah lainnya untuk sementara dinonaktifkan,” kata juru bicara Kementerian Luar Negeri di Twitter. “Spesialis kami sudah mulai memulihkan kerja sistem TI, dan polisi siber telah membuka penyelidikan.”

Pejabat di Kyiv belum mengatakan siapa yang berada di balik pelanggaran tersebut, tetapi di masa lalu, peretas Rusia telah disalahkan atas serangan serupa di Ukraina.

Perlu dicatat bahwa taktik siber serupa digunakan terhadap situs web pemerintah Georgia pada tahun 2008 selama konflik singkat antara Moskow dan Tbilisi atas Ossetia Selatan.

Dan pada tahun 2015, Sandworm, kelompok peretas Rusia, menyerang jaringan listrik Ukraina.

Selengkapnya: NPR

Aktor FIN7 mengirim drive USB Berbahaya ke perusahaan AS dengan ransomware

by

FBI telah mengidentifikasi perangkat USB berbahaya yang dikirim ke perusahaan AS dalam beberapa bulan terakhir dengan motif untuk menginfeksi jaringan perusahaan dengan malware dan penurunan muatan lebih lanjut.

Kelompok di balik operasi USB berbahaya ini diketahui sebagai aktor FIN7, yang berada di balik ransomware BlackMatter dan Darkside.

Sesuai laporan FBI, beberapa paket dengan drive USB telah dikirim ke perusahaan AS termasuk industri pertahanan, asuransi, dan transportasi.

Pengiriman dilakukan melalui United Parcel Service dan United States Postal Service. Paket datang dalam dua varian, satu dengan nama Departemen Kesehatan dan Layanan Kemanusiaan AS, dengan beberapa pedoman COVID-19 dan drive USB.

Yang lainnya disamarkan sebagai Paket Amazon dengan dekorasi hadiah, pesan terima kasih, kartu hadiah, dan drive USB. Satu hal yang umum di antara kedua paket ini adalah bahwa drive USB berasal dari merek LilyGo.

Setelah penerima menyambungkan drive USB ini ke perangkat mereka, serangan BadUSB dimulai.

Serangan BadUSB adalah serangan keamanan yang menginfeksi perangkat dengan memprogram ulang drive USB dengan perangkat lunak berbahaya.

Dengan program jahat ini, para aktor dapat mengunduh banyak muatan ke dalam perangkat dan menjadikannya sebagai pintu belakang untuk penyusupan lebih lanjut.

Setelah aktor mendapatkan hak istimewa admin untuk sistem, mereka melanjutkan serangan mereka dengan menyebarkan malware secara lateral di seluruh jaringan yang memengaruhi perangkat rekan lainnya.

Setelah distribusi lateral yang sukses, aktor FIN7 menggunakan beberapa alat untuk menyebarkan ransomware REvil dan BlackMatter. Alat-alat tersebut antara lain Cobalt Strike, Metasploit, Carbanak, TIRION, DICELOADER, GRIFFON, dan Carbanak.

Selengkapnya: The Cybersecurity Times

‘Elephant Beetle’ Mengintai selama Berbulan-bulan di Jaringan

by

Para peneliti telah mengidentifikasi kelompok ancaman yang diam-diam menyedot jutaan dolar dari perusahaan sektor keuangan dan perdagangan, menghabiskan waktu berbulan-bulan dengan sabar mempelajari sistem keuangan target mereka dan menyelinap dalam transaksi penipuan di antara aktivitas rutin.

Tim Respon Insiden Sygnia telah melacak kelompok yang diberi nama Kumbang Gajah, alias TG2003, selama dua tahun.

Dalam laporan hari Rabu, para peneliti menyebut serangan Elephant Beetle tanpa henti, karena kelompok itu telah bersembunyi “di depan mata” tanpa perlu mengembangkan eksploitasi.

Mungkin Elephant Beetle tidak memiliki eksploit, tetapi penyerangnya tentu tidak muncul dengan tangan kosong.

Mereka mengandalkan gudang lebih dari 80 alat dan skrip unik untuk beroperasi tanpa terdeteksi “untuk waktu yang lama” saat mereka dengan sabar menanam transaksi palsu mereka, kata Sygnia, “menyatu dengan lingkungan target dan benar-benar tidak terdeteksi sementara secara diam-diam membebaskan organisasi sejumlah uang yang sangat mahal.”

Elephant Beetle terutama memusatkan perhatiannya pada pasar Amerika Latin, tetapi tidak menyayangkan organisasi yang tidak berbasis di sana.

Tim IR Sygnia baru-baru ini menemukan dan menanggapi satu insiden di sebuah perusahaan yang berbasis di AS yang menjalankan cabang di Amerika Latin. “Karena itu, baik organisasi regional maupun global harus waspada,” Sygnia memperingatkan.

Selengkapnya: Threat Post

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

by

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Peretas SolarWinds memiliki banyak trik baru untuk serangan kompromi massal

by

Hampir tepat setahun yang lalu, peneliti keamanan menemukan salah satu pelanggaran data terburuk dalam sejarah modern: kampanye peretasan yang didukung Kremlin yang membahayakan server penyedia manajemen jaringan SolarWinds dan, dari sana, 100 jaringan tertinggi -profil pelanggan, termasuk sembilan agen federal AS.

Pengingat terbaru tentang kemahiran kelompok Nobelium datang dari firma keamanan Mandiant, yang pada hari Senin menerbitkan penelitian yang merinci banyak prestasi Nobelium—dan beberapa kesalahan—karena terus menembus jaringan beberapa target bernilai tertingginya.

Salah satu hal yang membuat Nobelium begitu tangguh adalah kreativitas TTP-nya. Alih-alih membobol setiap target satu per satu, grup tersebut meretas jaringan SolarWinds dan menggunakan akses, dan kepercayaan yang dimiliki pelanggan di perusahaan, untuk mendorong pembaruan berbahaya ke sekitar 18.000 pelanggannya.

Laporan Mandiant menunjukkan bahwa kecerdikan Nobelium tidak goyah. Sejak tahun lalu, peneliti perusahaan mengatakan dua kelompok peretasan yang terkait dengan peretasan SolarWinds—satu disebut UNC3004 dan lainnya UNC2652—terus merancang cara baru untuk mengkompromikan sejumlah besar target dengan cara yang efisien.

Alih-alih meracuni rantai pasokan SolarWinds, kelompok tersebut mengkompromikan jaringan penyedia solusi cloud dan penyedia layanan terkelola, atau CSP, yang merupakan perusahaan pihak ketiga yang diandalkan oleh banyak perusahaan besar untuk berbagai layanan TI. Peretas kemudian menemukan cara cerdas untuk menggunakan penyedia yang dikompromikan itu untuk mengganggu pelanggan mereka.

Selengkapnya: Ars Technica

Sistem E-Mail IKEA Terkena Serangan Siber Yang Sedang Berlangsung

by

Dalam email internal yang dilihat oleh BleepingComputer, IKEA memperingatkan karyawan tentang serangan cyber phishing reply-chain yang sedang berlangsung yang menargetkan kotak surat internal. Email ini juga dikirim dari organisasi dan mitra bisnis IKEA lainnya yang disusupi.

“Ada serangan cyber yang sedang berlangsung yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya dikompromikan oleh serangan yang sama dan selanjutnya menyebarkan email jahat ke orang-orang di Inter IKEA,” jelas email internal yang dikirim ke IKEA karyawan dan dilihat oleh BleepingComputer.

“Ini berarti bahwa serangan itu dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu, sulit untuk dideteksi, dan kami meminta Anda untuk ekstra hati-hati.”

Tim TI IKEA memperingatkan karyawan bahwa email reply-chain berisi tautan dengan tujuh digit di bagian akhir dan berbagi contoh email, seperti yang ditunjukkan di bawah ini. Selain itu, karyawan diminta untuk tidak membuka email, terlepas dari siapa yang mengirimnya, dan segera melaporkannya ke departemen TI.

Pelaku ancaman baru-baru ini mulai mengkompromikan server Microsoft Exchange internal menggunakan kerentanan ProxyShell dan ProxyLogin untuk melakukan serangan phishing.

