Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for kolaborasi

kolaborasi

AMD, Mitra Google dalam Upaya Keamanan Siber EPYC yang Belum Pernah Ada Sebelumnya

by

AMD dan Google telah mengumumkan kolaborasi tingkat dalam yang rumit pada penelitian keamanan siber untuk CPU EPYC kelas server AMD — yang sekarang telah berjalan selama lima tahun. Menurut Wired, kemitraan ini memanfaatkan dua tim peneliti Google Cloud Security bersama dengan Project Zero Google (bagian penelitian keamanan siber di dalam perusahaan), dan grup firmware AMD.

Tujuannya adalah untuk menempatkan perangkat keras AMD dan prosesor yang aman melalui langkah mereka melalui akses yang tampaknya belum pernah terjadi sebelumnya ke kode sumber dan mekanisme keamanan AMD. Dalam laporan post-mortem tentang kolaborasi (yang sedang berlangsung), kemitraan tersebut mengumumkan penemuan dan penyebaran mitigasi untuk 19 kerentanan keamanan secara total. Itu berarti 19 vektor serangan lebih sedikit di salah satu arsitektur server paling sukses di dunia.

Para peneliti terutama memfokuskan upaya mereka pada AMD’s Secure Processor (ASP) seperti yang diterapkan di EPYC generasi ketiga AMD, Milan. Insinyur Google diberi akses ke kode sumber untuk ASP, di samping sampel produksi untuk menguji serangan perangkat keras. Yang menarik bagi Google adalah implementasi generasi berikutnya dari Secure Nested Paging (SEV-SNP), sebuah kemampuan yang memungkinkan Mesin Virtual (VM) tetap rahasia terhadap hypervisor itu sendiri. Tim teknik meninjau desain dan implementasi kode sumber SEV, menulis kode pengujian khusus, dan menjalankan pengujian keamanan perangkat keras, mencoba mengidentifikasi potensi kerentanan yang muncul.

Brent Hollingsworth, direktur AMD dari ekosistem perangkat lunak EPYC, menunjukkan bahwa kemitraan tersebut menyatukan AMD dan Google yang terbaik dan tercerdas, membuka ruang untuk vektor serangan yang sebelumnya tidak diketahui, dan mendorong kreativitas pada lapisan serangan – baik berbasis perangkat lunak atau perangkat keras.

Sebagai “chip-in-the-chip” yang bertanggung jawab untuk enkripsi data kriptografi, ASP AMD adalah “inti” prosesor generik yang fitur-fiturnya dapat dibangun oleh AMD dan tim desain perangkat keras dan firmware. Tetapi dengan setiap lapisan keamanan tambahan, ada peluang untuk menambahkan vektor serangan terhadap mekanisme keamanan terpusat ini – titik kegagalan yang berpotensi parah yang dapat membuat keamanan seluruh sistem keluar dari jendela pepatah (dengan akses root yang tidak terlihat) jika itu dikompromikan.

Pada tingkat dampak inilah kemitraan AMD-Google dibentuk; menurut Nelly Porter, manajer produk grup dengan Google Cloud, tujuannya bukan untuk menunjuk jari atau menyebut kerentanan AMD — ini adalah upaya gabungan dan kolaboratif bagi perusahaan untuk menopang pertahanan mereka terhadap penyerang yang semakin kreatif dan terampil secara teknis. Keamanan siber selalu dianggap berada di belakang mereka yang akan memecahkannya; baik AMD maupun Google ingin menjadi yang terdepan dalam upaya membalikkan permainan.

Kemitraan ini sebagian besar dimotivasi oleh penawaran Google atas layanan Komputasi Rahasia, yang bertujuan untuk menjaga agar data pelanggan tetap terenkripsi setiap saat – baik saat istirahat, dalam perjalanan, atau selama pemrosesan. Mengikuti meningkatnya ketergantungan pada layanan komputasi awan (mulai dari beban kerja klasik yang diturunkan ke cloud, cloud gaming, atau bahkan sistem operasi berbasis cloud seperti Microsoft Windows 365 Cloud), risiko yang ditimbulkan oleh potensi kerentanan dalam infrastruktur keamanan dapat berasal dari miliaran dolar kerugian. Mempertimbangkan peran AMD dalam upaya penelitian, perusahaan sangat menyadari manfaat yang dapat diperoleh dari keahlian kedua perusahaan dalam meningkatkan produknya.

Keamanan siber adalah salah satu upaya terpenting di dunia, mengikuti digitalisasi layanan yang hampir lengkap, uang (baik dalam rekening bank tradisional berbasis FIAT atau yang sedang berdarah, jalan merah crypto dan DeFi), dan infrastruktur global. Membalik satu biner menuju nol berpotensi menjungkirbalikkan globalisasi dan ekonomi di seluruh dunia. Dan itu adalah sesuatu yang tidak diinginkan oleh perusahaan atau individu mana pun.

