Orion

Microsoft mengatakan peretas SolarWinds mengunduh beberapa kode sumber Azure, Exchange, dan Intune

February 19, 2021 by Winnie the Pooh

Tim keamanan Microsoft mengatakan hari ini telah secara resmi menyelesaikan penyelidikannya atas pelanggaran terkait SolarWinds dan tidak menemukan bukti bahwa peretas menyalahgunakan sistem internal atau produk resminya untuk berputar dan menyerang pengguna akhir dan pelanggan bisnis.

Pembuat OS mulai menyelidiki pelanggaran tersebut pada pertengahan Desember setelah ditemukan bahwa peretas yang terkait dengan Rusia melanggar vendor perangkat lunak SolarWinds dan memasukkan malware ke dalam platform pemantauan TI Orion, produk yang juga telah digunakan oleh Microsoft secara internal.

Pada laporan bulan Desember, Microsoft sempat mengatakan bahwa peretas telah mengakses kode sumber produk nya.

“Analisis kami menunjukkan viewing pertama file di repositori sumber terjadi pada akhir November dan berakhir ketika kami mengamankan akun yang terpengaruh,” kata perusahaan hari ini, dalam laporan terakhirnya terkait pelanggaran terkait SolarWinds.

Pembuat OS mengatakan penyusup melihat “hanya beberapa file individual […] sebagai hasil dari pencarian repositori.”

Tetapi selain melihat file, para peretas juga berhasil mengunduh beberapa kode. Namun, Microsoft mengatakan datanya tidak ekstensif dan penyusup hanya mengunduh kode sumber dari beberapa komponen yang terkait dengan beberapa produk berbasis cloud-nya.

Menurut Microsoft, repositori ini berisi kode untuk:

sebagian kecil komponen Azure (subset layanan, keamanan, identitas)
sebagian kecil komponen Intune
sebagian kecil komponen Exchange

Sumber: ZDNet

AS Menghabiskan $ 2,2 Juta untuk Sistem Keamanan Siber yang Tidak Diimplementasikan

February 3, 2021 by Winnie the Pooh

Pelanggaran data besar-besaran, yang menurut badan intelijen AS “kemungkinan besar berasal dari Rusia,” menembus sistem komputer lembaga federal, termasuk Departemen Keamanan Dalam Negeri, Departemen Keuangan, Institut Kesehatan Nasional, dan Departemen Kehakiman, juga sebagai sejumlah perusahaan Fortune 500. Para peretas tetap tidak terdeteksi selama berbulan-bulan.

Masalah ini mendorong pengembangan pendekatan baru, didukung oleh $ 2,2 juta dalam bentuk hibah federal dan tersedia secara gratis, yang bertujuan untuk memberikan perlindungan ujung ke ujung untuk seluruh jalur pasokan perangkat lunak. Dinamakan in-toto (bahasa Latin untuk “secara keseluruhan”), ini adalah hasil kerja tim akademisi yang dipimpin oleh Justin Cappos, seorang profesor ilmu komputer dan teknik di Universitas New York. Cappos, 43, telah menjadikan pengamanan rantai pasokan perangkat lunak sebagai pekerjaannya. P\

Cappos dan rekan-rekannya percaya bahwa sistem in-toto, jika digunakan secara luas, dapat memblokir atau meminimalkan kerusakan dari serangan SolarWinds. Namun hal itu tidak terjadi: Pemerintah federal tidak mengambil langkah apa pun untuk meminta vendor perangkat lunaknya, seperti SolarWinds, untuk mengadopsinya. Memang, tidak ada lembaga pemerintah yang menanyakan tentang itu, menurut Cappos.

In-toto dapat memblokir dan mengungkap serangan dunia maya yang tak terhitung jumlahnya yang saat ini tidak terdeteksi, menurut Cappos, yang timnya termasuk Santiago Torres-Arias, asisten profesor teknik listrik dan komputer di Universitas Purdue, dan Reza Curtmola, co-direktur New Jersey Institute of Pusat Penelitian Keamanan Siber Teknologi. Dalam makalah dan presentasi Agustus 2019 di konferensi komputer USENIX, berjudul “in-toto: Memberikan jaminan farm-to-table untuk bit dan byte,” tim Cappos melaporkan mempelajari 30 pelanggaran rantai pasokan utama sejak tahun 2010. Dalam- toto, mereka menyimpulkan, akan mencegah antara 83% dan 100% serangan itu.

“Ini tersedia untuk semua orang secara gratis, dibayar oleh pemerintah, dan harus digunakan oleh semua orang,” kata Cappos. “Orang-orang mungkin masih bisa masuk dan mencoba meretasnya. Tapi ini adalah langkah pertama yang perlu dan akan menangkap banyak hal ini. ” Lambatnya adopsi “benar-benar mengecewakan,” tambah Cappos.

Dmitri Alperovitch, yang ikut mendirikan CrowdStrike (perusahaan keamanan siber SolarWinds telah menyewa untuk menyelidiki peretasan tersebut) sebelum keluar tahun lalu untuk memulai grup kebijakan nirlaba, mengatakan bahwa menurutnya, secara teori, sistem in-toto dapat berfungsi. Tetapi dia memperingatkan bahwa perangkat lunak itu sangat kompleks, dengan banyak produk dan perusahaan dalam rantai pasokan, sehingga tidak ada pertahanan yang menjadi obat mujarab. Namun, dia setuju bahwa in-toto dapat memberikan perlindungan, dan berkata “selalu merupakan hal yang baik untuk memiliki lebih banyak perlindungan untuk rantai pasokan.”

Source : Propublica

Empat vendor keamanan mengungkapkan insiden terkait SolarWinds

January 28, 2021 by Winnie the Pooh

Seperti yang diramalkan sebagian besar ahli bulan lalu, dampak dari serangan rantai pasokan SolarWinds semakin besar seiring berjalannya waktu, dan perusahaan memiliki waktu untuk mengaudit jaringan internal dan log DNS.

Minggu ini, empat vendor keamanan siber baru – Mimecast, Palo Alto Networks, Qualys, dan Fidelis – telah menambahkan nama mereka ke daftar perusahaan yang telah menginstal versi trojan dari aplikasi SolarWinds Orion.

Dua minggu lalu, Mimecast mengungkapkan pelanggaran keamanan besar di mana peretas membobol jaringannya dan menggunakan sertifikat digital yang digunakan oleh salah satu produk keamanannya untuk mengakses akun Microsoft 365 dari beberapa pelanggannya.

Dalam pembaruan di blognya, Mimecast mengatakan pihaknya menautkan insiden ini ke aplikasi SolarWinds Orion yang terinstal di jaringannya.

Vendor keamanan besar lainnya yang mengungkapkan insiden terkait SolarWinds adalah Palo Alto Networks, vendor perangkat lunak keamanan siber dan peralatan jaringan. Palo Alto Networks mengatakan mendeteksi dua insiden keamanan pada September dan Oktober 2020 yang terkait dengan perangkat lunak SolarWinds.

Laporan Forbes juga mengutip temuan Erik Hjelmvik, pendiri perusahaan keamanan jaringan Netresec, yang menerbitkan pada sebuah laporan hari Senin yang merinci 23 domain baru yang digunakan oleh peretas SolarWinds untuk menyebarkan muatan tahap kedua ke jaringan yang terinfeksi yang mereka anggap bernilai tinggi.

Dua dari 23 domain baru ini adalah “corp.qualys.com”, yang menunjukkan bahwa raksasa audit keamanan siber Qualys mungkin telah menjadi sasaran para penyerang.

Pengungkapan besar keempat dan terbaru datang dari Fidelis Cybersecurity dalam bentuk posting blog dari CISO perusahaan, Chris Kubic. Eksekutif Fidelis mengatakan bahwa mereka juga telah menginstal versi trojan dari aplikasi SolarWinds Orion pada Mei 2020 sebagai bagian dari “evaluasi perangkat lunak”.

Selengkapnya: ZDNet

Jenis malware ketiga ditemukan dalam serangan rantai pasokan SolarWinds

January 12, 2021 by Winnie the Pooh

Perusahaan keamanan siber CrowdStrike, salah satu perusahaan yang terlibat langsung dalam penyelidikan serangan rantai pasokan SolarWinds, mengatakan mereka mengidentifikasi jenis malware ketiga yang terlibat langsung dalam peretasan tersebut.

Dinamakan Sunspot, temuan ini menambah strain malware Sunburst (Solorigate) dan Teardrop yang ditemukan sebelumnya.

Tapi sementara Sunspot adalah penemuan terbaru dalam peretasan SolarWinds, Crowdstrike mengatakan malware itu sebenarnya yang pertama digunakan.

Crowdstrike mengatakan bahwa Sunspot digunakan pada September 2019, ketika peretas pertama kali menembus jaringan internal SolarWinds.

Malware Sunspot diinstal pada build server SolarWinds, sejenis perangkat lunak yang digunakan oleh pengembang untuk merakit komponen yang lebih kecil menjadi aplikasi perangkat lunak yang lebih besar.

CrowdStrike mengatakan Sunspot memiliki satu tujuan tunggal – yaitu, untuk mengawasi build server untuk perintah build yang merakit Orion.

Setelah perintah build terdeteksi, malware akan secara diam-diam mengganti file source code di dalam aplikasi Orion dengan file yang memuat malware Sunburst, menghasilkan versi aplikasi Orion yang juga menginstal malware Sunburst.

Dalam pengumuman terpisah yang diterbitkan di blognya, SolarWinds juga menerbitkan timeline peretasan tersebut. SolarWinds mengatakan bahwa sebelum malware Sunburst disebarkan ke pelanggan antara Maret dan Juni 2020, peretas juga melakukan uji coba antara bulan September dan November 2019.

Sumber: ZDNet

SolarWinds adalah puncak gunung es

December 22, 2020 by Winnie the Pooh

Serangan rantai pasokan perangkat lunak SolarWinds baru-baru ini merupakan indikasi jelas bahwa OT (Operational Technology) Cybersecurity yang kuat harus dimiliki dalam lingkungan ancaman saat ini.

Pelanggaran SolarWinds hanya menunjukkan bahwa lingkungan ancaman siber terus memburuk. Malware SUNBURST dan SUPERNOVA yang dimasukkan ke dalam pembaruan perangkat lunak SolarWinds Orion hanyalah contoh terbaru dari serangan rantai pasokan perangkat lunak.

Serangan sebelumnya termasuk NotPetya dan Havex. Keduanya adalah malware yang dimasukkan ke dalam pembaruan perangkat lunak yang sah di situs web vendor yang sah dan memengaruhi banyak perusahaan industri.

Teknik dan teknologi serangan yang ditunjukkan dalam pelanggaran SolarWinds hanyalah yang terbaru untuk menerobos jaringan TI dan OT yang hanya menggunakan pertahanan perangkat lunak. Hanya ada banyak hal yang dapat dilakukan oleh firewall, sistem anti-virus, sistem deteksi intrusi, dan sejenisnya untuk kita. Musuh kita telah lama mengetahui hal ini dan mengalahkan pertahanan perangkat lunak secara lebih rutin setiap minggu.

Selain itu, SolarWinds Orion hanyalah salah satu dari banyak aplikasi yang banyak digunakan yang, jika dikompromikan, dapat digunakan untuk memanipulasi dan merusak sebagian besar infrastruktur industri.

Grup ransomware dan musuh lainnya tidak akan lama lagi memasang serangan rantai pasokan perangkat lunak mereka sendiri. Mereka memiliki banyak target vendor untuk dipilih.

Sekali lagi, waktunya telah tiba untuk perlindungan yang didukung perangkat keras untuk jaringan industri & OT. Pembangkit listrik, jaringan pipa, sistem rel, pabrik, dan banyak lainnya terlalu penting untuk dibiarkan begitu saja.

