NSO

Eksploitasi iPhone tanpa klik yang digunakan dalam serangan spyware NSO

April 19, 2022 by Eevee

Peneliti ancaman digital di Citizen Lab telah menemukan eksploitasi iMessage tanpa klik baru yang digunakan untuk menginstal spyware NSO Group di iPhone milik politisi, jurnalis, dan aktivis Catalan.

Cacat keamanan zero-click iOS yang sebelumnya tidak dikenal yang dijuluki HOMAGE memengaruhi beberapa versi sebelum iOS 13.2 (versi iOS stabil terbaru adalah 15.4).

Itu digunakan dalam kampanye yang menargetkan setidaknya 65 orang dengan spyware Pegasus NSO antara 2017 dan 2020, bersama dengan eksploitasi Kismet iMessage dan kelemahan WhatsApp.

Di antara para korban serangan ini, Citizen Lab menyebut Anggota Parlemen Eropa Catalan (MEP), setiap presiden Catalan sejak 2010, serta legislator Catalan, ahli hukum, jurnalis, dan anggota organisasi masyarakat sipil dan keluarga mereka.

Laboratorium penelitian akademis telah melaporkan dan memberi Apple artefak forensik yang diperlukan untuk menyelidiki eksploitasi dan mengatakan tidak ada bukti bahwa pelanggan Apple yang menggunakan versi iOS terbaru terkena serangan HOMAGE.

Seperti yang dilaporkan Reuters, spyware NSO juga digunakan dalam serangan yang menargetkan pejabat senior Komisi Eropa tahun lalu, termasuk Komisioner Keadilan Eropa.

Menurut Direktur Citizen Lab Ron Deibert, beberapa dugaan infeksi dengan spyware Pegasus dalam jaringan resmi Inggris juga dilaporkan oleh Citizen Lab kepada pemerintah Inggris.

Infeksi yang dicurigai pada perangkat milik pejabat di Kantor Perdana Menteri dikaitkan dengan operator Pegasus yang terkait dengan UEA, sementara serangan yang berkaitan dengan Kantor Luar Negeri dan Persemakmuran Inggris terkait dengan UEA, India, Siprus, dan Yordania.

Kementerian Luar Negeri Finlandia mengatakan pada Januari bahwa perangkat diplomat Finlandia telah terinfeksi spyware Pegasus NSO Group setelah pegawai Departemen Luar Negeri AS juga menemukan bahwa iPhone mereka telah diretas untuk memasang spyware yang sama.

Parlemen Eropa sedang membentuk komite penyelidikan (yang akan mengadakan pertemuan pertamanya pada 19 April) untuk menyelidiki pelanggaran hukum Uni Eropa yang berasal dari penggunaan NSO Pegasus dan spyware yang setara.

Pegasus, alat spyware yang dikembangkan oleh perusahaan pengawasan Israel NSO Group, dipasarkan sebagai perangkat lunak pengawasan yang dilisensikan kepada pemerintah di seluruh dunia untuk “menyelidiki kejahatan dan teror.”

“Spyware diam-diam menembus ponsel (dan perangkat lain) dan mampu membaca teks, mendengarkan panggilan, mengumpulkan kata sandi, melacak lokasi, mengakses mikrofon dan kamera perangkat target, dan mengumpulkan informasi dari aplikasi,” Citizen Labs menjelaskan.

“Panggilan dan obrolan terenkripsi juga dapat dipantau. Teknologi ini bahkan dapat mempertahankan akses ke akun cloud korban setelah infeksi berakhir.”

Sumber : Bleeping Computer

Hacks Terburuk tahun 2021

January 19, 2022 by Eevee

2021 adalah musim terbuka bagi penyerang di seluruh dunia. Geng Ransomware sangat agresif, menargetkan fasilitas perawatan kesehatan, sekolah, dan infrastruktur penting pada tingkat yang mengkhawatirkan. Dengan pandemi yang masih berkobar di latar belakang, administrator sistem, penanggap insiden, penegak hukum global, dan semua jenis praktisi keamanan bekerja tanpa lelah untuk melawan rentetan serangan.

Inilah retrospektif tentang pelanggaran terburuk tahun ini, kebocoran, paparan data, serangan ransomware, kampanye peretasan yang disponsori negara, dan kekacauan digital.

Colonial Pipeline
Pada awal Mei, ransomware menghantam Colonial Pipeline, yang mengoperasikan pipa sepanjang 5.500 mil yang membawa hampir setengah dari bahan bakar Pantai Timur—bensin, solar, dan gas alam—dari Texas hingga New Jersey. Sebagai akibat dari serangan tersebut, perusahaan menutup sebagian jalur pipa baik untuk menampung malware maupun karena serangan tersebut membuat sistem penagihannya offline. Colonial Pipelines membayar tebusan 75 bitcoin—bernilai lebih dari $4 juta pada saat itu—dalam upaya untuk menyelesaikan insiden tersebut.

Kaseya
Pada awal Juli, peretas yang terkait dengan geng ransomware REvil yang berbasis di Rusia mengeksploitasi kelemahan pada alat Administrator Sistem Virtual Kaseya. REvil menetapkan uang tebusan sekitar $45.000 untuk banyak korban hilir dan sebanyak $5 juta untuk penyedia layanan terkelola itu sendiri. Geng juga menawarkan untuk merilis alat dekripsi universal untuk sekitar $70 juta. Tapi pada akhir Juli, Kaseya memperoleh decryptor universal dan mulai mendistribusikannya ke target. Pada awal November, Departemen Kehakiman AS mengumumkan bahwa mereka telah menangkap salah satu pelaku utama serangan Kaseya, seorang warga negara Ukraina yang ditangkap pada bulan Oktober.

Twitch
Layanan streaming langsung Twitch mengkonfirmasi bahwa entitas yang tidak dikenal merilis 128 GB data kepemilikan yang dicuri dari perusahaan. Pelanggaran itu termasuk kode sumber lengkap Twitch. Perusahaan mengatakan pada saat itu bahwa insiden itu adalah hasil dari “perubahan konfigurasi server yang memungkinkan akses yang tidak tepat oleh pihak ketiga yang tidak sah.” Twitch membantah bahwa kata sandi terungkap dalam pelanggaran tersebut, tetapi mengakui bahwa informasi tentang pendapatan masing-masing streamer telah dicuri. Selain kode sumber itu sendiri dan data pembayaran streamer sejak 2019, harta karun itu juga berisi informasi tentang sistem internal Twitch Amazon Web Services dan SDK berpemilik.

Peretasan Microsoft Exchange
Kelompok peretas yang didukung negara China yang dikenal sebagai Hafnium menangis mengeksploitasi sekelompok kerentanan dalam perangkat lunak Microsoft Exchange Server. Peretasan itu mengenai berbagai korban, termasuk usaha kecil dan pemerintah daerah. Dan kampanye tersebut juga mempengaruhi sejumlah besar organisasi di luar AS, seperti Parlemen Norwegia dan Otoritas Perbankan Eropa. Microsoft mengeluarkan tambalan darurat pada 2 Maret untuk mengatasi kerentanan, tetapi peretasan sudah berjalan dan banyak organisasi membutuhkan waktu berhari-hari atau berminggu-minggu untuk menginstal perbaikan, jika mereka melakukannya sama sekali.

Meretas Dengan Alat Grup NSO
Platform komunikasi WhatsApp dan Apple menggugat NSO pada 2019 setelah serangkaian pengungkapan bahwa NSO menciptakan alat untuk menginfeksi target iOS dengan spyware Pegasus andalannya dengan mengeksploitasi kelemahan pada platform komunikasi iMessage Apple. Para peneliti mempelajari daftar bocoran 50.000 nomor telepon yang terkait dengan aktivis, jurnalis, eksekutif, dan politisi yang semuanya merupakan target pengawasan potensial. NSO Group telah membantah klaim tersebut. Pada bulan Desember, peneliti Google menyimpulkan bahwa kecanggihan malware NSO setara dengan peretas elit negara bangsa.

JBS USA
JBS SA mengalami serangan ransomware besar-besaran pada akhir Mei. Anak perusahaannya JBS USA mengatakan “itu adalah target serangan keamanan siber terorganisir, yang memengaruhi beberapa server yang mendukung sistem TI Amerika Utara dan Australia.”. Fasilitas JBS di Australia, AS, dan Kanada menghadapi gangguan, dan serangan tersebut menyebabkan serangkaian dampak di seluruh industri daging yang menyebabkan penutupan pabrik, karyawan yang dipulangkan, dan ternak yang harus dikembalikan ke petani. Insiden itu terjadi hanya beberapa minggu setelah serangan Colonial Pipeline, yang menggarisbawahi kerapuhan infrastruktur kritis dan rantai pasokan global yang vital.

Accelion
Vendor firewall Accellion merilis patch pada akhir Desember untuk mengatasi sekelompok kerentanan di salah satu penawaran peralatan jaringannya. Namun, tambalan tidak datang atau diinstal dengan cukup cepat untuk lusinan organisasi di seluruh dunia. Banyak yang mengalami pelanggaran data dan menghadapi upaya pemerasan sebagai akibat dari kerentanan. Para korban termasuk Reserve Bank of New Zealand, negara bagian Washington, Australian Securities and Investments Commission, firma keamanan siber Qualys, telekomunikasi Singapura Singtel, firma hukum terkenal Jones Day, jaringan toko grosir Kroger, dan University of Colorado. .

Honorable Mention: T-Mobile dan Neiman Marcus
Operator nirkabel T-Mobile mengakui pada bulan Agustus bahwa data dari lebih dari 48 juta orang telah dibobol dalam pelanggaran bulan itu. Para korban dicuri nama, tanggal lahir, nomor jaminan sosial, dan detail SIM mereka. Selain itu, 850.000 pelanggan dengan paket prabayar memiliki nama, nomor telepon, dan PIN yang diambil dalam pelanggaran tersebut.

