Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for IoT

IoT

Serangan Inaudible Ultrasound Diam-diam Dapat Mengontrol Ponsel Anda, Smart Speaker

by

Peneliti Universitas Amerika telah mengembangkan serangan baru yang “Near-Ultrasound Inaudible Trojan” (NUIT) yang dapat meluncurkan serangan senyap terhadap perangkat yang diberdayakan oleh asisten suara, seperti smartphone, smart speaker, dan IoT lainnya.

Tim peneliti mendemonstrasikan serangan NUIT terhadap asisten suara modern yang ditemukan dalam jutaan perangkat, termasuk Siri Apple, Asisten Google, Cortana Microsoft, dan Alexa Amazon, menunjukkan kemampuan untuk mengirim perintah berbahaya ke perangkat tersebut.

Serangan Inaudible
Prinsip utama yang membuat NUIT efektif dan berbahaya adalah mikrofon di perangkat pintar dapat merespons gelombang mendekati ultrasound yang tidak dapat dilakukan telinga manusia, sehingga melakukan serangan dengan risiko paparan minimal sambil tetap menggunakan teknologi speaker konvensional.

Para peneliti mengatakan serangan NUIT dapat dilakukan dengan menggunakan dua metode berbeda. Metode NUIT-1, adalah saat perangkat menjadi sumber sekaligus target serangan.

Diagram Serangan NUIT-1
Diagram Serangan NUIT-1

Sedangkan metode NUIT-2, adalah ketika serangan diluncurkan oleh perangkat dengan speaker ke perangkat lain dengan mikrofon, seperti situs web ke speaker pintar.

Diagram Serangan NUIT-2
Diagram Serangan NUIT-2

Skenario serangan yang ditunjukkan oleh para peneliti melibatkan pengiriman perintah ke IoT yang terhubung ke smartphone dengan sedikit risiko korban menyadari aktivitas ini sedang berlangsung.

Penyerang juga dapat mengarahkan ponsel cerdas ke sebuah situs web untuk menjatuhkan malware dengan mengeksploitasi kerentanan di browser tanpa interaksi oleh korban.

Chen menyarankan untuk mengautentikasi perangkat pintar menggunakan sidik jari vokal dan memantau perangkat dengan cermat untuk aktivasi mikrofon, yang telah mendedikasikan indikator di layar pada smartphone iOS dan Android.

Selengkapnya: BleepingComputer

Speaker Google Home Memungkinkan Peretas Mengintai Percakapan

by

Bug di speaker pintar Google Home memungkinkan pemasangan akun backdoor yang dapat digunakan untuk mengontrol dari jarak jauh dan mengubahnya menjadi perangkat pengintai dengan mengakses umpan mikrofon.

Tahun lalu, seorang peneliti menerima $107.500 karena menemukan masalah tersebut dan melaporkannya ke Google. Awal pekan ini, peneliti menerbitkan rincian teknis tentang temuan dan skenario serangan untuk menunjukkan bagaimana kelemahan tersebut dapat dimanfaatkan.

Proses Kompromi
Dalam eksperimennya, peneliti menemukan bahwa akun baru yang ditambahkan menggunakan aplikasi Google Home dapat mengirim perintah secara remote melalui cloud API.

Melalui pemindaian Nmap, ditemukan port untuk API HTTP lokal Google. Jadi peneliti menyiapkan proxy untuk menangkap lalu lintas HTTPS terenkripsi, dengan harapan dapat merebut token otorisasi pengguna.

Lalu lintas HTTPS (terenkripsi) yang diambil (downrightnifty.me)

Menambahkan pengguna baru ke perangkat target adalah proses dua langkah yang memerlukan nama perangkat, sertifikat, dan “cloud ID” dari API lokalnya. Dengan informasi ini, mereka dapat mengirim permintaan tautan ke server Google.

Untuk menambahkan pengguna jahat ke perangkat target, analis mengimplementasikan proses penautan dalam skrip Python yang mengotomatiskan pengelupasan data perangkat lokal dan mereproduksi permintaan penautan.

Permintaan penautan yang membawa data ID perangkat (downrightnifty.me)

Kemungkinan Implikasi
Selain melakukan tindakan melalui speaker Google Home secara remote, seperti mengontrol saklar pintar, melakukan pembelian online, membuka kunci pintu dan kendaraan, peneliti menemukan cara untuk menyalahgunakan perintah panggilan telepon.

Perutean berbahaya yang menangkap audio mikrofon (downrightnifty.me)

Jika LED perangkat menyala biru saat melakukan panggilan, merupakan indikasi bahwa beberapa aktivitas sedang berlangsung. Jika korban menyadarinya, mereka mungkin menganggap perangkat sedang memperbarui firmware-nya.

