Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Bug DNSpooq memungkinkan penyerang membajak DNS di jutaan perangkat

by

Perusahaan konsultan keamanan yang berbasis di Israel, JSOF, mengungkapkan tujuh kerentanan Dnsmasq, yang secara kolektif dikenal sebagai DNSpooq, yang dapat dimanfaatkan untuk meluncurkan serangan DNS cache poisoning, eksekusi kode jarak jauh, dan denial-of-service terhadap jutaan perangkat yang terpengaruh.

Jumlah lengkap atau nama semua perusahaan yang menggunakan versi Dnsmasq yang rentan terhadap serangan DNSpooq di perangkat mereka belum diketahui.

Namun, JSOF menyoroti daftar 40 vendor dalam laporan mereka, termasuk Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, dan Ubiquiti.

Tiga dari kerentanan DNSpooq (dilacak sebagai CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) memungkinkan kedua serangan DNS cache poisoning (juga dikenal sebagai spoofing DNS).

Sisanya adalah kerentanan buffer overflow yang dilacak sebagai CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, dan CVE-2020-25681 yang dapat memungkinkan penyerang mengeksekusi kode dari jarak jauh pada peralatan jaringan yang rentan saat Dnsmasq dikonfigurasi untuk menggunakan DNSSEC.

MITIGASI

Untuk sepenuhnya mengurangi serangan yang mencoba mengeksploitasi kelemahan DNSpooq, JSOF menyarankan untuk memperbarui perangkat lunak Dnsmasq ke versi terbaru (2.83 atau lebih baru).

JSOF juga membagikan daftar solusi (sebagian) bagi mereka yang tidak dapat segera memperbarui Dnsmasq:

  • Konfigurasikan dnsmasq agar tidak “listen” pada antarmuka WAN jika tidak diperlukan di lingkungan Anda.
  • Kurangi kueri maksimum yang diizinkan untuk diteruskan dengan option–dns-forward-max=. Standarnya adalah 150, tetapi bisa diturunkan.
  • Nonaktifkan sementara opsi validasi DNSSEC hingga Anda mendapatkan patch.
  • Gunakan protokol yang menyediakan keamanan transportasi untuk DNS (seperti DoT atau DoH). Ini akan mengurangi Dnspooq tetapi mungkin memiliki implikasi keamanan dan privasi lainnya. Pertimbangkan pengaturan, sasaran keamanan, dan risiko Anda sendiri sebelum melakukan ini.
  • Mengurangi ukuran maksimum pesan EDNS kemungkinan akan mengurangi beberapa kerentanan. Ini, bagaimanapun, belum diuji dan bertentangan dengan rekomendasi dari RFC5625 yang relevan.

Sumber: Bleeping Computer

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

by

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

FBI Memperingatkan Sekolah untuk Bersiap akan adanya Lebih Banyak Serangan Siber

by

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) baru-baru ini memperingatkan bahwa serangan ransomware pada entitas K-12 telah meningkat secara dramatis selama paruh kedua tahun 2020 dan serangan ini serta serangan siber lainnya kemungkinan akan berlanjut selama tahun depan.

Pada tahun 2020, banyak peretas menargetkan sekolah dengan menyebarkan ransomware ke seluruh distrik secara nasional, menyebabkan seringnya pembatalan kelas, dan melakukan zoombombing pada setiap ruang kelas virtual yang bisa mereka dapatkan.

Menurut FBI, semua hal ini kemungkinan akan berlanjut pada level buruk saat ini dan berpotensi menjadi lebih buruk pada tahun 2021.

Minggu ini, saat siswa kembali dari liburan ke ruang kelas virtual mereka, pejabat FBI menegaskan kembali perlunya melindungi lembaga pendidikan Amerika yang rentan dengan lebih baik.

Menurut agen federal, peretas kemungkinan akan terus memanfaatkan berbagai macam serangan, mulai dari serangan Denial of Service hingga ransomware hingga gangguan melalui third-party ed-tech, seperti ruang pembelajaran online seperti Google Classroom. Karena sekolah pada umumnya adalah tempat di mana kesadaran akan risiko rendah dan pendanaan keamanan siber minimal, para penjahat cenderung memandangnya sebagai target yang menarik, kata para pejabat.

