Cyberwarfare

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

June 14, 2023 by Flamango

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Kebocoran cyberwarfare menunjukkan tentara Rusia mengadopsi pola pikir polisi rahasia

March 31, 2023 by Søren

Sebuah konsorsium media telah menerbitkan penyelidikan mengejutkan tentang kemampuan dunia maya Rusia, berdasarkan kebocoran dokumen yang jarang terjadi. File tersebut berasal dari NTC Vulkan, sebuah perusahaan keamanan siber di Moskow yang merangkap sebagai kontraktor untuk badan militer dan intelijen Rusia.

Mereka mengungkapkan bagaimana, selama bertahun-tahun, sekelompok insinyur IT top Rusia telah dipekerjakan untuk bekerja dengan intelijen militer Rusia dan fasilitas penelitian FSB, agen mata-mata domestik Vladimir Putin. Ini mungkin tampak campuran yang tidak biasa, dan tidak terbayangkan sebelum berakhirnya perang dingin.

Namun dokumen yang telah saya ulas menggambarkan dunia baru kolaborasi antara militer Rusia dan polisi rahasianya. Dan mereka menunjukkan betapa lebih agresifnya siloviki atau pasukan keamanan Putin sejak runtuhnya Uni Soviet.

Secara historis, tidak pernah ada banyak cinta antara tentara Rusia dan polisi rahasia – dan untuk alasan yang baik. Tentara tidak pernah melupakan pembersihan pembunuhan Joseph Stalin, dan setelah kematian diktator revolusioner, KGB (pendahulu FSB) mempertahankan kekuasaan untuk mengawasi militer. Tidak ada yang suka seseorang bernapas di leher mereka.

Tentara Rusia dan polisi rahasianya tidak hanya saling membenci; mereka memandang dunia melalui lensa yang berbeda. Era Putin membawa aturan baru dan mentalitas baru, seperti yang dijelaskan oleh file Vulkan.

Ambil proyek Amezit. Vulkan menerima kontrak untuk pengembangan Amezit dari Institut Ilmiah Rostov, salah satu dari sedikit fasilitas penelitian Rusia yang dimiliki langsung oleh FSB. Amezit dikembangkan sebagai alat yang akan memberi operator sarana untuk mengendalikan semua jenis lalu lintas dunia maya di suatu wilayah – dari jaringan seluler hingga media sosial – dan, jika perlu, untuk mengisolasi wilayah itu dari dunia luar dan menciptakan pemadaman informasi.

Selengkapnya: The Guardian

Mempersiapkan serangan dunia maya Rusia terhadap Ukraina musim dingin ini

December 4, 2022 by Søren

Dalam beberapa bulan terakhir, aktor ancaman dunia maya yang berafiliasi dengan intelijen militer Rusia telah meluncurkan serangan wiper yang merusak terhadap jaringan organisasi energi, air, dan infrastruktur penting lainnya di Ukraina saat serangan rudal melumpuhkan listrik dan pasokan air ke warga sipil di seluruh negeri.

Operator militer Rusia juga memperluas aktivitas dunia maya yang merusak di luar Ukraina ke Polandia, pusat logistik penting, dalam upaya yang mungkin mengganggu pergerakan senjata dan pasokan ke garis depan.

Peneliti yakin tren baru-baru ini menunjukkan bahwa dunia harus bersiap untuk beberapa lini serangan potensial Rusia di domain digital selama musim dingin ini.

Pertama, kita dapat mengharapkan kelanjutan dari serangan dunia maya Rusia terhadap infrastruktur penting Ukraina. Kita juga harus bersiap untuk kemungkinan bahwa eksekusi serangan gaya ransomware baru-baru ini oleh aktor intelijen militer Rusia—dikenal sebagai Prestige—di Polandia mungkin menjadi pertanda Rusia semakin memperluas serangan siber di luar perbatasan Ukraina. Operasi dunia maya semacam itu dapat menargetkan negara dan perusahaan yang menyediakan rantai pasokan bantuan dan persenjataan penting bagi Ukraina musim dingin ini.

Kedua, kita juga harus bersiap untuk operasi pengaruh yang dimungkinkan oleh dunia maya yang menargetkan Eropa untuk dilakukan secara paralel dengan aktivitas ancaman dunia maya. Rusia akan berusaha mengeksploitasi celah dalam dukungan populer untuk Ukraina untuk merusak koalisi yang penting bagi ketahanan Ukraina, dengan harapan dapat merusak bantuan kemanusiaan dan militer yang mengalir ke wilayah tersebut. Kabar baiknya adalah, ketika diperlengkapi dengan lebih banyak informasi, publik yang paham media dapat bertindak dengan kesadaran dan penilaian untuk melawan ancaman ini.

Selengkapnya: Microsoft

Orang Amerika berisiko terseret ke dalam perang siber global

March 4, 2021 by Winnie the Pooh

Orang Amerika berisiko terseret ke dalam serangan siber yang akan membahayakan perangkat mereka yang terhubung, menurut eksekutif keamanan siber yang perusahaannya menemukan peretasan SolarWinds.

Kevin Mandia, CEO perusahaan keamanan siber FireEye, mengatakan kepada “Axios on HBO” pada hari Minggu bahwa perang siber di masa depan antara AS dan Cina atau Rusia dapat berdampak pada warga negara biasa, yang menyebabkan gangguan luas pada kehidupan sehari-hari.

“Aplikasi tidak akan berfungsi. Peralatan mungkin tidak berfungsi. Orang-orang bahkan tidak tahu semua hal yang mereka andalkan,” kata Mandia. “Tiba-tiba, rantai pasokan mulai terganggu karena komputer tidak berfungsi.”

Mandia memperingatkan bahwa aturan keterlibatan seputar serangan siber tidak jelas, artinya mungkin tidak ada yang terlarang. Di dunia di mana lebih banyak perangkat yang terhubung ke internet daripada sebelumnya, konsumen dapat membuka risiko besar.

“Sesederhana jika Anda dapat diretas, Anda diretas,” katanya.

Selengkapnya: Business Insider

Bagaimana Internet Telah Berubah Menjadi Medan Perang Zaman Modern

February 19, 2021 by Winnie the Pooh

Selama dekade terakhir, keamanan siber telah berubah dari pinggiran budaya populer menjadi arus utama. Saat ini, gagasan peretas telah sepenuhnya bermigrasi dari kiasan tua seorang pria bertudung yang tinggal di ruang bawah tanah orangtuanya, menjadi beragam kelompok peretas (dan peretasan realistis) yang digambarkan di acara seperti Mr Robot.

NSA, yang pernah dijuluki “No-Such-Agency” karena tidak ada yang tahu apa itu, memiliki akun Twitter yang men-tweet tentang keseimbangan kehidupan kerja yang luar biasa yang ditawarkannya kepada mata-matanya.

Dalam hal geopolitik, apa yang disebut ‘dunia maya’ dan dunia internet telah menjadi medan perang yang serius dan ruang di mana negara-negara musuh telah memperdagangkan kampanye disinformasi dan dapat menyebabkan hal-hal seperti pembangkit listrik dihancurkan oleh serangkaian kode.

Sejak 2011, jurnalis New York Times Nicole Perlroth telah melaporkan tentang dunia rahasia keamanan siber dan gudang malware yang ditimbun oleh negara-negara bagian.

Minggu ini dia ada di CYBER untuk membicarakan tentang bukunya yang baru dirilis, This Is How They Tell Me The World Ends. Di dalamnya, Perlroth menulis tentang pengalamannya dan bagaimana pemerintah AS yang dulu perkasa memonopoli perlombaan senjata siber, tetapi sejak itu muncul persaingan yang muncul dari seluruh dunia.

Sumber: Vice

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyberwarfare

Cookies Settings