Cybersecurity

Kebocoran Besar Mengungkap Iran Menargetkan Militer AS Dengan Meretas Akun Google Mereka

July 17, 2020 by Winnie the Pooh

Kebocoran data yang diduga dari kru peretas Iran telah mengungkapkan bagaimana mereka mengintai kehidupan online para pejabat Amerika dengan mengambil kendali atas akun Google mereka, menurut para peneliti IBM. Peretas yang sama dilaporkan telah dikaitkan dengan serangan terhadap staf kampanye Presiden Trump, menurut laporan IBM yang dibagikan kepada Forbes.

Kebocoran 40 gigabyte ditemukan pada bulan Mei oleh IBM X-Force IRIS. Kesalahan konfigurasi sederhana pada server telah membuat data terbuka lebar bagi siapa saja yang dapat menemukan alamat web yang relevan.

Informasi yang paling terbuka datang dalam bentuk video pelatihan, salah satunya menunjukkan bagaimana para peretas, yang dijuluki ITG18 (juga disebut Charming Kitten), telah melanggar akun Google dari seorang pejabat Angkatan Laut AS.

Ada juga bukti kegagalan upaya phishing yang menargetkan akun pribadi seorang dermawan Iran-Amerika dan pejabat Departemen Luar Negeri AS, termasuk yang terkait dengan Kedutaan Virtual AS untuk Iran.

Dan kebocoran itu membongkar sejumlah persona online palsu yang digunakan para peretas untuk menargetkan orang-orang yang tertarik, dengan satu korban lainnya menjadi anggota Angkatan Laut Yunani Hellenic.

Allison Wikoff, analis senior ancaman cyber di IBM, mengatakan bahwa para pejabat militer telah diberitahu mengenai peretasan ini. Ketika Wikoff mengungkap kebocoran pada bulan Mei dengan sesama peneliti IBM Richard Emerson, ia heran bahwa video pelatihan dari kru peretas Iran telah bocor dan pada kecepatan di mana para peretas dapat menyedot data dari akun Google. Dia juga menemukan bukti bahwa ada akun Yahoo yang juga ditargetkan.

Tim keamanan Google mengungkapkan pada bulan Juni bahwa Charming Kitten telah mencoba masuk ke akun Gmail staf kampanye Trump. Microsoft sebelumnya memperingatkan juga bahwa peretas yang sama telah menargetkan staf presiden.

Baru-baru ini, ada kecurigaan bahwa ledakan di pabrik nuklir Natanz Iran awal bulan ini disebabkan oleh serangan cyber A.S. Sebuah laporan Yahoo News minggu ini menunjukkan CIA telah diberi lebih banyak kekuatan oleh Presiden Trump untuk menargetkan musuh seperti Iran dengan serangan destruktif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

Varian Baru Malware Joker di Android

July 16, 2020 by Winnie the Pooh

Analis dari Check Point Research menemukan sejumlah aplikasi yang menggunakan apa yang peneliti deskripsikan sebagai varian baru dari malware Joker dan yang bersembunyi di Google Play Store dalam “aplikasi yang tampaknya sah.”

“Kami menemukan bahwa versi Joker yang diperbarui ini dapat mengunduh malware tambahan ke perangkat, yang membuat pengguna berlangganan ke layanan premium tanpa sepengetahuan atau persetujuan mereka,” tulis tim Check Point dalam ringkasan temuan mereka. Laporan itu memberikan nama paket untuk 11 aplikasi (salah satunya terdaftar dua kali), sehingga Anda dapat menggunakan ini untuk melihat apakah salah satu dari mereka mungkin ada di ponsel Anda tetapi dengan identitas yang berbeda:

com.imagecompress.android
com.contact.withme.texts
com.hmvoice.friendsms
com.relax.relaxation.androidsms
com.cheery.message.sendsms
com.cheery.message.sendsms
com.peason.lovinglovemessage
com.file.recovefiles
com.LPlocker.lockapps
com.remindme.alram
com.training.memorygame

Untuk membuat orang berlangganan ke layanan premium tanpa mereka sadari, malware Joker tampaknya menggunakan layanan Notification Listener aplikasi asli, serta file dex dinamis yang dimuat oleh server perintah dan kontrol untuk melakukan pendaftaran pengguna yang sebenarnya. Check Point mengatakan itu adalah teknik umum bagi pengembang malware PC Windows untuk mengaburkan “sidik jari” kode mereka dengan menyembunyikan file dex sambil tetap memastikannya dapat memuat.

Google telah menghapus aplikasi di atas dari Play Store, tetapi Aviran Hazum dari Check Point mengatakan kepada salah satu outlet berita bahwa malware Joker kemungkinan akan kembali lagi dalam beberapa bentuk. “Malware Joker sulit dideteksi, meskipun ada investasi Google dalam menambahkan perlindungan Play Store. Meskipun Google menghapus aplikasi jahat dari Play Store, kami sepenuhnya dapat beranggapan bahwa Joker bisa beradaptasi lagi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: BGR | Check Point Research

Seorang Peretas menjual rincian 142 juta tamu hotel MGM di Dark Web

July 16, 2020 by Winnie the Pooh

Pelanggaran data MGM Resorts 2019 jauh lebih besar dari yang dilaporkan sebelumnya, dan sekarang diyakini telah memengaruhi lebih dari 142 juta tamu hotel, dan bukan hanya 10,6 juta yang ZDNet awalnya laporkan pada Februari 2020.

Temuan baru ini terungkap selama akhir pekan setelah seorang peretas memasang untuk menjual data hotel dalam iklan yang diterbitkan di pasar cybercrime dark web. Menurut iklan tersebut, peretas menjual rincian 142.479.937 tamu hotel MGM dengan harga lebih dari $2.900.

Peretas mengklaim telah memperoleh data hotel setelah mereka meretas DataViper, layanan pemantauan kebocoran data yang dioperasikan oleh Night Lion Security.

Vinny Troia, pendiri Night Lion Security, mengatakan kepada ZDNet dalam panggilan telepon bahwa perusahaannya tidak pernah memiliki salinan database MGM lengkap dan bahwa para peretas hanya berusaha merusak reputasi perusahaannya.

Peretasan MGM terjadi pada musim panas 2019 ketika seorang peretas mendapatkan akses ke salah satu server cloud hotel dan mencuri informasi tentang tamu-tamu hotel sebelumnya.

Informasi keuangan, nomor ID atau Jaminan Sosial, dan rincian reservasi (menginap di hotel) tidak termasuk, MGM mengatakan pada bulan Februari, yang dapat dikonfirmasi oleh ZDNet setelah meninjau dua kumpulan data MGM yang berbeda – 10,6 juta catatan pengguna bocor pada bulan Februari dan 20 juta batch baru yang dibagikan oleh para peretas pada hari Minggu.

Tanggal kelahiran dan nomor telepon juga termasuk, yang merupakan cara ZDNet dapat mengkonfirmasi pelanggaran pada awalnya, dengan menghubungi tamu hotel sebelumnya.

Irina Nesterovsky, Kepala Riset di perusahaan intel ancaman KELA, mengatakan kepada ZDNet pada Februari bahwa data MGM telah beredar dan dijual di kalangan peretasan pribadi sejak setidaknya Juli 2019.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Apple, Biden, Musk Dan Akun Twitter Profil Tinggi Lainnya Diretas Dalam Penipuan Crypto

July 16, 2020 by Winnie the Pooh

Sejumlah akun Twitter bercentang biru secara bersamaan diretas pada hari Rabu oleh penyerang yang menggunakan akun – beberapa dengan jutaan pengikut – untuk menyebarkan penipuan cryptocurrency.

Apple, Elon Musk dan Joe Biden adalah di antara akun yang dikompromikan dalam peretasan yang ditargetkan secara luas. Akun-akun itu dan banyak lainnya memposting pesan yang mempromosikan alamat dompet bitcoin dengan klaim bahwa jumlah pembayaran yang dilakukan untuk alamat tersebut akan digandakan dan dikirim kembali – teknik penipuan cryptocurrency yang sudah banyak diketahui.

Beberapa jam setelah posting scam awal, Kim Kardashian West, Jeff Bezos, Bill Gates, Barack Obama, Wiz Khalifa, Warren Buffett, YouTuber MrBeast, Wendy’s, Uber, CashApp dan Mike Bloomberg juga memposting scam cryptocurrency.

