Korea Utara

Google mengatakan telah menggagalkan serangan siber Korea Utara pada awal 2022

March 25, 2022 by Eevee

Grup Analisis Ancaman Google mengumumkan pada hari Kamis bahwa mereka telah menemukan sepasang kader peretasan Korea Utara dengan nama Operation Dream Job dan Operation AppleJeus pada bulan Februari yang memanfaatkan eksploitasi eksekusi kode jarak jauh di browser web Chrome.

Para blackhatter dilaporkan menargetkan media berita AS, TI, kripto dan industri fintech, dengan bukti serangan mereka kembali sejauh 4 Januari 2022, meskipun Grup Analisis Ancaman mencatat bahwa organisasi di luar AS bisa menjadi target juga.

“Kami menduga bahwa kelompok-kelompok ini bekerja untuk entitas yang sama dengan rantai pasokan bersama, oleh karena itu menggunakan kit eksploit yang sama, tetapi masing-masing beroperasi dengan rangkaian misi yang berbeda dan menerapkan teknik yang berbeda,” tulis tim Google pada hari Kamis. “Ada kemungkinan penyerang lain yang didukung pemerintah Korea Utara memiliki akses ke perangkat eksploitasi yang sama.”

Operation Dream Job menargetkan 250 orang di 10 perusahaan dengan tawaran pekerjaan palsu seperti Disney dan Oracle yang dikirim dari akun palsu agar terlihat seperti berasal dari Memang atau ZipRecruiter. Mengklik tautan akan meluncurkan iframe tersembunyi yang akan memicu eksploitasi.

Operasi AppleJeus, di sisi lain, menargetkan lebih dari 85 pengguna di industri cryptocurrency dan fintech menggunakan kit eksploit yang sama.

Upaya itu melibatkan “mengkompromikan setidaknya dua situs web perusahaan fintech yang sah dan menghosting iframe tersembunyi untuk menyajikan kit eksploit kepada pengunjung,”

“Dalam kasus lain, kami mengamati situs web palsu sudah disiapkan untuk mendistribusikan aplikasi cryptocurrency yang di-trojan menghosting iframe dan mengarahkan pengunjung mereka ke kit eksploit.”

“Kit awalnya melayani beberapa javascript yang sangat dikaburkan yang digunakan untuk sidik jari sistem target,” kata tim. “Skrip ini mengumpulkan semua informasi klien yang tersedia seperti agen pengguna, resolusi, dll., lalu mengirimkannya kembali ke server eksploitasi.

Jika serangkaian persyaratan yang tidak diketahui terpenuhi, klien akan disajikan eksploitasi Chrome RCE dan beberapa tambahan javascript. Jika RCE berhasil, javascript akan meminta tahap berikutnya yang dirujuk dalam skrip sebagai ‘SBX,’ akronim umum untuk Sandbox Escape.”

Grup keamanan Google menemukan aktivitas tersebut pada 10 Februari dan telah menambalnya pada 14 Februari. Perusahaan telah menambahkan semua situs web dan domain yang teridentifikasi ke database Penjelajahan Aman serta memberi tahu semua pengguna Gmail dan Workspace yang ditargetkan tentang upaya tersebut.

Sumber : Engadget

Toyota menangguhkan operasi pabrik dalam negeri setelah dugaan serangan dunia maya

March 2, 2022 by Eevee

Toyota Motor Corp (7203.T) mengatakan akan menangguhkan operasi pabrik domestik pada hari Selasa, kehilangan sekitar 13.000 mobil produksi, setelah pemasok suku cadang plastik dan komponen elektronik terkena serangan cyber yang dicurigai.

Tidak ada informasi segera tersedia tentang siapa yang berada di balik kemungkinan serangan atau motifnya. Serangan itu terjadi tepat setelah Jepang bergabung dengan sekutu Barat dalam menekan Rusia setelah menginvasi Ukraina, meskipun tidak jelas apakah serangan itu terkait sama sekali.

Perdana Menteri Jepang Fumio Kishida mengatakan pemerintahnya akan menyelidiki insiden tersebut dan apakah Rusia terlibat.

Kishida pada hari Minggu mengumumkan bahwa Jepang akan bergabung dengan Amerika Serikat dan negara-negara lain dalam memblokir beberapa bank Rusia untuk mengakses sistem pembayaran internasional SWIFT. Dia juga mengatakan Jepang akan memberikan Ukraina $100 juta dalam bentuk bantuan darurat.

Seorang juru bicara pemasok, Kojima Industries Corp, mengatakan tampaknya telah menjadi korban dari beberapa jenis serangan cyber.