Sumber: Gizmodo

Ryuk ransomware adalah ancaman utama bagi sektor kesehatan

by

Organisasi perawatan kesehatan terus menjadi target utama untuk semua jenis serangan siber, dengan insiden ransomware, Ryuk khususnya, menjadi lebih umum.

Dalam laporan bersama pada akhir Oktober, Cybersecurity and Infrastructure Security Agency (CISA) AS, Biro Investigasi Federal (FBI), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) memperingatkan ancaman kejahatan siber yang akan segera terjadi ke rumah sakit dan penyedia layanan kesehatan.

Ini bertujuan untuk mempersiapkan organisasi menghadapi serangan ransomware Ryuk dan Conti dengan menyediakan taktik, teknik, dan prosedur (TTP) khusus untuk insiden dengan jenis malware ini.

Menurut Check Point, ancaman ransomware utama yang digunakan dalam serangan terhadap entitas kesehatan adalah Ryuk diikuti oleh REvil (Sodinokibi).

Sesuai data yang dikumpulkan oleh Check Point, sebagian besar serangan siber selama dua bulan terakhir yang menghantam organisasi perawatan kesehatan di Eropa Tengah, melonjak hingga hampir 150% pada November.

Sumber: Check Point

Dengan jumlah infeksi COVID-19 yang terus meningkat, serangan siber cenderung terus menghantam organisasi perawatan kesehatan. Menjaga sistem tetap diperbarui dengan tambalan terbaru, kebersihan siber yang baik, memantau jaringan untuk akses yang tidak sah, dan mendidik karyawan untuk mengenali upaya phishing adalah cara yang baik untuk melindungi dari serangan dari sebagian besar pelaku ancaman.

Sumber: Bleeping Computer

Whirlpool raksasa peralatan rumah tangga terkena serangan ransomware Nefilim

by

Whirlpool raksasa peralatan rumah tangga mengalami serangan ransomware oleh geng ransomware Nefilim yang mencuri data sebelum mengenkripsi perangkat.

Whirlpool adalah salah satu pembuat aplikasi rumah terbesar di dunia dengan peralatan di bawah namanya dan KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit, dan Bauknecht. Whirlpool mempekerjakan 77.000 orang di 59 pusat penelitian manufaktur & teknologi di seluruh dunia dan menghasilkan pendapatan sekitar $20 miliar untuk tahun 2019.

Selama akhir pekan, geng ransomware Nefilim menerbitkan file yang dicuri dari Whirlpool selama serangan ransomware. Data yang bocor termasuk dokumen terkait tunjangan karyawan, permintaan akomodasi, permintaan informasi medis, pemeriksaan latar belakang, dan banyak lagi.

Sumber: BleepingComputer

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa geng ransomware Nefilim menyerang Whirlpool pada akhir pekan pertama bulan Desember.

Sumber: BleepingComputer

Nefilim bukanlah operasi ransomware yang sangat aktif tetapi dikenal karena serangan terhadap korban besar dan terkenal lainnya di masa lalu. Korban lain yang diserang oleh Nefilim termasuk Orange S.A., Dussman Group, Luxottica, dan Toll Group.

Sumber: Bleeping Computer

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

by

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

  • Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

  • Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

  • Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

  • Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

  • Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Perusahaan teknologi besar termasuk Intel, Nvidia, dan Cisco semuanya terinfeksi selama peretasan SolarWinds

by

Minggu lalu, tersiar kabar bahwa perusahaan manajemen TI SolarWinds telah diretas, diduga oleh pemerintah Rusia, dan departemen Keuangan, Perdagangan, Negara, Energi, dan Keamanan Dalam Negeri AS telah terpengaruh – dua di antaranya mungkin telah dicuri emailnya akibat peretasan tersebut.

The Wall Street Journal sekarang melaporkan bahwa beberapa perusahaan teknologi besar telah terinfeksi juga. Cisco, Intel, Nvidia, Belkin, dan VMware semuanya memiliki komputer di jaringan mereka yang terinfeksi malware.

Mungkin ada lebih banyak lagi: SolarWinds telah menyatakan bahwa “kurang dari 18.000” perusahaan terkena dampak, seolah-olah angka itu seharusnya meyakinkan, dan bahkan berusaha menyembunyikan daftar klien yang menggunakan perangkat lunak yang terinfeksi.

