Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Lubang keamanan baru di CPU Intel mengirimkan tambalan perusahaan (lagi)

by

Intel sedang memperbaiki kerentanan yang dapat dieksploitasi oleh orang yang tidak berwenang dengan akses fisik untuk menginstal firmware berbahaya pada chip untuk mengalahkan berbagai tindakan, termasuk perlindungan yang diberikan oleh Bitlocker, modul trusted platform, pembatasan anti-penyalinan, dan lainnya.

Kerentanan—ada di Pentium, Celeron, dan CPU Atom pada platform Apollo Lake, Gemini Lake, dan Gemini Lake Refresh—memungkinkan peretas terampil dengan kepemilikan chip yang terpengaruh untuk menjalankannya dalam mode debug dan pengujian yang digunakan oleh pengembang firmware. Intel dan pembuat chip lainnya berusaha keras untuk mencegah akses tersebut oleh orang yang tidak berwenang.

Setelah dalam mode pengembang, penyerang dapat mengekstrak kunci yang digunakan untuk mengenkripsi data yang disimpan di enklave TPM dan, jika TPM digunakan untuk menyimpan kunci Bitlocker, akan mengalahkan perlindungan yang terakhir itu juga.

Musuh juga dapat melewati batasan penandatanganan kode yang mencegah firmware yang tidak sah berjalan di Intel Management Engine, subsistem di dalam CPU yang rentan, dan dari sana secara permanen membuat backdoor pada chip.

Sementara serangan itu mengharuskan penyerang untuk memiliki akses fisik singkat ke perangkat yang rentan itulah skenario TPM, Bitlocker, dan codesigning dirancang untuk dimitigasi. Seluruh proses memakan waktu sekitar 10 menit.

Kerentanan seperti ini kemungkinan tidak akan pernah dieksploitasi dalam serangan tanpa pandang bulu, tetapi setidaknya secara teoritis, dapat digunakan dalam kasus di mana musuh dengan sumber daya yang cukup besar mengejar target bernilai tinggi.

Maka dari itu pengguna dianjurkan untuk menginstal pembaruan pada mesin apa pun yang terpengaruh.

Selengkapnya: Ars Technica

Rumah sakit berisiko tinggi terkena serangan siber, tetapi pasien tidak menyadarinya

by

Southern Ohio Medical Center, sebuah rumah sakit nirlaba di Portsmouth, Ohio, membatalkan janji untuk hari Jumat lalu dan mengalihkan ambulans setelah terkena serangan cyber pada hari Kamis. Ini adalah bagian dari serangkaian serangan yang meningkat terhadap organisasi perawatan kesehatan dalam dua tahun terakhir — sebuah tren yang dapat memiliki konsekuensi serius bagi perawatan pasien.

Tetapi sementara para ahli teknologi informasi sangat menyadari bahwa risiko serangan siber yang membahayakan data pasien dan mematikan sistem komputer sedang meningkat, pasien tampaknya tidak demikian, menurut laporan baru oleh perusahaan keamanan siber Armis.

Faktanya, lebih dari 60 persen orang di masyarakat umum yang disurvei dalam laporan baru mengatakan mereka belum pernah mendengar serangan siber dalam perawatan kesehatan dalam dua tahun terakhir.

Besarnya serangan selama pandemi COVID-19 mengejutkan para ahli, yang mengatakan bahwa geng ransomware menargetkan rumah sakit lebih agresif daripada sebelumnya. Tidak seperti serangan terhadap bank atau sekolah yang juga umum terjadi, serangan terhadap layanan kesehatan berpotensi melukai orang secara langsung.

Sementara 61 persen pasien potensial yang disurvei belum pernah mendengar tentang serangan siber di layanan kesehatan dalam beberapa tahun terakhir, sekitar sepertiga responden mengatakan bahwa mereka pernah menjadi korban serangan siber di sistem kesehatan.

Laporan tersebut juga memusatkan perhatian pada kesenjangan antara kesadaran orang-orang akan serangan siber layanan kesehatan dan tingkat kepedulian mereka terhadap masalah tersebut.

Sekitar setengah dari orang yang disurvei mengatakan bahwa mereka akan pindah rumah sakit jika ada serangan siber, dan lebih dari 70 persen mengatakan mereka berpikir serangan itu bisa berdampak pada perawatan mereka.

Selengkapnya: The Verge

7 juta alamat email pengguna Robinhood dijual di forum peretas

by

Sekitar 7 juta data pelanggan Robinhood dicuri dalam pelanggaran data baru-baru ini dan data tersebut dijual di forum dan pasar peretasan populer.

Robinhood mengungkapkan setelah salah satu karyawannya diretas,pelaku kemudian menggunakan akun mereka untuk mengakses informasi sekitar 7 juta pengguna melalui sistem dukungan pelanggan.

Data yang dicuri selama serangan termasuk informasi pribadi adalah:

  • Alamat email untuk 5 juta pelanggan
  • Nama lengkap untuk 2 juta pelanggan lainnya
  • Nama, tanggal lahir, dan kode pos untuk 300 orang
  • Informasi akun yang lebih luas untuk sepuluh orang

Selain mencuri data, Robinhood menyatakan bahwa peretas berusaha memeras perusahaan untuk mencegah pelepasan data. Dua hari setelah Robinhood mengungkapkan serangan itu, seorang aktor ancaman bernama ‘pompompurin’ mengumumkan bahwa mereka menjual data di forum peretasan.

Pompompurin mengatakan dia menjual 7 juta informasi curian pelanggan Robinhood untuk setidaknya lima angka, yaitu $ 10.000 atau lebih tinggi.

Data yang terjual termasuk 5 juta alamat email, dan untuk kumpulan pelanggan Robinhood lainnya, 2 juta alamat email dan nama lengkap mereka. Namun, pompompurin mengatakan mereka tidak menjual data untuk 310 pelanggan yang memiliki informasi lebih sensitif yang dicuri, termasuk kartu identitas untuk beberapa pengguna.

pompompurin memperoleh akses ke sistem dukungan pelanggan Robinhood setelah menipu karyawan meja bantuan untuk menginstal perangkat lunak akses jarak jauh di komputer mereka.

Setelah perangkat lunak akses jarak jauh diinstal pada perangkat, pelaku ancaman dapat memantau aktivitas mereka, mengambil tangkapan layar, dan mengakses komputer dari jarak jauh. Selain itu, saat mengendalikan perangkat dari jarak jauh, penyerang juga dapat menggunakan kredensial login yang disimpan karyawan untuk masuk ke sistem Robinhood internal yang dapat mereka akses.

Pompompurin memposting tangkapan layar yang mengakses sistem internal Robinhood. Tangkapan layar ini termasuk bantuan internal yang digunakan untuk mencari informasi anggota Robinhood melalui alamat email, halaman basis pengetahuan internal tentang inisiatif “Project Oliver Twister” yang dirancang untuk melindungi pelanggan berisiko tinggi, dan halaman “anotasi” yang menunjukkan catatan untuk tujuan tertentu. pelanggan.

Bagian dari tangkapan layar yang menunjukkan catatan anggota internal

pompompurin juga bertanggung jawab atas penyalahgunaan server email FBI untuk mengirim email ancaman selama akhir pekan,entitas AS mulai menerima email yang dikirim dari penerima peringatan infrastruktur FBI bahwa “kluster virtual” mereka menjadi sasaran dalam “serangan berantai canggih,” seperti yang ditunjukkan dalam email di bawah ini.
Email peringatan FBI palsu dikirim akhir pekan ini

Untuk mengirim email ini, pompompurin menemukan bug di portal FBI Law Enforcement Enterprise Portal (LEEP) yang dapat dimanfaatkan aktor untuk mengirim email dari alamat IP milik FBI.

Karena email tersebut berasal dari alamat IP yang dimiliki oleh FBI, itu menambah legitimasi pada email tersebut, menyebabkan badan pemerintah dibanjiri dengan panggilan prihatin tentang peringatan palsu tersebut.

Setelah mengetahui serangan itu, FBI membuat server terkait offline untuk menyelesaikan masalah tersebut.

Selengkapnya : Bleeping Computer

Teknik Rowhammer baru melewati pertahanan memori DDR4 yang ada

by

Para peneliti telah mengembangkan teknik berbasis fuzzing baru yang disebut ‘Blacksmith’ yang menghidupkan kembali serangan kerentanan Rowhammer terhadap perangkat DRAM modern yang melewati mitigasi yang ada.

Munculnya metode Blacksmith baru ini menunjukkan bahwa modul DDR4 saat ini rentan terhadap eksploitasi, memungkinkan berbagai serangan dapat dilakukan.

Rowhammer adalah eksploitasi keamanan yang mengandalkan kebocoran muatan listrik antara sel memori yang berdekatan, memungkinkan aktor ancaman untuk membalik 1 dan 0 dan mengubah konten dalam memori.

Serangan kuat ini dapat melewati semua mekanisme keamanan berbasis perangkat lunak, yang mengarah ke eskalasi hak istimewa, kerusakan memori, dan banyak lagi.

Ini pertama kali ditemukan pada tahun 2014, dan dalam setahun, dua eksploitasi eskalasi hak istimewa kerja berdasarkan peneliti sudah tersedia.

Mitigasi yang diterapkan untuk mengatasi masalah bit-flipping ini menunjukkan tanda-tanda pertama ketidakcukupan mereka pada Maret 2020, ketika peneliti akademis membuktikan bahwa bypass mungkin dilakukan.

Pabrikan telah menerapkan serangkaian mitigasi yang disebut “Target Row Refresh” (TRR), yang terutama efektif dalam menjaga agar DDR4 baru tetap aman dari serangan.

Serangan yang digunakan untuk melawannya disebut ‘TRRespass’, dan merupakan teknik berbasis fuzzing lain yang berhasil menemukan pola Rowhammering yang dapat digunakan.

Modul DRAM DDR5 yang lebih baru sudah tersedia di pasar, dan adopsi akan meningkat dalam beberapa tahun ke depan.

Di DDR5, Rowhammer mungkin tidak terlalu menjadi masalah, karena TRR digantikan oleh “refresh management”, sebuah sistem yang melacak aktivasi di bank dan mengeluarkan penyegaran selektif setelah ambang batas tercapai.

Ini berarti bahwa fuzzing yang dapat diskalakan pada perangkat DRAM DDR5 akan jauh lebih sulit dan mungkin jauh lebih tidak efektif, tetapi itu masih harus ditinjau kembali.

Selengkapnya: Bleeping Computer

Peretas generasi China berikutnya tidak akan menjadi penjahat. Itu adalah sebuah masalah.

by

Penjahat memiliki sejarah panjang melakukan spionase dunia maya atas nama China. Dilindungi dari penuntutan oleh afiliasi mereka dengan Kementerian Keamanan Negara (MSS) China, para penjahat yang berubah menjadi peretas pemerintah melakukan banyak operasi spionase. Mengkhawatirkan kedengarannya, namun ini bukan fenomena baru.

Serentetan kebijakan yang dimulai pada tahun 2015 menempatkan China pada posisi untuk menggantikan penjahat kontrak dengan darah baru dari universitas.

Upaya untuk memprofesionalkan tim peretas negara juga terkait langsung dengan tujuan politik Presiden Xi untuk mengurangi korupsi. Pembersihan baru-baru ini oleh Xi atas layanan keamanan negara China menunjukkan pejabat berisiko yang dijalankan dengan memperkaya diri mereka sendiri menggunakan sumber daya pemerintah.

Hubungan patronase antara peretas kontrak dan handler adalah jenis perilaku profiteering yang ditargetkan Xi dalam kampanye anti-korupsinya.

Dalam lingkungan yang semakin kejam, petugas yang menjalankan operasi yang memicu kemarahan internasional atau dakwaan pidana asing rentan untuk diserahkan oleh saingannya. Pejabat yang ditargetkan oleh penyelidik internal mungkin menemukan diri mereka dikurung di “penjara hitam.” Layanan keamanan China akan memutuskan hubungan mereka dengan peretas bawah tanah saat mereka menyingkirkan pejabat korup dan merekrut peretas secara langsung.

Implikasi dari langkah-langkah ini menunjukkan bahwa peretas China yang biasa dilawan oleh perusahaan dan badan intelijen dunia akan jauh lebih profesional pada akhir dekade ini.

China yang lebih mampu akan berperilaku berbeda dari China yang kita lihat sekarang. Mengingat ketergantungannya pada peretas gelap untuk menyembunyikan kegiatan kriminal dan spionasenya, Kementerian Keamanan Publik telah menoleransi beberapa operasi penjahat siber di Tiongkok, terlepas dari masalah yang ditimbulkannya.

Setelah aktivitas kriminal tidak lagi menjadi norma, dinas keamanan China akan sadar bahwa mereka dapat memindahkan operasi ini di dalam negeri, karena aktivitas mata-mata pemerintah adalah perilaku yang diterima dalam hubungan internasional.

Akibatnya, Kementerian Keamanan Publik China dapat melakukan lebih banyak operasi terhadap penjahat dunia maya. Analis harus waspada terhadap peningkatan operasi anti-kejahatan yang terfokus secara internal ini, yang akan menjadi indikator yang baik dari perubahan taktik operasional.

Selengkapnya: Tech Crunch

Peringatan Dikeluarkan Untuk Jutaan Pengguna Microsoft Windows 10, Windows 11

by

Pengguna Windows harus waspada. Microsoft telah mengkonfirmasi kerentanan kritis telah ditemukan di semua versi Windows yang menghadirkan ancaman langsung, dan tindakan harus dilakukan secepatnya.

Dilacak sebagai CVE-2021-34484, kerentanan “zero-day” memungkinkan peretas untuk menembus semua versi Windows (termasuk Windows 10, Windows 11 dan Windows Server 2022) dan mengambil kendali komputer Anda. Dan bagian terburuknya adalah cacatnya telah diketahui selama beberapa waktu.

Alasan untuk ini adalah Microsoft secara keliru mengira telah menambal kerentanan (yang pertama kali ditemukan pada bulan Agustus) ketika diungkapkan kepada publik pada bulan Oktober.

Tetapi perbaikan itu sendiri ditemukan tidak sempurna, sesuatu yang diakui perusahaan, dan ini menarik lebih banyak perhatian pada kerentanan. Microsoft kemudian berjanji untuk “mengambil tindakan yang tepat untuk menjaga pelanggan tetap terlindungi” tetapi dua minggu kemudian, perbaikan baru masih belum tiba.

Tapi di sinilah semua pengguna Windows dapat mengambil kendali. Spesialis keamanan pihak ketiga 0patch telah mengalahkan Microsoft dengan ‘micropatch’ yang sekarang telah tersedia untuk semua pengguna Windows (tautan unduhan).

“Micropatch untuk kerentanan ini akan gratis hingga Microsoft mengeluarkan perbaikan resmi,” 0patch mengkonfirmasi. Anda dapat melihat video micropatch yang diinstal di bawah ini:

Anda harus mendaftar untuk akun 0patch dan menginstal download agent nya sebelum perbaikan dapat diterapkan, tetapi dengan 0patch yang cepat menjadi tujuan utama untuk hot fix yang mengalahkan Microsoft, ini bukan masalah.

Selengkapnya: Forbes

AMD Mengungkapkan 50 Celah Keamanan yang Mempengaruhi CPU EPYC, Driver Radeon

by

AMD menerbitkan tiga buletin keamanan yang membahas kerentanan keamanan yang memengaruhi prosesor EPYC dan driver grafis Radeon untuk Windows 10. Meskipun banyak yang ditandai dengan Keparahan Tinggi, mereka dapat dimitigasi dengan pembaruan driver dan paket AGESA.

Pembuat chip tersebut mengungkap 22 potensi kerentanan yang memengaruhi tiga generasi prosesor EPYC: EPYC 7001 (Naples), EPYC 7002 (Roma), dan EPYC 7003 (Milan).

Eksploitasi secara khusus menargetkan AMD Platform Security Processor (PSP), AMD System Management Unit (SMU), AMD Secure Encrypted Virtualization (SEV) dan komponen platform lainnya.

Menanggapi eksploitasi, AMD mendistribusikan pembaruan AGESA NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C dan MilanPI-SP3_1.0.0.4 ke mitra OEM-nya. Jika Anda menjalankan salah satu chip EPYC AMD, Anda harus menghubungi OEM Anda untuk pembaruan.

Driver grafis Radeon untuk Windows 10 sama-sama dipenuhi dengan kerentanan. AMD mendeteksi hingga 27 eksploitasi berbeda dengan berbagai tingkat keparahan yang berdampak pada konsumen mainstream dan perusahaan. Untungnya, pengguna hanya perlu memperbarui driver Radeon mereka ke versi terbaru untuk menambal lubang keamanan tersebut.

Selengkapnya: Tom’s Hardware

Hacker Iran Serang Layanan telekomunikasi di Timur Tengah dan Afrika

by

APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP menggunakan malware dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.

Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.

Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.

Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.

Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari algoritma pembuatan domain (DGA).

Kedua pintu belakang berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.

Menurut analisis teknis, yang mengungkapkan penyegaran terus-menerus dari suar dan muatan, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.

Tanggal pembuatan terbaru adalah dari Oktober 2021, dan para peneliti menunjukkan bahwa setidaknya dua dari kompromi yang diidentifikasi sedang berlangsung.

Para analis berhasil memetakan korban Lyceum dengan menganeksasi dua puluh domain aktor dan menganalisis data telemetri tanpa menghapusnya.

Laporan yang dihasilkan memberikan daftar baru dengan indicators of compromise (IoC) dan berbagai cara untuk mendeteksi dua backdoors, sehingga berpotensi mengganggu kampanye Lyceum yang sedang berlangsung.

Bermotif Politik
Kelompok peretas diyakini memiliki motif politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.

Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.

Prevailion menjelaskan belum diketahui sumber backdoor beacon Milan.

Secara historis Lyceum menargetkan penyedia telekomunikasi dan tim Kaspersky mengidentifikasi penargetan baru-baru ini terhadap operator telekomunikasi di Tunisia, maka Lyceum diperkirakan akan menargetkan perusahaan telekomunikasi Afrika utara lainnya.

Meskipun kampanye ‘GhostShell’ kemungkinan besar diatur oleh musuh baru APT, kampanye itu masih memiliki hubungan dengan kelompok APT Iran yang terkenal seperti Lyceum.

sumber: BLEEPING COMPUTER