Seorang juru bicara dari Toyota menggambarkannya sebagai “kegagalan sistem pemasok.”

Perusahaan belum tahu apakah penghentian di 14 pabriknya di Jepang, yang menyumbang sekitar sepertiga dari produksi globalnya, akan berlangsung lebih dari satu hari, juru bicara itu menambahkan.

Beberapa pabrik yang dioperasikan oleh afiliasi Toyota Hino Motors (7205.T) dan Daihatsu (6023.T) termasuk dalam penutupan.

Toyota, yang pernah mengalami serangan dunia maya di masa lalu, adalah pelopor manufaktur Just-In-Time dengan suku cadang yang datang dari pemasok langsung ke jalur produksi daripada ditimbun.

Aktor negara telah meluncurkan serangan siber terhadap perusahaan Jepang di masa lalu, termasuk serangan terhadap Sony Corp (6758.T) pada tahun 2014, yang mengekspos data internal dan mematikan sistem komputer.

Amerika Serikat menyalahkan Korea Utara atas serangan itu, yang terjadi setelah Sony merilis “The Interview”, sebuah komedi tentang rencana untuk membunuh pemimpin rezim Kim Jong Un.

Penghentian produksi Toyota terjadi karena pembuat mobil terbesar di dunia itu sudah menangani gangguan rantai pasokan di seluruh dunia yang disebabkan oleh pandemi COVID, yang telah memaksanya dan pembuat mobil lain untuk mengekang produksi.

Toyota bulan ini juga melihat beberapa produksi dihentikan di Amerika Utara karena kekurangan suku cadang yang disebabkan oleh protes pengemudi truk Kanada.

Sumber : Reuters

Seorang Pria Amerika Menghapus Internet Korea Utara Setelah Mereka Meretasnya

February 4, 2022 by Eevee

Selama dua minggu terakhir, Hampir semua situs web terputus secara massal, dari situs pemesanan maskapai Air Koryo hingga Naenara, halaman yang berfungsi sebagai portal resmi untuk diktator Kim. pemerintahan Jong-un.

Beberapa pengamat Korea Utara menunjukkan bahwa negara itu baru saja melakukan serangkaian uji coba rudal, menyiratkan bahwa peretas pemerintah asing mungkin telah meluncurkan serangan siber terhadap negara jahat itu untuk memintanya menghentikan serangan pedang.

Tetapi tanggung jawab atas pemadaman internet yang sedang berlangsung di Korea Utara sebenarnya adalah pekerjaan seorang pria Amerika dengan T-shirt yang secara berkala berjalan ke kantor rumahnya untuk memeriksa kemajuan program yang dia jalankan untuk mengganggu internet di seluruh negara.

P4x mengatakan dia menemukan banyak kerentanan tetapi belum ditambal dalam sistem Korea Utara yang memungkinkan dia untuk meluncurkan serangan “denial-of-service” sendirian di server dan router yang bergantung pada beberapa jaringan yang terhubung ke internet di negara itu. Dia menyebut salah satu contoh, bug yang dikenal di perangkat lunak server web NginX yang salah menangani header HTTP tertentu, memungkinkan server yang menjalankan perangkat lunak kewalahan dan offline. Dia juga menyinggung untuk menemukan versi “kuno” dari perangkat lunak server web Apache, dan mengatakan dia mulai memeriksa sistem operasi homebrew nasional Korea Utara, yang dikenal sebagai Red Star OS, yang dia gambarkan sebagai versi lama dan kemungkinan rentan dari Linux.

P4x mengatakan bahwa dia telah mengotomatiskan serangannya terhadap sistem Korea Utara, secara berkala menjalankan skrip yang menyebutkan sistem mana yang tetap online dan kemudian meluncurkan eksploitasi untuk menjatuhkannya. “Bagi saya, ini seperti ukuran pentest kecil hingga menengah,” kata P4x, menggunakan singkatan dari “penetration test,” jenis peretasan topi putih yang pernah dia lakukan di masa lalu untuk mengungkap kerentanan di jaringan klien .

Catatan dari layanan pengukuran waktu aktif Pingdom menunjukkan bahwa di beberapa titik selama peretasan P4x, hampir setiap situs web Korea Utara down.

Ali mengatakan dia melihat router-router utama untuk negara itu kadang-kadang mati, membawa mereka tidak hanya akses ke situs web negara itu, tetapi juga ke email dan layanan berbasis internet lainnya.

Sebagian besar penduduk terbatas pada intranet negara yang terputus. Williams mengatakan lusinan situs P4x telah berulang kali dihapus sebagian besar digunakan untuk propaganda dan fungsi lain yang ditujukan untuk audiens internasional.