Ada berbagai macam alasan mengapa grup peretas mungkin ingin masuk ke sistem perusahaan teknologi besar, termasuk akses ke paket produk di masa mendatang atau informasi karyawan dan pelanggan yang dapat dijual atau ditahan untuk mendapatkan tebusan, dengan asumsi mereka benar-benar mencari info tersebut.

Namun, mungkin juga perusahaan-perusahaan ini hanyalah “bonus” karena kelompok peretas ini mengejar lembaga pemerintah, yang kebetulan menggunakan sistem manajemen TI yang disediakan SolarWinds.

Sumber: The Verge

Lima peretasan Rusia yang mengubah keamanan siber AS

by

Cuckoo’s Egg

Cliff Stoll menjaga jaringan komputer di labnya. Pada tahun 1986, dia melihat seseorang masuk untuk menggunakan komputer tanpa membayar. Dalam beberapa bulan mendatang, dia akan mengikuti jejak mereka dan mengamati pihak tak dikenal yang mencari data terkait militer.

Dalam bukunya, Cuckoo’s Egg, Stoll mengungkapkan bagaimana dia akhirnya melacak login ke sekelompok peretas di Jerman, yang telah menjual akses mereka ke KGB, dinas intelijen Moskow.

Moonlight Maze

Satu dekade kemudian, pada pertengahan 1990-an, kampanye spionase siber besar pertama yang dilakukan oleh badan intelijen negara terungkap.

Dengan code name Moonlight Maze, beberapa detail tetap dirahasiakan. Tapi ini adalah sekelompok peretas kelas atas yang bekerja secara “rendah dan lambat” untuk mencuri rahasia militer AS melalui backdoor.

Penyelidik AS yakin mereka tahu siapa di baliknya. Para penyerang bekerja pukul 08:00 hingga 17:00 waktu Moskow (tetapi tidak pernah pada hari libur Rusia) dan bahasa Rusia ditemukan dalam kode tersebut. Moskow membantah semuanya, dan menghentikan penyelidikan.

Buckshot Yankee

Pada tahun 2008, USB stick yang berisi malware – kemungkinan ditemukan di tempat parkir mobil di pangkalan militer di luar negeri – mengguncang Washington. USB tersebut memungkinkan peretas untuk menembus sistem militer AS yang diklasifikasikan yang seharusnya tetap offline.

Butuh waktu empat bulan bagi seorang analis untuk menemukan pelanggaran di Komando Pusat AS dan melakukan pembersihan, dengan nama sandi Buckshot Yankee, membutuhkan waktu lebih lama. Dan hal ini memiliki kaitan dengan grup yang sama yang berada di belakang Moonlight Maze.

The Democrats

Selama pemilihan presiden AS 2016, ternyata tidak hanya satu, tetapi dua, tim peretas dinas intelijen Rusia berada di dalam partai Demokrat.

Tim dari badan intelijen asing, SVR, tetap menyamar – tetapi tim intelijen militer dari GRU – Fancy Bear – memiliki rencana yang berbeda. Mereka membocorkan materi yang dicurinya, menyebabkan gangguan dan, bisa dibilang, berperan dalam menggeser jalannya pemilu.

Setelah kejadian itu, dalam pemilihan presiden 2020, perusahaan dan pejabat waspada terhadap campur tangan pemilu dari Rusia.

Tetapi apa yang tidak mereka sadari adalah bahwa spionase tradisional terus berlanjut tanpa diketahui – dengan intelijen Rusia lagi-lagi diyakini sebagai pelakunya. Sekali lagi Moskow membantah peran apa pun.

Sunburst

Dampak pasti dari pelanggaran Sunburst, melalui perusahaan SolarWinds, masih belum jelas. Meskipun demikian, pejabat federal berbicara tentang “risiko besar” karena skala kemungkinan kompromi departemen, perusahaan dan organisasi.

Ini bukan “spionase seperti biasa”, kata Presiden Microsoft Brad Smith.

Tetapi beberapa orang tidak setuju, dan menyebutnya sebagai spionase rutin. Mereka menambahkan bahwa AS bukan hanya korbannya, tetapi juga pelaku peretasan jenis ini. Pengungkapan Snowden tahun 2013 menunjukkan bahwa AS (dan Inggris) lebih dari mampu untuk menargetkan rahasia negara lain dengan mengorbankan perangkat keras dan perangkat lunak dari perusahaan terkemuka – dengan cara yang tidak jauh berbeda dengan pelanggaran terbaru ini.

Sumber: BBC