Hal ini juga memungkinkan untuk memutar media pada speaker pintar yang disusupi, mengganti nama, memaksa reboot, memaksa melupakan jaringan Wi-Fi tersimpan, memaksa pemasangan Bluetooth atau Wi-Fi baru, dan banyak lagi.

Perbaikan Google
Google memperbaiki semua masalah pada April 2021 dengan tambalan mencakup sistem berbasis undangan baru untuk menangani tautan akun, yang memblokir upaya apa pun yang tidak ditambahkan di Beranda.

Deauthenticating Google Home masih dimungkinkan, tetapi tidak dapat digunakan untuk menautkan akun baru, sehingga API lokal yang membocorkan data perangkat dasar juga tidak dapat diakses.

Google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas dalam menangani perintah panggilan telepon.

Selengkapnya: BLEEPINGCOMPUTER

Cyber Attacker ‘Traps’ mengungkapkan dampak aktivitas ancaman setelah invasi Rusia terhadap Ukraina

by

Peneliti Nozomi Networks telah menemukan bahwa wiper malware, aktivitas botnet IoT, dan invasi Rusia ke Ukraina telah berdampak besar pada lanskap ancaman dunia maya pada paruh pertama tahun 2022.

Data dari teknologi operasional terbaru (OT)/laporan keamanan IoT Jaringan Nozomi telah menunjukkan bahwa lanskap ancaman dunia maya melihat aktivitas dari beberapa jenis pelaku ancaman, termasuk peretas, ancaman persisten tingkat lanjut (APT), dan penjahat dunia maya sejak Rusia memulainya. invasi ke Ukraina pada Februari 2022.

Menurut Roya Gordon, penginjil penelitian keamanan OT/IoT Nozomi Networks, lanskap ancaman dunia maya tahun ini kompleks.

Peneliti Nozomi Networks juga mengamati penggunaan malware wiper yang kuat dan menyaksikan munculnya varian malware Industroyer, yang digunakan dalam serangan cyber di jaringan listrik Ukraina. Dijuluki Industroyer2, malware ini dikembangkan untuk menyalahgunakan protokol IEC-104, yang biasa digunakan di lingkungan industri.

Selama paruh pertama tahun 2022, aktivitas botnet IoT yang berbahaya juga meningkat dan semakin canggih.

Peneliti Nozomi Networks telah menyiapkan serangkaian pot madu untuk menarik botnet jahat ini yang bertujuan untuk menangkap aktivitas mereka guna memberikan wawasan tambahan tentang bagaimana pelaku ancaman menargetkan IoT. Melalui model penelitian ini, para peneliti Nozomi Networks menemukan masalah keamanan yang berkembang untuk kata sandi yang dikodekan secara keras dan antarmuka internet untuk kredensial pengguna akhir.

Dari Januari hingga Juni 2022, Honey Pot Nozomi Networks menemukan:

  • Maret adalah bulan paling aktif dengan hampir 5.000 alamat IP penyerang unik yang dikumpulkan.
  • Alamat IP penyerang teratas dikaitkan dengan China dan Amerika Serikat.
  • Kredensial “Root” dan “Admin” paling sering ditargetkan dan digunakan dalam berbagai variasi sebagai cara bagi pelaku ancaman untuk mengakses semua perintah sistem dan akun pengguna.
  • Manufaktur dan energi terus menjadi industri yang paling rentan menurut peneliti Nozomi Networks, diikuti oleh fasilitas kesehatan dan komersial.

Selama enam bulan pertama tahun 2022:

CISA merilis 560 kerentanan dan eksposur umum (CVE) – turun 14 persen dari paruh kedua tahun 2021.
Jumlah vendor yang terkena dampak naik 27 persen.
Produk yang terkena dampak juga naik 19 persen dari paruh kedua tahun 2021.

Ketika ancaman dunia maya terus berkembang, Gordon mencatat bahwa untungnya, pertahanan keamanan juga berkembang.

Sumber: Cybersecurity Connect

Serangan Bluetooth Baru dari Jarak Jauh Dapat Membuka Kunci Kendaraan Tesla dan Kunci Pintar

by

Peneliti keamanan telah mendemonstrasikan serangan relai Bluetooth baru yang dapat membuka dan mengoperasikan beberapa kendaraan Tesla dari jarak jauh.

Kerentanannya terletak pada Bluetooth Low Energy (BLE), teknologi yang digunakan oleh sistem entri Tesla yang memungkinkan pengemudi dengan aplikasi atau key fob untuk membuka dan mengoperasikan mobil mereka dari dekat. Sebagian besar perangkat dan kendaraan yang mengandalkan otentikasi berbasis kedekatan semacam ini dirancang untuk melindungi dari berbagai serangan relai, yang biasanya bekerja dengan menangkap sinyal radio yang digunakan untuk membuka kunci kendaraan, misalnya, dan memutarnya kembali seolah-olah permintaan otentik, dengan menggunakan enkripsi dan memperkenalkan pemeriksaan yang dapat membuat serangan relai lebih sulit.

Sementara serangan itu ditunjukkan terhadap kendaraan Tesla, Khan mencatat bahwa setiap kendaraan yang menggunakan BLE untuk sistem entri tanpa kuncinya dapat rentan terhadap serangan ini. Dalam nasihat terpisah, NCC Group memperingatkan bahwa serangan itu juga dapat digunakan terhadap kunci pintar Kwikset dan Weiser Kevo, yang mendukung entri pasif BLE melalui fungsionalitas “sentuh untuk membuka”.

Dalam sebuah video yang dibagikan dengan TechCrunch, Khan terlihat berjalan ke Tesla Model Y sambil memegang laptop dengan perangkat relay terpasang, memungkinkannya untuk membuka kunci mobil dan membuka pintu secara nirkabel.

“Penelitian kami menunjukkan bahwa sistem yang diandalkan orang untuk menjaga mobil, rumah, dan data pribadi mereka menggunakan mekanisme otentikasi kedekatan Bluetooth yang dapat dengan mudah dipatahkan dengan perangkat keras yang murah,” kata Khan.

Para peneliti mendorong pemilik Tesla untuk menggunakan fitur PIN to Drive, yang membutuhkan pin empat digit untuk dimasukkan sebelum kendaraan dapat dikemudikan, dan untuk menonaktifkan sistem entri pasif di aplikasi seluler.

Tesla tidak asing dengan kelemahan keamanan. Awal tahun ini, seorang peneliti keamanan berusia 19 tahun mengatakan bahwa dia dapat mengakses lusinan Tesla di seluruh dunia dari jarak jauh karena bug keamanan yang ditemukan di logging tool sumber terbuka yang populer di kalangan pemilik Tesla mengekspos mobil mereka langsung ke internet.

Sumber: TechCrunch

Google bermitra dengan Asus IoT untuk menyebarkan ketersediaan perangkat keras AI pada perangkat Coral

by

Coral adalah platform Google untuk menambahkan AI pada perangkat dan kemampuan inferensi ke perangkat keras. Untuk membuatnya lebih banyak tersedia, terutama untuk kasus penggunaan Internet of Things, Google bermitra dengan Asus IoT.

Asus IoT adalah sub-merek Asus, dan Google ingin meningkatkan produksi, distribusi, dan dukungan untuk Coral dengan perjanjian ini.

Dengan pengalaman puluhan tahun di bidang manufaktur elektronik dalam skala global, ASUS IoT akan menyediakan Coral sumber daya untuk memenuhi tuntutan pertumbuhan kami sementara kami terus mengembangkan produk baru untuk komputasi tepi.

Ini akan membuat Asus IoT “menjadi saluran utama untuk penjualan, distribusi, dan dukungan” untuk Coral, dengan pelanggan mendapatkan “tim khusus untuk penjualan dan dukungan teknis” dalam prosesnya. Ini termasuk jaringan distribusi yang diperluas yang akan memungkinkan produk tersedia di lebih banyak negara.

ASUS IoT telah memiliki sejarah panjang dalam kolaborasi dengan Coral, menjadi mitra pertama yang merilis produk menggunakan Coral SoM ketika mereka meluncurkan papan pengembangan Tinker Edge T. ASUS IoT juga telah mengintegrasikan akselerator Coral ke dalam komputer edge cerdas kelas perusahaan mereka dan merupakan yang pertama merilis perangkat TPU multi Edge dengan Kartu PCIe AI Accelerator pemenang penghargaan.

Lini perangkat keras Coral memungkinkan AI untuk berjalan di perangkat, dan karenanya offline, tanpa perlu mengirim data ke cloud, yang memiliki keuntungan lebih cepat dan lebih aman. Ini dapat digunakan untuk deteksi objek, estimasi pose, segmentasi gambar, dan deteksi frase kunci.

Google menggunakannya untuk rangkaian kit ruang konferensi video Seri One (dengan Lenovo) untuk “penghilangan kebisingan saat berjalan”.

Dengan kemitraan Asus IoT-Coral ini, Google akan “mempertahankan kepemilikan merek dan portofolio produk” dan “berfokus untuk membangun generasi berikutnya dari fitur dan alat pelestarian privasi untuk komputasi saraf di edge.”

Sumber: 9TO5 Google

Kerentanan Terkait DNS yang Tidak Ditambal Mempengaruhi Berbagai Perangkat IoT

by

Peneliti keamanan siber telah mengungkapkan kerentanan keamanan yang belum ditambal yang dapat menimbulkan risiko serius bagi produk IoT.

Masalah ini, yang awalnya dilaporkan pada September 2021, memengaruhi implementasi Domain Name System (DNS) dari dua pustaka C populer yang disebut uClibc dan uClibc-ng yang digunakan untuk mengembangkan sistem Linux tertanam.

uClibc diketahui digunakan oleh vendor besar seperti Linksys, Netgear, dan Axis, serta distribusi Linux seperti Embedded Gentoo, yang berpotensi mengekspos jutaan perangkat IoT ke ancaman keamanan.

“Kecacatan ini disebabkan oleh prediktabilitas ID transaksi yang termasuk dalam permintaan DNS yang dihasilkan oleh perpustakaan, yang memungkinkan penyerang melakukan serangan keracunan DNS terhadap perangkat target,” Giannis Tsaraias dan Andrea Palanca dari Nozomi Networks mengatakan dalam sebuah tulisan Senin- ke atas.

Keracunan DNS, juga disebut sebagai DNS spoofing, adalah teknik merusak cache resolver DNS yang memberi klien alamat IP yang terkait dengan nama domain dengan tujuan mengarahkan pengguna ke situs web berbahaya.

Eksploitasi bug yang berhasil dapat memungkinkan musuh melakukan serangan Man-in-the-Middle (MitM) dan merusak cache DNS, secara efektif mengalihkan lalu lintas internet ke server di bawah kendali mereka.

Nozomi Networks memperingatkan bahwa kerentanan dapat dieksploitasi secara sepele dengan cara yang andal jika sistem operasi dikonfigurasikan untuk menggunakan port sumber yang tetap atau dapat diprediksi.

“Penyerang kemudian dapat mencuri dan/atau memanipulasi informasi yang dikirimkan oleh pengguna, dan melakukan serangan lain terhadap perangkat tersebut untuk sepenuhnya membahayakan mereka,” kata para peneliti.

Sumber: The Hacker News

Varian Malware BotenaGo Baru yang Menargetkan Perangkat DVR Kamera Keamanan Lilin

by

Varian baru botnet IoT yang disebut BotenaGo telah muncul di alam liar, secara khusus memilih perangkat DVR kamera keamanan Lilin untuk menginfeksi mereka dengan malware Mirai.

Dijuluki “Lilin Scanner” oleh Nozomi Networks, versi terbaru dirancang untuk mengeksploitasi kerentanan injeksi perintah kritis berusia dua tahun dalam firmware DVR yang ditambal oleh perusahaan Taiwan pada Februari 2020.

BotenaGo, pertama kali didokumentasikan pada November 2021 oleh AT&T Alien Labs, ditulis dalam bahasa Golang dan menampilkan lebih dari 30 eksploitasi untuk kerentanan yang diketahui di server web, router, dan jenis perangkat IoT lainnya.

Kode sumber botnet telah diunggah ke GitHub, membuatnya siap untuk disalahgunakan oleh pelaku kriminal lainnya. “Dengan hanya 2.891 baris kode, BotenaGo berpotensi menjadi titik awal bagi banyak varian baru dan keluarga malware baru yang menggunakan kode sumbernya,” kata para peneliti tahun ini.

Malware BotenaGo baru adalah yang terbaru untuk mengeksploitasi kerentanan di perangkat DVR Lilin setelah Chalubo, Fbot, dan Moobot. Awal bulan ini, Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab) merinci botnet DDoS yang menyebar cepat yang disebut Fodcha yang menyebar melalui beberapa kelemahan N-Day yang berbeda, termasuk kelemahan Lilin, dan kata sandi Telnet/SSH yang lemah.

Salah satu aspek penting yang membedakan Lillin Scanner dari BotenaGo adalah ketergantungannya pada program eksternal untuk membangun daftar alamat IP perangkat Lilin yang rentan, kemudian mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer dari jarak jauh pada target dan menyebarkan muatan Mirai.

Perlu dicatat bahwa malware tidak dapat menyebarkan dirinya dengan cara seperti cacing, dan hanya dapat digunakan untuk menyerang alamat IP yang diberikan sebagai input dengan binari Mirai.

Perilaku lain yang terkait dengan botnet Mirai adalah pengecualian rentang IP milik jaringan internal Departemen Pertahanan AS (DoD), Layanan Pos AS (USPS), General Electric (GE), Hewlett-Packard (HP), dan lainnya,” kata para peneliti.

Seperti Mirai, kemunculan Lilin Scanner menunjukkan penggunaan kembali kode sumber yang tersedia untuk menelurkan cabang malware baru.

Sumber : The Hacker News

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

by

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer