Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Grup peretasan kedua telah menargetkan sistem SolarWinds

by

Ketika bukti forensik perlahan-lahan digali setelah serangan rantai pasokan SolarWinds, peneliti keamanan telah menemukan pelaku ancaman kedua yang telah mengeksploitasi perangkat lunak SolarWinds untuk menanam malware di jaringan perusahaan dan pemerintah.

Rincian tentang aktor ancaman kedua ini masih langka, tetapi peneliti keamanan tidak percaya entitas kedua ini terkait dengan dugaan peretas yang didukung pemerintah Rusia yang melanggar SolarWinds untuk memasukkan malware ke dalam aplikasi resmi Orion.

Malware yang digunakan dalam serangan asli, dengan nama sandi Sunburst (atau Solorigate), dikirimkan ke pelanggan SolarWinds sebagai pembaruan yang di-boobytrapped untuk aplikasi Orion.

Tetapi dalam beberapa hari pertama setelah pengungkapan publik dari peretasan SolarWinds, laporan awal menyebutkan dua muatan tahap kedua.

Laporan dari Guidepoint, Symantec, dan Palo Alto Networks merinci bagaimana penyerang juga menanam web shell .NET bernama Supernova. Peneliti keamanan percaya bahwa penyerang menggunakan web shell Supernova untuk mengunduh, mengkompilasi, dan mengeksekusi skrip Powershell yang berbahaya (yang oleh beberapa orang dinamai CosmicGale).

Namun, dalam analisis tindak lanjut dari tim keamanan Microsoft, sekarang diklarifikasi bahwa web shell Supernova bukan bagian dari rantai serangan asli.

Kebingungan bahwa Supernova terkait dengan rantai serangan Sunburst + Teardrop berasal dari fakta bahwa sama seperti Sunburst, Supernova menyamar sebagai DLL untuk aplikasi Orion – dengan Sunburst disembunyikan di dalam file SolarWinds.Orion.Core.BusinessLayer.dll dan Supernova di dalam App_Web_logoimagehandler.ashx.b6031896.dll.

Sumber: ZDNet

SolarWinds adalah puncak gunung es

by

Serangan rantai pasokan perangkat lunak SolarWinds baru-baru ini merupakan indikasi jelas bahwa OT (Operational Technology) Cybersecurity yang kuat harus dimiliki dalam lingkungan ancaman saat ini.

Pelanggaran SolarWinds hanya menunjukkan bahwa lingkungan ancaman siber terus memburuk. Malware SUNBURST dan SUPERNOVA yang dimasukkan ke dalam pembaruan perangkat lunak SolarWinds Orion hanyalah contoh terbaru dari serangan rantai pasokan perangkat lunak.

Serangan sebelumnya termasuk NotPetya dan Havex. Keduanya adalah malware yang dimasukkan ke dalam pembaruan perangkat lunak yang sah di situs web vendor yang sah dan memengaruhi banyak perusahaan industri.

Teknik dan teknologi serangan yang ditunjukkan dalam pelanggaran SolarWinds hanyalah yang terbaru untuk menerobos jaringan TI dan OT yang hanya menggunakan pertahanan perangkat lunak. Hanya ada banyak hal yang dapat dilakukan oleh firewall, sistem anti-virus, sistem deteksi intrusi, dan sejenisnya untuk kita. Musuh kita telah lama mengetahui hal ini dan mengalahkan pertahanan perangkat lunak secara lebih rutin setiap minggu.

Selain itu, SolarWinds Orion hanyalah salah satu dari banyak aplikasi yang banyak digunakan yang, jika dikompromikan, dapat digunakan untuk memanipulasi dan merusak sebagian besar infrastruktur industri.

Grup ransomware dan musuh lainnya tidak akan lama lagi memasang serangan rantai pasokan perangkat lunak mereka sendiri. Mereka memiliki banyak target vendor untuk dipilih.

Sekali lagi, waktunya telah tiba untuk perlindungan yang didukung perangkat keras untuk jaringan industri & OT. Pembangkit listrik, jaringan pipa, sistem rel, pabrik, dan banyak lainnya terlalu penting untuk dibiarkan begitu saja.

Sumber: Help Net Security

Kegilaan peretasan Rusia adalah sebuah pembalasan

by

Minggu lalu, beberapa badan pemerintah utama Amerika Serikat — termasuk Departemen Keamanan Dalam Negeri, Perdagangan, Perbendaharaan — menemukan bahwa sistem digital mereka telah dibobol oleh peretas Rusia dalam operasi spionase selama berbulan-bulan.

Luas dan dalamnya serangan akan memakan waktu berbulan-bulan, jika tidak lebih lama, untuk dipahami sepenuhnya. Tapi sudah jelas bahwa mereka mewakili momen pembalasan, baik untuk pemerintah federal dan industri TI yang memasoknya.

Amerika Serikat telah banyak berinvestasi dalam deteksi ancaman; sistem bernilai miliaran dolar yang dikenal sebagai Einstein berpatroli di jaringan pemerintah federal untuk mencari malware dan indikasi serangan. Namun seperti yang dirinci dalam laporan Kantor Akuntabilitas Pemerintah 2018, Einstein efektif dalam mengidentifikasi ancaman yang diketahui. Ini seperti penjaga pintu yang tidak memasukkan semua orang dalam daftar mereka tetapi menutup mata terhadap nama-nama yang tidak mereka kenali.

Itu membuat Einstein tidak mampu menghadapi serangan canggih seperti Rusia. Para peretas menggunakan backdoor SolarWinds Orion mereka untuk mendapatkan akses ke jaringan target. Mereka kemudian duduk diam hingga dua minggu sebelum dengan sangat hati-hati dan sengaja bergerak di dalam jaringan korban untuk mendapatkan kendali yang lebih dalam dan mengekstrak data.

“Ini pasti adalah sebuah pembalasan,” kata Jake Williams, mantan hacker NSA dan pendiri firma keamanan Rendition Infosec. “Ini pada dasarnya sangat sulit untuk diatasi, karena serangan rantai pasokan sangat sulit dideteksi. Ini seperti penyerang yang teleportasi entah dari mana.”

Sumber: Ars Technica

Mantan penghubung Zoom PRC dicari atas tuduhan terkait pelecehan karena mengganggu panggilan peringatan Tienanmen

by

Departemen Kehakiman Amerika Serikat (DoJ) membuka segel surat pengaduan dan penangkapan pada hari Jumat terhadap penghubung Zoom yang sekarang dipecat dengan pemerintah China, Xinjiang Jin.

Dalam perannya di Zoom, Jin diduga menanggapi permintaan dari Beijing untuk informasi tentang pengguna dan rapat. Dia juga diduga mengakhiri pertemuan yang membahas topik-topik yang menurut China bermasalah. DoJ mengatakan Jin menyerahkan informasi termasuk nama, alamat email, dan alamat IP orang di luar China yang diminati Beijing.

Diduga antara Mei dan Juni, Jin dan yang lainnya menyusup ke pertemuan Zoom untuk mengumpulkan bukti dan bukti palsu untuk mengakhiri pertemuan dan melarang pengguna.

DoJ mengatakan Beijing menggunakan informasi yang dikumpulkan untuk membalas mereka yang hadir dalam pertemuan atau anggota keluarga mereka yang berbasis di China.

Menurut pengaduan, Jin didakwa dengan satu tuduhan persekongkolan untuk melakukan pelecehan antarnegara dan tuduhan lain atas persekongkolan yang melanggar hukum untuk mentransfer alat identifikasi. Jika terbukti bersalah atas kedua dakwaan tersebut, dia bisa menghadapi hukuman 10 tahun penjara.

Sumber: ZDNet

Lima peretasan Rusia yang mengubah keamanan siber AS

by

Cuckoo’s Egg

Cliff Stoll menjaga jaringan komputer di labnya. Pada tahun 1986, dia melihat seseorang masuk untuk menggunakan komputer tanpa membayar. Dalam beberapa bulan mendatang, dia akan mengikuti jejak mereka dan mengamati pihak tak dikenal yang mencari data terkait militer.

Dalam bukunya, Cuckoo’s Egg, Stoll mengungkapkan bagaimana dia akhirnya melacak login ke sekelompok peretas di Jerman, yang telah menjual akses mereka ke KGB, dinas intelijen Moskow.

Moonlight Maze

Satu dekade kemudian, pada pertengahan 1990-an, kampanye spionase siber besar pertama yang dilakukan oleh badan intelijen negara terungkap.

Dengan code name Moonlight Maze, beberapa detail tetap dirahasiakan. Tapi ini adalah sekelompok peretas kelas atas yang bekerja secara “rendah dan lambat” untuk mencuri rahasia militer AS melalui backdoor.

Penyelidik AS yakin mereka tahu siapa di baliknya. Para penyerang bekerja pukul 08:00 hingga 17:00 waktu Moskow (tetapi tidak pernah pada hari libur Rusia) dan bahasa Rusia ditemukan dalam kode tersebut. Moskow membantah semuanya, dan menghentikan penyelidikan.

Buckshot Yankee

Pada tahun 2008, USB stick yang berisi malware – kemungkinan ditemukan di tempat parkir mobil di pangkalan militer di luar negeri – mengguncang Washington. USB tersebut memungkinkan peretas untuk menembus sistem militer AS yang diklasifikasikan yang seharusnya tetap offline.

Butuh waktu empat bulan bagi seorang analis untuk menemukan pelanggaran di Komando Pusat AS dan melakukan pembersihan, dengan nama sandi Buckshot Yankee, membutuhkan waktu lebih lama. Dan hal ini memiliki kaitan dengan grup yang sama yang berada di belakang Moonlight Maze.

The Democrats

Selama pemilihan presiden AS 2016, ternyata tidak hanya satu, tetapi dua, tim peretas dinas intelijen Rusia berada di dalam partai Demokrat.

Tim dari badan intelijen asing, SVR, tetap menyamar – tetapi tim intelijen militer dari GRU – Fancy Bear – memiliki rencana yang berbeda. Mereka membocorkan materi yang dicurinya, menyebabkan gangguan dan, bisa dibilang, berperan dalam menggeser jalannya pemilu.

Setelah kejadian itu, dalam pemilihan presiden 2020, perusahaan dan pejabat waspada terhadap campur tangan pemilu dari Rusia.

Tetapi apa yang tidak mereka sadari adalah bahwa spionase tradisional terus berlanjut tanpa diketahui – dengan intelijen Rusia lagi-lagi diyakini sebagai pelakunya. Sekali lagi Moskow membantah peran apa pun.

Sunburst

Dampak pasti dari pelanggaran Sunburst, melalui perusahaan SolarWinds, masih belum jelas. Meskipun demikian, pejabat federal berbicara tentang “risiko besar” karena skala kemungkinan kompromi departemen, perusahaan dan organisasi.

Ini bukan “spionase seperti biasa”, kata Presiden Microsoft Brad Smith.

Tetapi beberapa orang tidak setuju, dan menyebutnya sebagai spionase rutin. Mereka menambahkan bahwa AS bukan hanya korbannya, tetapi juga pelaku peretasan jenis ini. Pengungkapan Snowden tahun 2013 menunjukkan bahwa AS (dan Inggris) lebih dari mampu untuk menargetkan rahasia negara lain dengan mengorbankan perangkat keras dan perangkat lunak dari perusahaan terkemuka – dengan cara yang tidak jauh berbeda dengan pelanggaran terbaru ini.

Sumber: BBC

Database Ledger yang Diretas Diekspos Di Raidforums

by

Lebih dari satu juta email pelanggan yang tampaknya dicuri dari produsen dompet perangkat keras, Ledger, tersedia untuk umum di situs peretas hari ini. Ledger mengatakan pihaknya masih mengkonfirmasikan detail insiden tersebut tetapi mengakui bahwa benar itu data mereka dari Juni 2020.

Data yang bocor, yang dipublikasikan di Raidforums, juga mencakup nama, alamat fisik, dan nomor telepon pelanggan Ledger, dan tampaknya berasal dari peretasan database e-commerce Ledger pada bulan Juni.

Menurut situs haveibeenpwned.com, 69% alamat dalam database yang tercuri telah terdaftar sebagai telah disusupi, sejak peretasan asli.

Peretasan asli menargetkan basis data pemasaran dan e-commerce Ledger, yang berarti bahwa hanya detail kontak dan pesanan yang terlibat; tidak ada informasi keuangan, frase pemulihan, atau kunci yang terungkap dalam serangan itu.

Dalam tweet hari ini, Ledger menegaskan kembali bahwa pengguna tidak boleh membagikan frase pemulihan 24 kata mereka dengan siapa pun, “bahkan jika mereka berpura-pura menjadi perwakilan Ledger”.

Sumber: Decrypt

Bagaimana & Mengapa Anda Harus Menghapus Diri Anda Dari Admin Lokal Windows

by

Charlie Cranefield, seorang Cyber Security Engineer di Redscan, telah membagikan cara dan alasan untuk tidak menggunakan akun Admin Windows untuk kegiatan sehari-hari.

Pada dasarnya akun Admin/Administrator Windows adalah akun “terkuat” yang mampu melakukan hampir semua hal pada sistem termasuk tetapi tidak terbatas pada menginstal perangkat lunak, mengambil kendali file, dan mengutak-atik pengaturan penting.

Lalu apa alasannya kita harus membatasi penggunaan akun Administrator ini? Alasannya adalah ketika Anda adalah pengguna yang memiliki hak istimewa (administrator), tertipu dengan membuka lampiran email berbahaya, mengunduh dan membuka file dari situs web jahat, atau sekadar menjelajahi situs web yang menghosting konten penyerang yang dapat secara otomatis mengeksploitasi browser. Penyerang dapat mengambil alih mesin korban sepenuhnya dan menginstal keylogger, sniffer, dan perangkat lunak remote control untuk menemukan kata sandi administratif dan data sensitif lainnya.

“Anda tidak perlu menggunakan kekuatan super kuat ini untuk setiap hari menjelajah, memeriksa email, perbankan, dan scrolling Facebook”, tegasnya.

Lalu, bagaimana cara untuk menghapus akses Administrator?
Pertama, penting bagi Anda untuk mengikuti langkah-langkah ini secara tepat dan berurutan. Melewatkan satu langkah bisa sangat buruk, Anda dapat mengunci diri Anda sendiri dari komputer Anda. Harap berhati-hati dan sekali lagi, ikuti langkah-langkahnya dengan cermat.

1) Tambahkan diri Anda sendiri ke grup Pengguna

Klik kanan pada tombol start dan buka Computer Management.

Sumber: Secprentice

Pada jendela yang baru terbuka, gunakan panel navigasi sebelah kiri untuk memilih; Local users and groups > groups:

Sumber: Secprentice

Di layar berikutnya, klik dua kali user group dan tambahkan diri Anda di sana. Jika Anda tidak yakin apa nama pengguna Anda, gunakan perintah whoami di cmd untuk menemukannya.

Sumber: Secprentice

2) Membuat akun baru

Sekarang kita akan menyediakan akun yang akan Anda gunakan saat melakukan tindakan administratif. Kembali ke folder users dan klik kanan untuk membuat pengguna baru.

Sumber: Secprentice

Pada dialog berikutnya isi informasi untuk pengguna baru Anda. Juga penting untuk me-uncheck “User must change password at next logon” DAN mencentang “Password never expires”.

Sumber: Secprentice

3) Mengatur grup administrator

Sekarang kita akan menambahkan pengguna baru Anda ke grup administrator dan menghapus akun asli Anda.
Kembali ke folder Groups tetapi kali ini klik dua kali pada Administrators group.

Sumber: Secprentice

Di jendela baru tambahkan akun yang baru saja Anda buat dan pilih apply. Sangat penting untuk menambahkan akun baru Anda terlebih dahulu sehingga tidak akan pernah ada titik di mana Anda tidak memiliki akses administratif.

Sumber: Secprentice

Sekarang hapus semua akun lain di grup administrator selain dari akun baru Anda. Pastikan untuk memilih apply setelah selesai.
Grup tersebut akan terlihat seperti ini:

Sumber: Secprentice

Sumber: secprentice

Bagaimana kepercayaan lembaga A.S. pada perangkat lunak yang belum teruji membuka pintu bagi peretas

by

Peretasan besar-besaran selama berbulan-bulan di seluruh badan pemerintah AS berhasil, sebagian, karena tidak ada yang mencari di tempat yang tepat.

Pemerintah federal hanya melakukan inspeksi keamanan sepintas terhadap perangkat lunak yang dibelinya dari perusahaan swasta untuk berbagai aktivitas, mulai dari mengelola basis data hingga mengoperasikan aplikasi obrolan internal. Itu menciptakan titik buta yang dicurigai telah dieksploitasi oleh para peretas Rusia untuk melanggar Departemen Keuangan, Departemen Keamanan Dalam Negeri, Institut Kesehatan Nasional, dan lembaga lainnya. Setelah menyematkan kode dalam perangkat lunak manajemen jaringan yang banyak digunakan yang dibuat oleh perusahaan Texas bernama SolarWinds, yang harus mereka lakukan hanyalah menunggu agensi mengunduh pembaruan perangkat lunak rutin dari pemasok tepercaya.

Saat penyelidik berlomba untuk menilai kerusakan dari peretasan, para ahli dan anggota parlemen menyerukan peningkatan pengawasan terhadap kode pihak ketiga yang diizinkan oleh lembaga pemerintah di jaringan mereka dan menuntut perbaikan untuk kelemahan yang telah lama diketahui.

Serangan terhadap vendor dalam rantai pasokan perangkat lunak merupakan masalah yang diketahui yang perlu diprioritaskan, kata Rep. Jim Langevin (D-R.I.), Salah satu pendiri Kongres Cybersecurity Caucus.

Dia mengatakan Kongres perlu “memberi insentif” kepada perusahaan untuk membuat perangkat lunak mereka lebih aman, yang mungkin memerlukan perubahan mahal.

Daripada memaksakan persyaratan keamanan baru pada vendor, beberapa ahli mengatakan agensi harus lebih memperhatikan perangkat lunak yang mereka beli dan secara rutin menguji kekurangannya. Tetapi audit perangkat lunak rutin kemungkinan akan menjadi beban besar bagi agen federal.

Salah satu pendekatannya adalah dengan memusatkan pengujian perangkat lunak di satu agensi. Namun tidak semua orang yakin bahwa sentralisasi ini akan berhasil.

Sumber: Politico