ISP

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
CVE-2020-9907 secara internal disebut sebagai AveCesare.
CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer

Beberapa bagian dari Selandia Baru terputus dari dunia digital pada tanggal 3 September setelah ISP lokal utama terkena serangan DDoS yang agresif.

Vocus – operator internet terbesar ketiga di negara itu yang berada di belakang merek termasuk Orcon, Slingshot dan Stuff Fiber – mengkonfirmasi bahwa serangan siber berasal dari salah satu pelanggannya.

Menurut pembaruan status jaringan, perusahaan mengatakan: “Sore ini pelanggan Vocus berada di bawah serangan DDoS… Aturan mitigasi DDoS telah diperbarui ke platform Arbor DDoS kami untuk memblokir serangan bagi pelanggan.”

Detailnya masih samar, tetapi pemadaman telah menyebabkan gangguan signifikan di seluruh negeri dengan banyak orang bekerja dari rumah karena pembatasan COVID-19.

Sebuah laporan oleh Reuters menunjukkan bahwa tanggapan Vocus terhadap serangan cyber mungkin memiliki efek knock-on yang mengakibatkan pemadaman 30 menit di seluruh negeri, termasuk kota-kota besar Auckland, Wellington dan Christchurch. Kami telah meminta komentar dari vendor perlindungan Arbor DDoS Netscout.

Selengkapnya: The Register

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

Pemadaman internet Selandia Baru disebabkan oleh serangan DDoS pada penyedia internet terbesar ketiga di negara itu

ISP

Cookies Settings