Pelanggar berulang lainnya adalah jaringan department store Neiman Marcus. Perusahaan mengungkapkan insiden pada bulan Oktober, yang mengungkap nama korban, alamat, dan informasi kontak lainnya, ditambah kredensial login dan pertanyaan/jawaban keamanan dari akun Neiman Marcus online, nomor kartu kredit dan tanggal kedaluwarsa, dan nomor kartu hadiah.

Selengkapnya : WIRED

Google Mengatakan NSO Pegasus Zero-Click ‘Eksploitasi Paling Canggih Secara Teknis yang Pernah Dilihat’

December 17, 2021 by Winnie the Pooh

Peneliti keamanan di Project Zero Google telah memilih salah satu eksploitasi iPhone paling terkenal di alam liar dan menemukan peta jalan peretasan yang belum pernah dilihat sebelumnya yang menyertakan file PDF yang berpura-pura menjadi gambar GIF dengan CPU virtual berkode khusus yang dibuat dari operasi piksel boolean.

Jika itu membuat Anda menggaruk-garuk kepala, itulah reaksi dari tim peneliti keamanan utama Google setelah membongkar apa yang disebut eksploitasi zero-click FORCEDENTRY iMessage yang digunakan untuk menanam alat pengawasan Pegasus NSO Group di iPhone.

“Kami menilai ini sebagai salah satu eksploitasi paling canggih secara teknis yang pernah kami lihat,” Ian Beer dan Samuel Groß dari Google menulis dalam penyelaman teknis yang mendalam tentang eksploitasi eksekusi kode jarak jauh yang ditangkap selama serangan di alam liar terhadap seorang aktivis di Arab Saudi.

Para peneliti mengatakan kecanggihan eksploitasi adalah konfirmasi bahwa peretas di NSO Group yang berbasis di Israel memiliki keahlian teknis dan sumber daya untuk bersaing yang sebelumnya dianggap hanya dapat diakses oleh segelintir negara bangsa.

Dalam perinciannya, Project Zero mengatakan eksploitasi secara efektif menciptakan “senjata yang tidak memiliki pertahanan,” mencatat bahwa eksploitasi zero-klik bekerja secara diam-diam di latar belakang dan bahkan tidak mengharuskan target untuk mengklik tautan atau menjelajahi situs berbahaya.

Selengkapnya: Securityweek

Serangan zero-click NSO baru menghindari perlindungan keamanan iPhone Apple, kata Citizen Lab

August 26, 2021 by Winnie the Pooh

IPhone seorang aktivis hak asasi manusia Bahrain diretas secara diam-diam awal tahun ini oleh spyware kuat yang dijual ke negara-bangsa, mengalahkan perlindungan keamanan baru yang dirancang Apple untuk menahan kompromi rahasia, kata para peneliti di Citizen Lab.

Aktivis, yang tetap berada di Bahrain dan meminta untuk tidak disebutkan namanya, adalah anggota Pusat Hak Asasi Manusia Bahrain, sebuah organisasi nirlaba pemenang penghargaan yang mempromosikan hak asasi manusia di negara Teluk. Kelompok itu terus beroperasi meskipun ada larangan yang diberlakukan oleh kerajaan pada tahun 2004 menyusul penangkapan direkturnya karena mengkritik perdana menteri negara itu.

Citizen Lab, pengawas internet yang berbasis di University of Toronto, menganalisis iPhone 12 Pro aktivis dan menemukan bukti bahwa itu diretas mulai Februari menggunakan apa yang disebut serangan “zero-click”, karena tidak memerlukan interaksi pengguna untuk menginfeksi perangkat korban.

Serangan zero-click memanfaatkan kerentanan keamanan yang sebelumnya tidak diketahui di iMessage Apple, yang dieksploitasi untuk mendorong spyware Pegasus, yang dikembangkan oleh perusahaan Israel NSO Group, ke telepon aktivis.

Peretasan itu signifikan, paling tidak karena peneliti Citizen Lab mengatakan menemukan bukti bahwa serangan zero-click berhasil mengeksploitasi perangkat lunak iPhone terbaru pada saat itu, baik iOS 14.4 dan iOS 14.6 yang lebih baru, yang dirilis Apple pada bulan Mei.

Tetapi peretasan juga menghindari fitur keamanan perangkat lunak baru yang ada di semua versi iOS 14, dijuluki BlastDoor, yang seharusnya mencegah peretasan perangkat semacam ini dengan memfilter data berbahaya yang dikirim melalui iMessage.

Karena kemampuannya untuk menghindari BlastDoor, para peneliti menyebut eksploitasi terbaru ini ForcedEntry.

Bill Marczak dari Citizen Lab mengatakan kepada TechCrunch bahwa para peneliti membuat Apple mengetahui upaya untuk menargetkan dan mengeksploitasi iPhone terbaru. Ketika dihubungi oleh TechCrunch, Apple tidak secara eksplisit mengatakan jika telah menemukan dan memperbaiki kerentanan yang dieksploitasi NSO.

Selengkapnya: Tech Crunch

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

NSO

Cookies Settings