Begitu mereka mendapatkan akses ke server, mereka menggunakan server Microsoft Exchange internal untuk melakukan serangan berantai balasan terhadap karyawan menggunakan email perusahaan yang dicuri.

Karena email dikirim dari server internal yang disusupi dan rantai email yang ada, ada tingkat kepercayaan yang lebih tinggi bahwa email tersebut tidak berbahaya.

Selengkapnya: Bleeping Computer

Pelajaran utama dari serangan SolarWinds: Pikirkan kembali keamanan identitas

by

Menurut Peter Firstbrook dari Gartner, yang membagikan pandangannya tentang pelajaran terbesar yang dipetik tentang pembobolan SolarWinds Orion di KTT Manajemen Keamanan & Risiko firma riset – konferensi virtual Amerika minggu ini, di antara banyak pelajaran dari serangan siber SolarWinds yang belum pernah terjadi sebelumnya, ada satu hal yang masih belum dipahami oleh sebagian besar perusahaan: Infrastruktur identitas itu sendiri adalah target utama bagi peretas.

Ketika ditanya oleh VentureBeat tentang pelajaran terbesarnya dari serangan SolarWinds, Firstbrook mengatakan insiden itu menunjukkan bahwa “infrastruktur identitas adalah target.”

“Orang-orang perlu mengenali itu, dan mereka tidak,” katanya. “Itu adalah pesan terbesar saya kepada orang-orang: Anda telah menghabiskan banyak uang untuk identitas, tetapi sebagian besar bagaimana membiarkan orang-orang baik masuk. Anda benar-benar harus mengeluarkan uang untuk memahami ketika infrastruktur identitas itu dikompromikan, dan memelihara infrastruktur itu.”

Firstbrook menunjukkan satu contoh di mana peretas SolarWinds mampu melewati otentikasi multifaktor (MFA), yang sering disebut sebagai salah satu cara paling andal untuk mencegah pengambilalihan akun. Peretas melakukannya dengan mencuri cookie web, katanya. Ini dimungkinkan karena teknologi ketinggalan zaman sedang digunakan dan diklasifikasikan sebagai MFA, menurut Firstbrook.

“Anda harus menjaga infrastruktur [identitas] itu. Anda harus tahu kapan itu dikompromikan, dan ketika seseorang telah mendapatkan kredensial Anda atau mencuri token Anda dan menampilkannya sebagai nyata, ”katanya.

Manajemen identitas digital sangat sulit bagi perusahaan, dengan banyak yang menderita dari penyebaran identitas—termasuk identitas manusia, mesin, dan aplikasi (seperti dalam otomatisasi proses robot). Sebuah studi baru-baru ini yang dilakukan oleh vendor keamanan identitas One Identity mengungkapkan bahwa hampir semua organisasi — 95% — melaporkan tantangan dalam manajemen identitas digital.

Penyerang SolarWinds memanfaatkan kerentanan ini di sekitar manajemen identitas. Selama sesi dengan konferensi Gartner penuh pada hari Kamis, Firstbrook mengatakan bahwa penyerang sebenarnya “terutama berfokus pada menyerang infrastruktur identitas” selama kampanye SolarWinds.

Selengkapnya: Venture Beat

Web Server Polri Diretas oleh Peretas Brasil

by

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

  • Nama
  • Tempat tanggal lahir
  • Satker
  • Pangkat
  • Status pernikahan
  • Jabatan
  • Alamat
  • Pangkat terakhir
  • Agama
  • Golongan darah
  • Suku
  • pen_umum_terakhir
  • pen_polri_terakhir
  • pen_jurusan_terakhir
  • pen_jenjang_terakhir
  • rehab_no_putusan
  • rehab_tanggal_putusan_sidang
  • rehab_id_jenis_pelanggaran
  • id_propam
  • s_tgl_hukuman_selesai
  • s_tgl_hukuman_mulai
  • s_tgl_rehab_mulai
  • s_tgl_rehab_selesai
  • s_tgl_binlu_mulai
  • s_tgl_binlu_selesai
  • email
  • no_hp.[]

Sumber: Cyberthreat.id