Melalui akun support nya, Twitter mengonfirmasi bahwa peretas memanfaatkan alat admin Twitter internal untuk mendapatkan akses ke akun profil tinggi. Dan melalui tweet nya mereka mengatakan bahwa “serangan rekayasa sosial terkoordinasi” pada karyawan memberi peretas “akses ke sistem dan alat internal.”

Sementara ruang lingkup peretasan Twitter hari Rabu kemarin belum pernah terjadi sebelumnya di jejaring sosial, jenis penipuan yang dipromosikan akun dalam peretasan kemarin sangatlah umum. Penipu mengambil alih akun Twitter profil tinggi menggunakan kata sandi yang bocor dan memposting pesan yang mendorong pengguna untuk memposting dana cryptocurrency mereka ke alamat tertentu dengan kedok bahwa mereka akan menggandakan “investasi” mereka. Pada kenyataannya, ini pencurian sederhana, tetapi ini adalah penipuan yang berhasil.

Alamat blockchain utama yang digunakan di situs scam telah mengumpulkan lebih dari 12,5 bitcoin – sekitar $ 116.000 dalam USD – dan akan meningkat setiap menit.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Crunch

Malware Baru Ditemukan di Perangkat Lunak Perpajakan Cina

July 16, 2020 by Winnie the Pooh

GoldenHelper, sebagaimana peneliti dari perusahaan keamanan Trustwave menjuluki malware ini, bersembunyi di dalam perangkat lunak Faktur Pajak Golden, yang semua perusahaan yang terdaftar di China diberi mandat untuk menggunakan perangkat lunak ini untuk membayar pajak. Malware ini dapat memintas Kontrol Akun Pengguna, mekanisme Windows yang mengharuskan pengguna untuk memberikan persetujuan mereka sebelum perangkat lunak dapat menginstal program atau membuat perubahan sistem lainnya. Setelah selesai, GoldenSpy dapat menginstal modul dengan hak istimewa tingkat Sistem. Trustwave menerbitkan temuannya pada hari Selasa di sini.

GoldenHelper menggunakan trik lain untuk menyembunyikan perilaku jahatnya dan menghindari deteksi dari sistem dan perangkat lunak perlindungan endpoint.

Penemuan ini terjadi tiga minggu setelah Trustwave mengekspos GoldenSpy, sepotong spyware canggih yang ditemukan oleh peneliti perusahaan dan terpasang di jaringan perusahaan teknologi multinasional besar yang baru saja membuka kantor di Cina. Seperti GoldenHelper, GoldenSpy menggunakan modus operasi instalasi yang sama — melalui Proyek Pajak Golden.

Perangkat lunak pajak yang menyimpan GoldenHelper diproduksi oleh perusahaan yang dikenal sebagai Baiwang. Baiwang dan Aisino adalah satu-satunya dua penyedia resmi sistem faktur. Penemuan terbaru menunjukkan bahwa GoldenSpy bukan kampanye satu kali, melainkan kampanye yang menggunakan setidaknya satu bagian malware lainnya dalam periode waktu yang lebih lama daripada yang diketahui sebelumnya.

File yang menjadi indikator utama malware ini bernama taxver.exe , dengan beberapa file indikator lain bernama :

1. msxxxs999.dat
2. Wmiasssrv.dll
3. Wmiasssrv.dll
4. Skpc.dll
5. JSKP_BWB_1.0.4.0.exe
6. skpc.dll

Tidak jelas mengapa GoldenHelper ditutup dengan tiba-tiba. Satu tebakan adalah bahwa operatornya meninggalkan proyek setelah tingkat deteksi melonjak, dari sekitar tiga pada Januari 2019 menjadi sebanyak 29 pada Maret. Di bawah ini adalah timeline yang melacak sejarah malware:

Berita selengkapnya baca di tautan berikut ini;
Source: Ars Technica | Trustwave

Kerentanan Kritis ‘Wormable’ Pada Windows DNS

July 15, 2020 by Winnie the Pooh

Sebuah kerentanan yang berpotensi “wormable” – yang berarti serangan dapat menyebar dari satu mesin ke komputer lain tanpa interaksi manusia – telah ditemukan dalam implementasi protokol domain name system Microsoft, salah satu blok pembangun dasar internet.

Sebagai bagian dari pembaruan perangkat lunak Patch Tuesday, Microsoft telah merilis perbaikan untuk bug yang ditemukan oleh perusahaan keamanan Israel, Check Point, yang diberi nama SigRed. Bug SigRed mengeksploitasi Windows DNS, salah satu jenis perangkat lunak DNS paling populer yang menerjemahkan nama domain menjadi alamat IP.

Windows DNS berjalan di server DNS dari hampir semua organisasi kecil dan menengah di seluruh dunia. Bug ini, kata Check Point, telah ada dalam perangkat lunak itu selama 17 tahun.

Check Point dan Microsoft memperingatkan bahwa kerentanan itu sangat kritis, dan mempunyai nilai 10 dari 10 pada sistem penilaian kerentanan umum.

Tidak hanya bug yang dapat ditularkan (wormable), perangkat lunak Windows DNS sering berjalan pada server yang kuat yang dikenal sebagai domain controller yang menetapkan aturan untuk sebuah jaringan. Banyak dari mesin itu sangat sensitif; jika satu mesin terkompromi akan memungkinkan penetrasi lebih lanjut ke perangkat lain di dalam suatu organisasi.

Di atas semua itu, kata kepala peneliti kerentanan Check Point Omri Herscovici, bug Windows DNS ini dalam beberapa kasus dapat dieksploitasi tanpa tindakan dari pengguna target, menciptakan serangan yang tak terlihat dan kuat.

Check Point menemukan kerentanan SigRed di bagian Windows DNS yang menangani sepotong data tertentu yang merupakan bagian dari pertukaran kunci yang digunakan dalam versi DNS yang lebih aman yang dikenal sebagai DNSSEC. Sepotong data tersebut dapat dibuat secara khusus dan berbahaya sehingga Windows DNS dapat memberi izin kepada peretas untuk menimpa potongan memori yang tidak seharusnya mereka akses, yang pada akhirnya mereka mendapatkan eksekusi kode jarak jauh penuh pada server target.

Herscovici menunjukkan bahwa jika seorang peretas dapat memperoleh akses ke jaringan lokal dengan mengakses Wi-Fi perusahaan atau menghubungkan komputer ke LAN perusahaan, mereka dapat memicu pengambilalihan server DNS. Dan sangat memungkinkan untuk mengeksploitasi kerentanan ini hanya dengan menggunakan tautan dalam email phising: Menipu target dengan mengklik tautan itu dan browser mereka akan memulai pertukaran kunci yang sama pada server DNS yang akan memberikan kendali penuh kepada peretas.

Karena kerentanan SigRed telah ada di Windows DNS sejak 2003, hampir setiap versi perangkat lunak rentan terhadap celah keamanan ini. Microsoft dan peniliti Check Point menghimbau kepada seluruh IT Administrator untuk segera melakukan patching pada Mesin Windows di Organisasi masing-masing.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Wired

DigiCert Mencabut 50.000 Sertifikat Keamanan Web

July 14, 2020 by Winnie the Pooh

DigiCert mengeluarkan pemberitahuan mendesak, memperingatkan administrator situs web bahwa mereka memiliki waktu hingga 11 Juli 2020 untuk mengganti sertifikat EV (extended validation) mereka dengan yang baru dan valid.

Meskipun tidak ada ancaman keamanan yang telah diidentifikasi saat ini, sertifikat ini dicabut karena proses audit yang buruk yang dipakai oleh beberapa perantara CA DigiCert. Termasuk sertifikat yang ditandatangani oleh GeoTrust, Thawte, CertCentral, dan Symantec.

Untuk alasan skala, CA biasanya tidak menandatangani sertifikat situs web secara langsung, tetapi menandatanganinya menggunakan sertifikat perantara (intermediate certificate) yang ditandatangani oleh sertifikat root (root certificate) yang memang dimiliki langsung oleh CA itu sendiri.

Sertifikat situs web umumnya dikenal sebagai leaf certificates, karena sertifikat itu ada di akhir rantai signature, urutan rantai kepercayaannya seperti ini:

Leaf certificate dijamin oleh intermediate certificate yang dimiliki CA atau mitra bisnis resmi.
Intermediate certificate dijamin oleh root certificate, yang dimiliki langsung oleh CA.
Root certificate ditandatangani sendiri, tetapi browser Anda memercayainya karena itu merupakan bagian dari daftar kecil, root certificate yang disetujui yang dibangun di browser Anda atau dipegang oleh sistem operasi Anda.

Digicert menjelaskan masalahnya sebagai berikut:

DigiCert telah mengidentifikasi masalah di mana beberapa intermediate CA (ICA) kami tidak terdaftar sebagai bagian dari audit EV WebTrust terbaru kami.

Penjelasan: sebagai bagian dari proses audit komunitas reguler, CA seharusnya menyerahkan daftar anak perusahaan dan mitra bisnis yang berwenang untuk menandatangani extended validation certificates (EV) sebagai perantara atas nama CA.

Dengan kata lain, jika ada perusahaan X yang memiliki sertifikat EV yang dijamin oleh perusahaan perantara Y yang selanjutnya dijamin oleh sertifikat CA root tepercaya dari perusahaan Z, maka Z harus memastikan perusahaan Y terdaftar kapan pun ia mengajukan dokumen audit validasi yang diperpanjang – demi kepentingan transparansi yang dapat dipahami.

Karena masalah proses audit ini, DigiCert harus mencabut 50.000 sertifikat EV.

ICA yang terkena dampak:

DigiCert Global CA G2
GeoTrust TLS RSA CA G1
Thawte TLS RSA CA G1
Secure Site CA
NCC Group Secure Server CA G2
TERENA SSL High Assurance CA 3

Keenam nama CA di atas tidak akan digunakan untuk menandatangani sertifikat lagi, jadi jika Anda memiliki sertifikat EV yang dicabut yang perlu diterbitkan kembali, itu akan berasal dari salah satu perantara baru ini sebagai gantinya:

DigiCert EV RSA CA G2
GeoTrust EV RSA CA G2
Thawte EV RSA CA G2

Cara memperbarui dan mengganti sertifikat yang dicabut dijelaskan dalam link ini.

Berita selengkapnya:
Source: Sophos | Technadu

Lebih Dari 8.200 Database Perusahaan Keamanan Amerika Dicuri Peretas

July 14, 2020 by Winnie the Pooh

Seorang peretas mengklaim telah melanggar server backend milik perusahaan keamanan cyber Amerika dan mencuri informasi dari layanan “deteksi kebocoran data” perusahaan.

Peretas mengatakan data yang dicuri mencakup lebih dari 8.200 database yang berisi informasi miliaran pengguna yang bocor dari perusahaan lain selama pelanggaran keamanan di masa lalu.

Database telah dikumpulkan di dalam DataViper, layanan pemantauan kebocoran data yang dikelola oleh Vinny Troia, peneliti keamanan di belakang Night Lion Security, sebuah perusahaan keamanan cyber yang berbasis di Amerika.

Hari Senin kemarin, seorang peretas dengan nama NightLion (nama perusahaan Troia), mengirim email ke puluhan reporter keamanan cyber. Email itu berisi tautan ke portal dark web tempat mereka mempublikasikan informasi tentang peretasan ini.

Situs ini berisi e-zine (majalah elektronik) yang merinci intrusi ke server backend DataViper. Peretas mengklaim telah menghabiskan waktu tiga bulan di dalam server DataViper selagi mengeksfloitasi database yang telah diindeks Troia untuk layanan pemantauan kebocoran data DataViper.

Peretas juga memposting daftar lengkap 8.225 database yang berhasil diindeks Troia di dalam layanan DataViper, daftar 482 file JSON yang dapat diunduh yang berisi sampel dari data yang mereka klaim telah dicuri dari server DataViper, dan bukti bahwa mereka memiliki akses ke DataViper backend.

Saat dimintai penjelasan mengenai peretasan ini, Troia mengakui bahwa peretas memperoleh akses ke salah satu server DataViper; Namun, pendiri Night Lion Security mengatakan bahwa server itu hanyalah server uji coba.

Troia mengatakan kepada ZDNet bahwa ia percaya peretas sebenarnya menjual database mereka sendiri, daripada informasi apa pun yang mereka curi dari servernya. Ia juga mengatakan kepada ZDNet bahwa ia percaya peretas memiliki hubungan dengan beberapa kelompok peretasan seperti TheDarkOverlord, ShinyHunters, dan GnosticPlayers.

Semua kelompok tersebut memiliki riwayat peretasan yang produktif, bertanggung jawab atas ratusan pelanggaran data, beberapa di antaranya diindeks Troia dalam database DataViper-nya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings