Cyber Attack

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

December 29, 2020 by Winnie the Pooh

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Perusahaan teknologi besar termasuk Intel, Nvidia, dan Cisco semuanya terinfeksi selama peretasan SolarWinds

December 23, 2020 by Winnie the Pooh

Minggu lalu, tersiar kabar bahwa perusahaan manajemen TI SolarWinds telah diretas, diduga oleh pemerintah Rusia, dan departemen Keuangan, Perdagangan, Negara, Energi, dan Keamanan Dalam Negeri AS telah terpengaruh – dua di antaranya mungkin telah dicuri emailnya akibat peretasan tersebut.

The Wall Street Journal sekarang melaporkan bahwa beberapa perusahaan teknologi besar telah terinfeksi juga. Cisco, Intel, Nvidia, Belkin, dan VMware semuanya memiliki komputer di jaringan mereka yang terinfeksi malware.

Mungkin ada lebih banyak lagi: SolarWinds telah menyatakan bahwa “kurang dari 18.000” perusahaan terkena dampak, seolah-olah angka itu seharusnya meyakinkan, dan bahkan berusaha menyembunyikan daftar klien yang menggunakan perangkat lunak yang terinfeksi.

Ada berbagai macam alasan mengapa grup peretas mungkin ingin masuk ke sistem perusahaan teknologi besar, termasuk akses ke paket produk di masa mendatang atau informasi karyawan dan pelanggan yang dapat dijual atau ditahan untuk mendapatkan tebusan, dengan asumsi mereka benar-benar mencari info tersebut.

Namun, mungkin juga perusahaan-perusahaan ini hanyalah “bonus” karena kelompok peretas ini mengejar lembaga pemerintah, yang kebetulan menggunakan sistem manajemen TI yang disediakan SolarWinds.

Sumber: The Verge

Lima peretasan Rusia yang mengubah keamanan siber AS

December 21, 2020 by Winnie the Pooh

Cuckoo’s Egg

Cliff Stoll menjaga jaringan komputer di labnya. Pada tahun 1986, dia melihat seseorang masuk untuk menggunakan komputer tanpa membayar. Dalam beberapa bulan mendatang, dia akan mengikuti jejak mereka dan mengamati pihak tak dikenal yang mencari data terkait militer.

Dalam bukunya, Cuckoo’s Egg, Stoll mengungkapkan bagaimana dia akhirnya melacak login ke sekelompok peretas di Jerman, yang telah menjual akses mereka ke KGB, dinas intelijen Moskow.

Moonlight Maze

Satu dekade kemudian, pada pertengahan 1990-an, kampanye spionase siber besar pertama yang dilakukan oleh badan intelijen negara terungkap.

Dengan code name Moonlight Maze, beberapa detail tetap dirahasiakan. Tapi ini adalah sekelompok peretas kelas atas yang bekerja secara “rendah dan lambat” untuk mencuri rahasia militer AS melalui backdoor.

Penyelidik AS yakin mereka tahu siapa di baliknya. Para penyerang bekerja pukul 08:00 hingga 17:00 waktu Moskow (tetapi tidak pernah pada hari libur Rusia) dan bahasa Rusia ditemukan dalam kode tersebut. Moskow membantah semuanya, dan menghentikan penyelidikan.

Buckshot Yankee

Pada tahun 2008, USB stick yang berisi malware – kemungkinan ditemukan di tempat parkir mobil di pangkalan militer di luar negeri – mengguncang Washington. USB tersebut memungkinkan peretas untuk menembus sistem militer AS yang diklasifikasikan yang seharusnya tetap offline.

Butuh waktu empat bulan bagi seorang analis untuk menemukan pelanggaran di Komando Pusat AS dan melakukan pembersihan, dengan nama sandi Buckshot Yankee, membutuhkan waktu lebih lama. Dan hal ini memiliki kaitan dengan grup yang sama yang berada di belakang Moonlight Maze.

The Democrats

Selama pemilihan presiden AS 2016, ternyata tidak hanya satu, tetapi dua, tim peretas dinas intelijen Rusia berada di dalam partai Demokrat.

Tim dari badan intelijen asing, SVR, tetap menyamar – tetapi tim intelijen militer dari GRU – Fancy Bear – memiliki rencana yang berbeda. Mereka membocorkan materi yang dicurinya, menyebabkan gangguan dan, bisa dibilang, berperan dalam menggeser jalannya pemilu.

