Cybersecurity

Penjahat dunia maya telah mulai mengindeks Dark Web

December 23, 2020 by Winnie the Pooh

Penelitian baru dari Digital Shadows telah menemukan layanan pengindeksan web gelap cerdas yang disebut QUO. Meskipun ada layanan serupa di luar sana, QUO perlahan-lahan membangun reputasi sebagai toko serba ada bagi pengguna selain penjahat dunia maya di web gelap.

Menurut halaman tentang layanan, QUO adalah “web gelap, mesin pencari teks lengkap yang dirancang untuk membuat indeks halaman bawang yang terus diperbarui” untuk menyediakan cara bagi penggunanya untuk “menjelajahi web gelap dengan cepat dan tanpa nama, tanpa log, cookie, dan JavaScript ”. Pada saat penulisan, indeks QUO berisi lebih dari 200 GB data sekitar delapan juta halaman dari sekitar 20.000 ribu situs termasuk URL, judul, metadata, kata kunci, dan judulnya.

Sementara Quo menandai setiap domain Onion yang diindeksnya sebagai online, offline, atau daftar hitam, ia juga memiliki fungsi yang memungkinkan penggunanya melaporkan domain yang berisi konten tidak pantas yang mungkin telah lolos dari proses pemeriksaannya.

Pada surface web, Semua situs web yang Anda kunjungi secara teratur mudah ditemukan secara online karena telah diindeks oleh mesin pencari seperti Google, sedangkan situs di web gelap seringkali sulit ditemukan tanpa mengetahui alamat pastinya karena tidak diindeks.

Source : techradar

VMware mengkonfirmasi adanya pelanggaran dalam kampanye peretasan SolarWinds

December 22, 2020 by Winnie the Pooh

VMware adalah perusahaan terbaru yang mengonfirmasi bahwa sistemnya telah dilanggar dalam serangan SolarWinds baru-baru ini tetapi membantah upaya eksploitasi lebih lanjut.

Perusahaan mengatakan bahwa para peretas tidak melakukan upaya apa pun untuk mengeksploitasi akses mereka lebih lanjut setelah menggunakan backdoor yang sekarang dilacak sebagai Sunburst atau Solarigate.

“Meskipun kami telah mengidentifikasi contoh terbatas dari perangkat lunak SolarWinds Orion yang rentan di lingkungan internal kami sendiri, penyelidikan internal kami sendiri belum mengungkapkan indikasi eksploitasi,” kata perusahaan itu dalam sebuah pernyataan.

“Ini juga telah dikonfirmasi oleh investigasi SolarWinds sendiri hingga saat ini,” tambah VMware.

VMware juga membantah laporan media bahwa kerentanan zero-day di beberapa produk VMware yang dilaporkan oleh NSA digunakan sebagai vektor serangan tambahan selain platform SolarWinds Orion untuk mengganggu target profil tinggi.

Kerentanan yang dilacak sebagai CVE 2020-4006 telah diungkapkan secara publik pada bulan November dan ditangani selama awal Desember.

Meskipun CVE-2020-4006 tidak disalahgunakan dalam pelanggaran apa pun yang terkait dengan serangan rantai pasokan SolarWinds, VMware mengatakan bahwa semua pelanggan harus menerapkan pembaruan keamanan untuk produk yang terpengaruh.

Sumber: Bleeping Computer

Security Breach yang menimpa Microsoft Azure menyebabkan ribuan data pelanggan terungkap

December 22, 2020 by Winnie the Pooh

Berkat praktik keamanan yang dipertanyakan oleh pengembang aplikasi, lebih dari setengah juta dokumen sensitif pelanggannya terungkap di Internet. Dokumen tersebut disimpan di penyimpanan blob Microsoft Azure yang tidak dilindungi dan dapat dilihat oleh siapa saja yang memiliki alamat langsung dari file tersebut, tanpa otentikasi apa pun.

Penyimpanan Azure Blob adalah fitur Microsoft Azure yang memungkinkan pengguna menyimpan data tidak terstruktur dalam jumlah besar di platform penyimpanan data Microsoft.

Blob tidak aman tersebut dikelola oleh pengembang aplikasi berbasis di Surrey, Probase dan menurut The Register, itu berisi 587.000 file, mulai dari email yang di-backup hingga surat, spreadsheet, tangkapan layar, dan banyak lagi.

Blob tersebut berisi penilaian kesehatan kerja, dokumen klaim asuransi dari perusahaan AS yang ditanggung oleh Lloyds of London, dan pendapat pribadi pengacara senior tentang rekan junior yang mengajukan promosi.

Namun yang lebih mengkhawatirkan, blob itu juga menyertakan dokumentasi keamanan pengiriman FedEx, bersama dengan data medis yang sangat sensitif, dan setidaknya satu paspor yang telah dipindai.

Saat dimintai keterangan, direktur Probase Paul Brown, tidak berkomentar tentang berapa lama blob tersebut tidak diamankan, tetapi mengatakan bahwa mereka bekerja sama dengan Kantor Komisaris Informasi untuk menyelesaikan masalah tersebut.