Sumber: Tom’s Hardware

Geng ransomware Rusia mulai berkolaborasi dengan peretas China

by

Beberapa aktivitas tidak biasa muncul di forum cybercrime berbahasa Rusia, di mana peretas tampaknya menjangkau rekan-rekan China untuk berkolaborasi. Upaya untuk merekrut aktor ancaman Tiongkok ini terlihat di forum peretasan RAMP.

Menurut laporan Flashpoint, pengguna tingkat tinggi dan administrator RAMP sekarang secara aktif mencoba berkomunikasi dengan anggota forum baru dalam bahasa Mandarin. Forum tersebut memiliki sekitar 30 pendaftaran pengguna baru yang tampaknya berasal dari China

Para peneliti menyatakan penyebab yang paling mungkin adalah bahwa geng ransomware Rusia berusaha membangun aliansi dengan aktor China untuk meluncurkan serangan siber terhadap target AS, memperdagangkan kerentanan, atau bahkan merekrut bakat baru untuk operasi Ransomware-as-a-Service (RaaS) mereka. Inisiatif ini dimulai oleh admin RAMP yang dikenal sebagai Kajit, baru-baru ini mengaku menghabiskan beberapa waktu di China dan dapat berbicara bahasa tersebut.

Dalam RAMP versi sebelumnya, dia telah mengisyaratkan bahwa dia akan mengundang aktor ancaman China ke forum, yang tampaknya sedang berlangsung.

Namun, peretas Rusia yang mencoba berkolaborasi dengan aktor ancaman China tidak terbatas pada forum peretasan RAMP karena Flashpoint juga telah melihat kolaborasi serupa di forum peretasan XSS.

“Pada tangkapan layar di bawah, pengguna XSS “hoffman” menyapa dua anggota forum yang menyatakan diri mereka sebagai orang Cina,” jelas penelitian baru oleh Flashpoint.

Posting di forum peretasan XSS
Sumber: Flashpoint

Bulan lalu, seorang admin RAMP yang dikenal sebagai ‘Oranye’ atau ‘boriselcin’ dan yang menjalankan situs “Groove”, menerbitkan sebuah posting yang menyerukan para pelaku ancaman untuk menyerang AS.

Aktor Groove mengklaim bahwa operasi itu palsu sejak awal dan dibuat untuk menjebak dan memanipulasi media dan peneliti keamanan. Peneliti keamanan dari McAfee dan Intel 471 percaya bahwa ini kemungkinan hanya pelaku ancaman yang mencoba menutupi fakta bahwa upaya pelaku ransomware-as-a-service tidak berjalan sesuai rencana.

Namun, operasi ransomware Conti baru-baru ini diposting ke forum RAMP untuk merekrut afiliasi dan membeli akses awal ke jaringan. Geng tersebut mengatakan bahwa mereka biasanya hanya bekerja dengan peretas yang berbahasa Rusia, tetapi membuat pengecualian untuk pelaku ancaman yang berbahasa China untuk menghormati admin RAMP.

“Iklan ini dalam bahasa Rusia, karena kami hanya bekerja dengan penutur bahasa Rusia. TAPI, untuk menghormati admin, kami akan membuat pengecualian untuk pengguna berbahasa Sino dan bahkan menerjemahkan pesan ini dalam bahasa Mandarin (Anda bahkan dapat menggandakannya dalam bahasa Mandarin dan Canotonese!)”- Operasi ransomware Conti.

Conti bersedia bekerja dengan aktor ancaman berbahasa Mandarin
Sumber: BleepingComputer melalui analis ancaman anonim

Dengan demikian, tampaknya forum RAMP secara aktif mengundang aktor ancaman berbahasa China untuk berpartisipasi dalam percakapan dan serangan.

RAMP didirikan musim panas lalu oleh anggota inti geng ransomware Babuk asli, yang bertujuan untuk berfungsi sebagai tempat baru untuk membocorkan data berharga yang dicuri dari serangan siber dan merekrut afiliasi ransomware.

Kasus penting dari kebocoran semacam itu terjadi pada bulan September ketika admin RAMP memposting 498.908 kredensial Fortinet VPN untuk mengakses 12.856 perangkat di berbagai jaringan perusahaan.

Meskipun banyak dari kredensial ini sudah tua, peneliti keamanan menyatakan bahwa banyak kredensial yang masih valid dan memungkinkan forum RAMP membangun reputasi di lapangan.

Flashpoint melaporkan bahwa RAMP telah mencapai iterasi ketiga, menggunakan domain .onion baru dan mengharuskan semua pengguna sebelumnya untuk mendaftar ulang.

Selengkapnya : Bleeping Computer