Setelah kejadian itu, dalam pemilihan presiden 2020, perusahaan dan pejabat waspada terhadap campur tangan pemilu dari Rusia.

Tetapi apa yang tidak mereka sadari adalah bahwa spionase tradisional terus berlanjut tanpa diketahui – dengan intelijen Rusia lagi-lagi diyakini sebagai pelakunya. Sekali lagi Moskow membantah peran apa pun.

Sunburst

Dampak pasti dari pelanggaran Sunburst, melalui perusahaan SolarWinds, masih belum jelas. Meskipun demikian, pejabat federal berbicara tentang “risiko besar” karena skala kemungkinan kompromi departemen, perusahaan dan organisasi.

Ini bukan “spionase seperti biasa”, kata Presiden Microsoft Brad Smith.

Tetapi beberapa orang tidak setuju, dan menyebutnya sebagai spionase rutin. Mereka menambahkan bahwa AS bukan hanya korbannya, tetapi juga pelaku peretasan jenis ini. Pengungkapan Snowden tahun 2013 menunjukkan bahwa AS (dan Inggris) lebih dari mampu untuk menargetkan rahasia negara lain dengan mengorbankan perangkat keras dan perangkat lunak dari perusahaan terkemuka – dengan cara yang tidak jauh berbeda dengan pelanggaran terbaru ini.

Sumber: BBC

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

December 18, 2020 by Winnie the Pooh

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Raksasa elektronik Foxconn terkena ransomware, tebusan $34 juta

December 15, 2020 by Winnie the Pooh

Raksasa elektronik Foxconn mengalami serangan ransomware di fasilitas Meksiko selama akhir pekan Thanksgiving, di mana penyerang mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat.

Foxconn adalah perusahaan manufaktur elektronik terbesar di dunia, dengan pendapatan tercatat $172 miliar pada 2019 dan lebih dari 800.000 karyawan di seluruh dunia. Anak perusahaan Foxconn termasuk Sharp Corporation, Innolux, FIH Mobile, dan Belkin.

Operator ransomware DoppelPaymer menerbitkan file milik Foxconn NA di situs kebocoran data ransomware mereka. Data yang bocor termasuk dokumen dan laporan bisnis umum tetapi tidak berisi informasi keuangan atau detail pribadi karyawan.

Sejak serangan itu, situs web fasilitas tersebut tidak dapat diakses dan saat ini menunjukkan kesalahan kepada pengunjung.

Beberapa sumber juga telah membagikan catatan tebusan yang dibuat di server Foxconn selama serangan ransomware, seperti yang dapat dilihat di bawah.

Dalam sebuah wawancara dengan DoppelPaymer, geng ransomware mengkonfirmasi bahwa mereka menyerang fasilitas Foxconn di Amerika Utara pada tanggal 29 November tetapi tidak menyerang seluruh perusahaan.

Sebagai bagian dari serangan ini, pelaku ancaman mengklaim telah mengenkripsi sekitar 1.200 server, mencuri 100 GB file tidak terenkripsi, dan menghapus cadangan 20-30 TB.

Dalam sebuah pernyataan kepada BleepingComputer, Foxconn mengkonfirmasi serangan itu dan mengatakan mereka perlahan-lahan mengembalikan sistem mereka.

Sumber: Bleeping Computer

Ransomware: Varian baru ini bisa menjadi ancaman malware besar berikutnya bagi bisnis Anda

November 27, 2020 by Winnie the Pooh

Bentuk baru ransomware menjadi semakin produktif karena penjahat dunia maya menggunakannya sebagai cara yang disukai untuk mengenkripsi jaringan yang rentan dalam upaya mengeksploitasi bitcoin dari para korban. Egregor ransomware pertama kali muncul pada bulan September tetapi telah menjadi terkenal setelah beberapa insiden terkenal, termasuk serangan terhadap penjual buku Barnes & Noble, serta perusahaan video game Ubisoft dan Crytek.

Seperti semua geng ransomware, motif utama di balik Egregor adalah uang dan untuk mendapatkan kesempatan terbaik untuk memeras pembayaran, geng tersebut menggunakan taktik umum yang umum terjadi setelah serangan ransomware – mengancam untuk merilis informasi pribadi yang dicuri dari sekian korban jika mereka tidak membayar. Dalam beberapa kasus, penyerang akan merilis potongan informasi dengan catatan tebusan, sebagai bukti kesungguhan mereka.