Sumber: Tech Radar

Sekitar 50 perusahaan ‘benar-benar terpengaruh’ oleh serangan siber yang menimpa AS

December 22, 2020 by Winnie the Pooh

Kevin Mandia, CEO FireEye, mengatakan bahwa sementara sekitar 18.000 organisasi memiliki kode berbahaya di jaringan mereka, ada 50 organisasi yang mengalami pelanggaran besar.

Departemen Keuangan AS dan departemen keamanan dalam negeri, negara bagian dan pertahanan diketahui telah menjadi sasaran. Menteri Luar Negeri AS Mike Pompeo menyalahkan Rusia atas peretasan tersebut.

Mr Mandia mengatakan kepada CBS News bahwa serangan siber “sangat konsisten” dan dikaitkan dengan pekerjaan badan intelijen luar negeri Rusia, SVR.

“Saya pikir ini adalah orang-orang yang kami tangani di tahun 90-an, di awal tahun 2000-an. Ini adalah permainan yang berkelanjutan di dunia maya,” katanya.

Terlepas dari penolakan Rusia atas klaim “tak berdasar”, banyak komunitas intelijen AS mencurigai pemerintah Rusia yang bertanggung jawab atas peretasan besar ini.

Seperti yang telah diberitakan baru-baru ini, peretas berhasil mendapatkan akses ke organisasi besar dengan mengorbankan perangkat lunak manajemen jaringan yang dikembangkan oleh perusahaan IT SolarWinds yang berbasis di Texas.

Akses tersebut dapat memungkinkan para peretas untuk mengambil kendali tingkat tinggi atas jaringan organisasi yang menggunakan perangkat lunak tersebut, namun tampaknya telah digunakan untuk mencuri data daripada untuk dampak yang mengganggu atau merusak.

Beberapa organisasi lain di seluruh dunia, termasuk di Inggris, diketahui telah menjadi sasaran peretas yang menggunakan perangkat lunak manajemen jaringan yang sama.

Sumber: BBC

Grup peretasan kedua telah menargetkan sistem SolarWinds

December 22, 2020 by Winnie the Pooh

Ketika bukti forensik perlahan-lahan digali setelah serangan rantai pasokan SolarWinds, peneliti keamanan telah menemukan pelaku ancaman kedua yang telah mengeksploitasi perangkat lunak SolarWinds untuk menanam malware di jaringan perusahaan dan pemerintah.

Rincian tentang aktor ancaman kedua ini masih langka, tetapi peneliti keamanan tidak percaya entitas kedua ini terkait dengan dugaan peretas yang didukung pemerintah Rusia yang melanggar SolarWinds untuk memasukkan malware ke dalam aplikasi resmi Orion.

Malware yang digunakan dalam serangan asli, dengan nama sandi Sunburst (atau Solorigate), dikirimkan ke pelanggan SolarWinds sebagai pembaruan yang di-boobytrapped untuk aplikasi Orion.

Tetapi dalam beberapa hari pertama setelah pengungkapan publik dari peretasan SolarWinds, laporan awal menyebutkan dua muatan tahap kedua.

Laporan dari Guidepoint, Symantec, dan Palo Alto Networks merinci bagaimana penyerang juga menanam web shell .NET bernama Supernova. Peneliti keamanan percaya bahwa penyerang menggunakan web shell Supernova untuk mengunduh, mengkompilasi, dan mengeksekusi skrip Powershell yang berbahaya (yang oleh beberapa orang dinamai CosmicGale).

Namun, dalam analisis tindak lanjut dari tim keamanan Microsoft, sekarang diklarifikasi bahwa web shell Supernova bukan bagian dari rantai serangan asli.

Kebingungan bahwa Supernova terkait dengan rantai serangan Sunburst + Teardrop berasal dari fakta bahwa sama seperti Sunburst, Supernova menyamar sebagai DLL untuk aplikasi Orion – dengan Sunburst disembunyikan di dalam file SolarWinds.Orion.Core.BusinessLayer.dll dan Supernova di dalam App_Web_logoimagehandler.ashx.b6031896.dll.

Sumber: ZDNet

SolarWinds adalah puncak gunung es

December 22, 2020 by Winnie the Pooh

Serangan rantai pasokan perangkat lunak SolarWinds baru-baru ini merupakan indikasi jelas bahwa OT (Operational Technology) Cybersecurity yang kuat harus dimiliki dalam lingkungan ancaman saat ini.

Pelanggaran SolarWinds hanya menunjukkan bahwa lingkungan ancaman siber terus memburuk. Malware SUNBURST dan SUPERNOVA yang dimasukkan ke dalam pembaruan perangkat lunak SolarWinds Orion hanyalah contoh terbaru dari serangan rantai pasokan perangkat lunak.

Serangan sebelumnya termasuk NotPetya dan Havex. Keduanya adalah malware yang dimasukkan ke dalam pembaruan perangkat lunak yang sah di situs web vendor yang sah dan memengaruhi banyak perusahaan industri.