Upaya hacktivistnya dimaksudkan untuk mengirim pesan tidak hanya kepada pemerintah Korea Utara, tetapi juga dirinya sendiri. Serangan sibernya di jaringan Korea Utara, katanya, sebagian merupakan upaya untuk menarik perhatian pada apa yang dia lihat sebagai kurangnya respons pemerintah terhadap Korea Utara yang menargetkan individu AS. “Jika tidak ada yang akan membantu saya, saya akan membantu diri saya sendiri,” katanya.

P4x tahu persis momen tahun lalu ketika dia dipukul oleh mata-mata Korea Utara. Pada akhir Januari 2021, dia membuka file yang dikirim kepadanya oleh sesama peretas, yang menggambarkannya sebagai alat eksploitasi. Hanya 24 jam kemudian, dia melihat posting blog dari Grup Analisis Ancaman Google yang memperingatkan bahwa peretas Korea Utara menargetkan peneliti keamanan. Benar saja, ketika P4x meneliti alat peretasan yang dia terima dari orang asing, dia melihat bahwa itu berisi pintu belakang yang dirancang untuk memberikan pijakan jarak jauh di komputernya. P4x telah membuka file di mesin virtual, secara digital mengkarantinanya dari sisa sistemnya. Tapi dia tetap terkejut dan terkejut dengan kesadaran bahwa dia secara pribadi telah menjadi sasaran Korea Utara.

P4x mengatakan dia dihubungi oleh FBI tetapi tidak pernah ditawari bantuan nyata untuk kerusakan dari peretasan Korea Utara. Dia juga tidak pernah mendengar konsekuensi apa pun bagi peretas yang menargetkannya, penyelidikan terbuka terhadap mereka, atau bahkan pengakuan resmi dari agen AS bahwa Korea Utara bertanggung jawab. Itu mulai terasa, seperti yang dia katakan, seperti “benar-benar tidak ada seorang pun di pihak kita.”

Setelah pengalamannya sebagai target spionase siber yang disponsori negara, P4x menghabiskan sebagian besar tahun berikutnya untuk proyek-proyek lain. Tetapi setelah satu tahun berlalu, masih tanpa pernyataan publik atau swasta dari pemerintah federal tentang penargetan peneliti keamanan dan tidak ada tawaran dukungan dari badan AS mana pun, P4x mengatakan bahwa dia memutuskan sudah waktunya untuk membuat pernyataannya sendiri kepada kedua Korea Utara. dan pemerintah Amerika.

Peretas lain yang ditargetkan oleh Korea Utara tidak semuanya setuju bahwa peretasan P4x adalah cara yang tepat untuk membuat pernyataan itu. Dave Aitel, mantan peretas NSA dan pendiri firma keamanan Imunitas, juga menjadi sasaran dalam kampanye spionase yang sama. Tetapi dia mempertanyakan apakah P4x telah mengambil pendekatan yang produktif untuk membalas dendam, mengingat bahwa dia mungkin sebenarnya menghalangi upaya intelijen tersembunyi yang menargetkan komputer Korea Utara yang sama.

Namun, Aitel setuju bahwa tanggapan pemerintah terhadap kampanye Korea Utara masih kurang. Dia mengatakan dia tidak pernah menerima kontak apa pun dari lembaga pemerintah dan menyalahkan kebisuan itu secara khusus di kaki Badan Keamanan Cybersecurity dan Infrastruktur. “Ini adalah salah satu bola terbesar yang telah dijatuhkan CISA,” kata Aitel. “Amerika Serikat pandai melindungi pemerintah, baik dalam melindungi perusahaan, tetapi tidak melindungi individu.” Dia menunjukkan bahwa banyak peneliti keamanan yang ditargetkan kemungkinan memiliki akses signifikan ke kerentanan perangkat lunak, jaringan perusahaan, dan kode alat yang banyak digunakan. Itu bisa menghasilkan, katanya, di “SolarWinds berikutnya.”

Terlepas dari kritik pemerintah AS, P4x jelas bahwa peretasannya bertujuan terutama untuk mengirim pesan ke rezim Kim, yang ia gambarkan sebagai melakukan “pelanggaran hak asasi manusia yang gila dan kontrol penuh atas populasi mereka.” Meskipun dia mengakui bahwa serangannya kemungkinan melanggar undang-undang penipuan dan peretasan komputer AS, dia berpendapat bahwa dia tidak melakukan kesalahan etis. “Hati nurani saya bersih,” katanya.

Sumber : WIRED

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

January 28, 2022 by Eevee

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Korea Utara

Cookies Settings