Salah satu alasan Egregor tiba-tiba melonjak jumlahnya tampaknya karena itu mengisi celah yang dibiarkan terbuka oleh pengunduran diri geng ransomware Maze. Egregor ransomware masih baru, jadi belum sepenuhnya jelas bagaimana operatornya menyusupi jaringan korban. Para peneliti mencatat bahwa kode tersebut sangat dikaburkan dengan cara yang tampaknya dirancang secara khusus untuk menghindari tim keamanan informasi dapat menganalisis malware.

Organisasi dapat melindungi diri mereka sendiri dari ransomware Egregor dan serangan malware lainnya dengan menggunakan protokol keamanan informasi seperti otentikasi multi-faktor, jadi jika nama pengguna dan kata sandi disusupi oleh penyerang, ada penghalang tambahan yang mencegah mereka untuk mengeksploitasinya. Dan untuk lapisan perlindungan ekstra terhadap serangan ransomware, organisasi harus secara teratur membuat cadangan jaringan mereka dan menyimpannya secara offline, jadi jika yang terburuk terjadi dan jaringan dienkripsi, itu dapat dipulihkan secara relatif tanpa menyerah pada tuntutan pemerasan dari peretas.

sumber : ZDNET

Peretasan besar-besaran yang didanai negara China menghantam perusahaan di seluruh dunia, menurut laporan

November 21, 2020 by Winnie the Pooh

Peneliti telah menemukan kampanye peretasan besar-besaran yang menggunakan alat dan teknik canggih untuk menyusupi jaringan perusahaan di seluruh dunia. Para peretas, kemungkinan besar dari kelompok terkenal yang didanai oleh pemerintah China, dilengkapi dengan alat siap pakai dan alat yang dibuat khusus. Salah satu alat tersebut mengeksploitasi Zerologon, nama yang diberikan untuk kerentanan server Windows, yang ditambal pada bulan Agustus, yang dapat memberi penyerang hak istimewa administrator instan pada sistem yang rentan.

Symantec menggunakan nama kode Cicada untuk grup tersebut, yang diyakini secara luas didanai oleh pemerintah China dan juga membawa nama APT10, Stone Panda, dan Cloud Hopper dari organisasi penelitian lain. Grup, yang tidak memiliki hubungan atau afiliasi dengan perusahaan mana pun yang menggunakan nama Cicada, telah aktif dalam peretasan bergaya spionase setidaknya sejak 2009 dan hampir secara eksklusif menargetkan perusahaan yang terkait dengan Jepang. Meskipun perusahaan yang ditargetkan dalam kampanye baru-baru ini berlokasi di Amerika Serikat dan negara lain, semuanya memiliki hubungan dengan Jepang atau perusahaan Jepang.

Symantec menghubungkan serangan tersebut ke Cicada berdasarkan sidik jari digital yang ditemukan di malware dan kode serangan. Sidik jari termasuk obfuscation techniques dan kode shell yang terlibat dalam pemuatan samping DLL serta ciri-ciri berikut yang dicatat dalam laporan tahun 2019 ini dari perusahaan keamanan Cylance:
1. DLL tahap ketiga memiliki ekspor bernama “FuckYouAnti”
2. DLL tahap ketiga menggunakan teknik CppHostCLR untuk menginjeksi dan menjalankan rakitan loader .NET
3. .NET Loader dikaburkan dengan ConfuserEx v1.0.0
4. Muatan terakhir adalah QuasarRAT — backdoor open source yang digunakan oleh Cicada di masa lalu

sumber : Arstechnica

Hacker membagikan 3,2 Juta akun Pluto TV di Forum

November 16, 2020 by Winnie the Pooh

Pluto TV, layanan televisi Internet yang menyiarkan streaming acara TV gratis dengan iklan dengan lebih dari 28 juta anggota, dan aplikasi selulernya telah diinstal lebih dari 10 juta kali, telah mengalami kebocoran data pada minggu lalu.

Dipublish oleh ShinyHuynter, akun peretas yang bertanggung jawab pada banyak insiden databreach, seperti Github private repositroy, Animal Jam, 123RF, Geekie, Athletico, Wongnai, Redmart, dan lainnya.

Contoh database yang dibagikan berisi nama tampilan anggota, alamat email, kata sandi hash bcrypt, tanggal lahir, platform perangkat, dan alamat IP yang berasalah dari tahun 2018.

Pluto TV belum memberikan konfirmasi terkait insiden ini, namun Pengguna Pluto TV dihimbau untuk segera mengganti password.

Source : BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.