Sumber: Help Net Security

Kegilaan peretasan Rusia adalah sebuah pembalasan

December 22, 2020 by Winnie the Pooh

Minggu lalu, beberapa badan pemerintah utama Amerika Serikat — termasuk Departemen Keamanan Dalam Negeri, Perdagangan, Perbendaharaan — menemukan bahwa sistem digital mereka telah dibobol oleh peretas Rusia dalam operasi spionase selama berbulan-bulan.

Luas dan dalamnya serangan akan memakan waktu berbulan-bulan, jika tidak lebih lama, untuk dipahami sepenuhnya. Tapi sudah jelas bahwa mereka mewakili momen pembalasan, baik untuk pemerintah federal dan industri TI yang memasoknya.

Amerika Serikat telah banyak berinvestasi dalam deteksi ancaman; sistem bernilai miliaran dolar yang dikenal sebagai Einstein berpatroli di jaringan pemerintah federal untuk mencari malware dan indikasi serangan. Namun seperti yang dirinci dalam laporan Kantor Akuntabilitas Pemerintah 2018, Einstein efektif dalam mengidentifikasi ancaman yang diketahui. Ini seperti penjaga pintu yang tidak memasukkan semua orang dalam daftar mereka tetapi menutup mata terhadap nama-nama yang tidak mereka kenali.

Itu membuat Einstein tidak mampu menghadapi serangan canggih seperti Rusia. Para peretas menggunakan backdoor SolarWinds Orion mereka untuk mendapatkan akses ke jaringan target. Mereka kemudian duduk diam hingga dua minggu sebelum dengan sangat hati-hati dan sengaja bergerak di dalam jaringan korban untuk mendapatkan kendali yang lebih dalam dan mengekstrak data.

“Ini pasti adalah sebuah pembalasan,” kata Jake Williams, mantan hacker NSA dan pendiri firma keamanan Rendition Infosec. “Ini pada dasarnya sangat sulit untuk diatasi, karena serangan rantai pasokan sangat sulit dideteksi. Ini seperti penyerang yang teleportasi entah dari mana.”

Sumber: Ars Technica

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

December 18, 2020 by Winnie the Pooh

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

SolarWinds mengatakan tidak ada produk lain yang dikompromikan dalam peretasan baru-baru ini

December 16, 2020 by Winnie the Pooh

Tidak ada produk lain yang diidentifikasi mengandung kode berbahaya yang mirip dengan yang ditemukan di platform Orion, kata perusahaan perangkat lunak IT SolarWinds pada hari Selasa.

Penegasan perusahaan muncul setelah mereka melakukan audit internal terhadap semua aplikasinya setelah tersiar berita pada hari Minggu bahwa peretas yang disponsori negara Rusia melanggar jaringan internal dan memasukkan malware ke dalam Orion, sebuah platform pemantauan dan inventaris jaringan.

Malware tersebut, bernama SUNBURST (atau Solorigate), dimasukkan ke dalam aplikasi Orion versi 2019.4 hingga 2020.2.1, dirilis antara Maret 2020 dan Juni 2020.

Tetapi sementara SolarWinds senang bahwa malware tidak masuk ke produk lain, fakta bahwa itu berhasil masuk ke Orion, salah satu penawaran paling populer, sudah lebih dari cukup.

Dalam pengajuan SEC pada hari Senin, SolarWinds mengatakan bahwa dari total 300.000 pelanggannya, lebih dari 33.000 menggunakan platform Orion, dan sekitar 18.000 mengunduh versi yang mengandung malware.

Pada saat penulisan, daftar korban yang diketahui diretas dengan menggunakan platform Orion sebagai titik masuk mencakup hal-hal seperti:

Firma keamanan siber AS, FireEye
Departemen Keuangan AS
Departemen Perdagangan Telekomunikasi dan Informasi Administrasi Nasional (NTIA) AS
Departemen Kesehatan National Institutes of Health (NIH)
Badan Keamanan Siber dan Infrastruktur (CISA)
Departemen Keamanan Dalam Negeri (DHS)
Departemen Luar Negeri AS

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Orion

Cookies Settings