Teknik dan teknologi serangan yang ditunjukkan dalam pelanggaran SolarWinds hanyalah yang terbaru untuk menerobos jaringan TI dan OT yang hanya menggunakan pertahanan perangkat lunak. Hanya ada banyak hal yang dapat dilakukan oleh firewall, sistem anti-virus, sistem deteksi intrusi, dan sejenisnya untuk kita. Musuh kita telah lama mengetahui hal ini dan mengalahkan pertahanan perangkat lunak secara lebih rutin setiap minggu.

Selain itu, SolarWinds Orion hanyalah salah satu dari banyak aplikasi yang banyak digunakan yang, jika dikompromikan, dapat digunakan untuk memanipulasi dan merusak sebagian besar infrastruktur industri.

Grup ransomware dan musuh lainnya tidak akan lama lagi memasang serangan rantai pasokan perangkat lunak mereka sendiri. Mereka memiliki banyak target vendor untuk dipilih.

Sekali lagi, waktunya telah tiba untuk perlindungan yang didukung perangkat keras untuk jaringan industri & OT. Pembangkit listrik, jaringan pipa, sistem rel, pabrik, dan banyak lainnya terlalu penting untuk dibiarkan begitu saja.

Sumber: Help Net Security

Kegilaan peretasan Rusia adalah sebuah pembalasan

December 22, 2020 by Winnie the Pooh

Minggu lalu, beberapa badan pemerintah utama Amerika Serikat — termasuk Departemen Keamanan Dalam Negeri, Perdagangan, Perbendaharaan — menemukan bahwa sistem digital mereka telah dibobol oleh peretas Rusia dalam operasi spionase selama berbulan-bulan.

Luas dan dalamnya serangan akan memakan waktu berbulan-bulan, jika tidak lebih lama, untuk dipahami sepenuhnya. Tapi sudah jelas bahwa mereka mewakili momen pembalasan, baik untuk pemerintah federal dan industri TI yang memasoknya.

Amerika Serikat telah banyak berinvestasi dalam deteksi ancaman; sistem bernilai miliaran dolar yang dikenal sebagai Einstein berpatroli di jaringan pemerintah federal untuk mencari malware dan indikasi serangan. Namun seperti yang dirinci dalam laporan Kantor Akuntabilitas Pemerintah 2018, Einstein efektif dalam mengidentifikasi ancaman yang diketahui. Ini seperti penjaga pintu yang tidak memasukkan semua orang dalam daftar mereka tetapi menutup mata terhadap nama-nama yang tidak mereka kenali.

Itu membuat Einstein tidak mampu menghadapi serangan canggih seperti Rusia. Para peretas menggunakan backdoor SolarWinds Orion mereka untuk mendapatkan akses ke jaringan target. Mereka kemudian duduk diam hingga dua minggu sebelum dengan sangat hati-hati dan sengaja bergerak di dalam jaringan korban untuk mendapatkan kendali yang lebih dalam dan mengekstrak data.

“Ini pasti adalah sebuah pembalasan,” kata Jake Williams, mantan hacker NSA dan pendiri firma keamanan Rendition Infosec. “Ini pada dasarnya sangat sulit untuk diatasi, karena serangan rantai pasokan sangat sulit dideteksi. Ini seperti penyerang yang teleportasi entah dari mana.”

Sumber: Ars Technica

Mantan penghubung Zoom PRC dicari atas tuduhan terkait pelecehan karena mengganggu panggilan peringatan Tienanmen

December 21, 2020 by Winnie the Pooh

Departemen Kehakiman Amerika Serikat (DoJ) membuka segel surat pengaduan dan penangkapan pada hari Jumat terhadap penghubung Zoom yang sekarang dipecat dengan pemerintah China, Xinjiang Jin.

Dalam perannya di Zoom, Jin diduga menanggapi permintaan dari Beijing untuk informasi tentang pengguna dan rapat. Dia juga diduga mengakhiri pertemuan yang membahas topik-topik yang menurut China bermasalah. DoJ mengatakan Jin menyerahkan informasi termasuk nama, alamat email, dan alamat IP orang di luar China yang diminati Beijing.

Diduga antara Mei dan Juni, Jin dan yang lainnya menyusup ke pertemuan Zoom untuk mengumpulkan bukti dan bukti palsu untuk mengakhiri pertemuan dan melarang pengguna.

DoJ mengatakan Beijing menggunakan informasi yang dikumpulkan untuk membalas mereka yang hadir dalam pertemuan atau anggota keluarga mereka yang berbasis di China.

Menurut pengaduan, Jin didakwa dengan satu tuduhan persekongkolan untuk melakukan pelecehan antarnegara dan tuduhan lain atas persekongkolan yang melanggar hukum untuk mentransfer alat identifikasi. Jika terbukti bersalah atas kedua dakwaan tersebut, dia bisa menghadapi hukuman 10 tahun penjara.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings