Russia

Peretas Rusia, Cina mungkin telah mencuri data vaksin Eropa

March 9, 2021 by Winnie the Pooh

Upaya peretas yang didukung negara untuk mencuri data vaksin COVID-19 mungkin lebih jauh dari yang kita kira.

Menurut Reuters, sumber surat kabar Belanda De Volkskrant mengklaim bahwa Rusia dan Cina sama-sama melancarkan serangan siber terhadap European Medicines Agency pada bulan Desember, mengambil dokumen untuk vaksin dan perawatan dalam prosesnya. Para penyusup Rusia memiliki akses selama lebih dari sebulan, kata tipsters, dan tertarik dengan tujuan dan ukuran pembelian untuk vaksin Pfizer/BioNTech.

Peretas Cina dilaporkan menyerang pada paruh pertama tahun 2020, selama tahap awal pandemi, sementara Rusia menyusul pada akhir tahun itu.

EMA mengungkapkan pelanggaran pada bulan Desember, tetapi tidak menyebutkan pelakunya atau memberikan motif spesifik. Agensi tersebut menegaskan kembali bahwa penyelidikan kriminal “sedang berlangsung”, tetapi menolak berkomentar tentang siapa yang terlibat dalam peretasan tersebut. Rusia dan China secara historis membantah kampanye peretasan apa pun terlepas dari bukti.

Tidak mengherankan jika Rusia dan Cina terlibat. Selain sejarah panjang peretasan yang disponsori negara, kedua negara tersebut diketahui menggunakan vaksin SARS-CoV-2 (masing-masing Sputnik-V dan SinoVac) sebagai bentuk pengaruh ekonomi dan politik. Meskipun motivasi pasti mereka tidak jelas, mereka mungkin menggunakan data EMA untuk menargetkan negara-negara yang membutuhkan pasokan vaksin tambahan.

Sumber: Endgadget

Peretas yang terkait dengan GRU Rusia menargetkan jaringan AS selama bertahun-tahun

March 3, 2021 by Winnie the Pooh

Untuk semua kelompok peretas negara-bangsa yang telah menargetkan jaringan listrik Amerika Serikat — dan bahkan berhasil menerobos utilitas listrik Amerika — hanya kelompok intelijen militer Rusia yang dikenal sebagai Sandworm yang cukup berani untuk memicu pemadaman yang sebenarnya, mematikan lampu di Ukraina pada 2015 dan 2016.

Sekarang satu perusahaan keamanan yang berfokus pada jaringan memperingatkan bahwa kelompok yang terkait dengan peretas unik berbahaya Sandworm juga secara aktif menargetkan sistem energi AS selama bertahun-tahun.

Perusahaan keamanan siber industri Dragos menerbitkan laporan tahunannya tentang keadaan keamanan sistem kontrol industri, yang menyebutkan empat kelompok peretas asing baru yang berfokus pada sistem infrastruktur penting tersebut. Tiga dari kelompok yang baru dinamai itu menargetkan sistem kontrol industri di AS, menurut Dragos.

Tapi yang paling penting, mungkin, adalah kelompok yang Dragos sebut Kamacite, yang oleh firma keamanan digambarkan telah bekerja sama dengan Sandworm GRU.

Kamacite di masa lalu berfungsi sebagai tim “akses” Sandworm, tulis para peneliti Dragos, yang berfokus pada mendapatkan pijakan di jaringan target sebelum menyerahkan akses itu ke grup peretas Sandworm yang berbeda, yang terkadang melakukan efek yang mengganggu.

Dragos mengatakan Kamacite telah berulang kali menargetkan utilitas listrik, minyak dan gas AS, dan perusahaan industri lainnya sejak awal 2017.

Selengkapnya: Ars Technica

Peretas SolarWinds menargetkan NASA, jaringan Administrasi Penerbangan Federal

February 26, 2021 by Winnie the Pooh

Para peretas dikatakan telah membobol jaringan badan antariksa AS, NASA dan Administrasi Penerbangan Federal sebagai bagian dari kampanye spionase yang lebih luas yang menargetkan lembaga pemerintah AS dan perusahaan swasta.

Kedua badan tersebut disebutkan oleh Washington Post pada hari Selasa, beberapa jam sebelum sidang Komite Intelijen Senat yang bertugas menyelidiki serangan siber yang meluas, yang menurut pemerintahan Trump sebelumnya “kemungkinan berasal dari Rusia.”

Seorang juru bicara NASA tidak membantah laporan tersebut tetapi menolak berkomentar dengan alasan “penyelidikan yang sedang berlangsung”.

NASA dan FAA diyakini adalah dua lembaga tak bernama yang tersisa dari sembilan lembaga pemerintah yang dipastikan telah dilanggar oleh serangan itu. Tujuh lainnya termasuk Departemen Perdagangan, Energi, Keamanan Dalam Negeri, Kehakiman dan Negara, Departemen Keuangan, dan Institut Kesehatan Nasional, meskipun tidak diyakini para penyerang melanggar jaringan rahasia mereka.

Selengkapnya: Tech Crunch

Prancis mengaitkan serangan penyedia hosting ke peretas Sandworm Rusia

February 16, 2021 by Winnie the Pooh

Badan keamanan siber nasional Prancis telah mengaitkan serangkaian serangan yang mengakibatkan pelanggaran beberapa penyedia TI Prancis selama rentang empat tahun ke grup peretasan Sandworm yang didukung Rusia.

ANSSI (kependekan dari Agence Nationale de la Sécurité des Systèmes d’Information) belum dapat menentukan bagaimana server disusupi.

Oleh karena itu, belum jelas apakah para penyerang mengeksploitasi kerentanan dalam perangkat lunak Centreon yang terekspos atau para korban dikompromikan melalui serangan rantai pasokan.

“Korban pertama tampaknya telah dikompromikan sejak akhir 2017. Kampanye tersebut berlangsung hingga 2020,” kata ANSSI dalam laporan yang diterbitkannya.

“Kampanye ini sebagian besar memengaruhi penyedia teknologi informasi, terutama penyedia web hosting.”

ANSSI menemukan bahwa para penyerang menyebarkan backdoors web shell Exaramel dan PAS (alias Fobushell) saat menganalisis server yang disusupi di jaringan organisasi yang terkena dampak.

Para penyerang menggunakan VPN publik dan komersial serta layanan anonimisasi saat menghubungkan ke pintu belakang termasuk jaringan Tor, EXpressVPN, VPNBook, dan PrivateInternetAccess (PIA).

Menurut badan keamanan siber Prancis, kampanye tersebut menunjukkan beberapa kesamaan dengan perilaku yang diamati saat menganalisis serangan Sandworm sebelumnya, termasuk kampanye penyusupan sebelum memilih salah satu korban untuk kompromi lebih lanjut.

ANSSI juga mengatakan bahwa infrastruktur komando dan kontrol yang digunakan oleh pelaku ancaman untuk mengendalikan malware yang disebarkan pada mesin korban yang dikompromikan dikenal sebagai server yang dikendalikan Sandworm.

Selengkapnya: Bleeping Computer

Alat penyadap seharga $40 ditanam pada iPhone aktivis Rusia

January 18, 2021 by Winnie the Pooh Leave a Comment

Sebuah perangkat kecil yang menarik ditemukan ditanam di iPhone manajer kampanye aktivis anti-korupsi Rusia Lyubov Sobol selama tahun baru. Pada 21 Desember 2020, manajer kampanye Sobol Olga Klyuchnikova ditahan oleh FSB Rusia. Dia menghabiskan seminggu di penjara atas “biaya administrasi” dan dibebaskan – tetapi ada sesuatu yang salah.

Dalam sebuah video yang dirilis minggu ini, Sobol dan rekannya menunjukkan komponen internal dari smartphone-nya, termasuk apa yang tampak seperti alat pelacak yang ditanam. Dia rupanya memperhatikan ada sesuatu yang aneh ketika iPhone-nya diberikan kepadanya setelah ditahan. Diijinkan untuk menggunakan ponsel cerdasnya sendiri selama dalam tahanan cukup aneh – tetapi perangkat mulai “terasa tidak berfungsi” hingga dia menjadi curiga.

Ini sangat mirip dengan perangkat dengan nama “TOPIN Kecil ZX620 PCB Wifi LBS GSM Tracker Positioning kartu TF”. Anda akan menemukan perangkat ini tersedia untuk dijual di tempat-tempat seperti AliExpress dengan harga sekitar $ 40 USD.

Yang menarik dari perangkat kecil ini adalah kemampuannya yang belum sempurna. Anda perlu menempatkan kartu SIM Anda sendiri di perangkat untuk mengakses internet – tetapi di luar itu, yang dibutuhkan hanyalah daya.

Di dalam smartphone, pengguna hanya perlu menghubungkan beberapa kabel dari baterai perangkat untuk menjaga perangkat tetap aktif, lalu membiarkannya bekerja. Sederhana seperti itu.

Mereka mencopot perangkat keras kartu SIM asli perangkat dan langsung menyolder kartu SIM, memberi mereka sedikit ruang ekstra.Mereka kemudian mengganti baterai tersebut dengan yang lebih kecil. Ini memberi ruang yang lebih dari cukup untuk memberi jalan bagi pelacak.

Setelah pelacak ditanam, mereka akan memiliki akses ke informasi pelacakan GPS dan kemampuan merekam suara melalui telepon. Dan tentu saja ada cara yang jauh lebih mudah untuk melakukan semua bisnis ini, jika mereka lebih paham dengan perangkat lunak. Namun bukan itu masalahnya – intinya adalah, perangkat kecil ini ada, dan mereka ada di luar sana di alam liar, untuk diakses siapa saja dengan relatif mudah.

Source : slashgear

Sekitar 50 perusahaan ‘benar-benar terpengaruh’ oleh serangan siber yang menimpa AS

December 22, 2020 by Winnie the Pooh

Kevin Mandia, CEO FireEye, mengatakan bahwa sementara sekitar 18.000 organisasi memiliki kode berbahaya di jaringan mereka, ada 50 organisasi yang mengalami pelanggaran besar.

Departemen Keuangan AS dan departemen keamanan dalam negeri, negara bagian dan pertahanan diketahui telah menjadi sasaran. Menteri Luar Negeri AS Mike Pompeo menyalahkan Rusia atas peretasan tersebut.

Mr Mandia mengatakan kepada CBS News bahwa serangan siber “sangat konsisten” dan dikaitkan dengan pekerjaan badan intelijen luar negeri Rusia, SVR.

“Saya pikir ini adalah orang-orang yang kami tangani di tahun 90-an, di awal tahun 2000-an. Ini adalah permainan yang berkelanjutan di dunia maya,” katanya.

Terlepas dari penolakan Rusia atas klaim “tak berdasar”, banyak komunitas intelijen AS mencurigai pemerintah Rusia yang bertanggung jawab atas peretasan besar ini.

Seperti yang telah diberitakan baru-baru ini, peretas berhasil mendapatkan akses ke organisasi besar dengan mengorbankan perangkat lunak manajemen jaringan yang dikembangkan oleh perusahaan IT SolarWinds yang berbasis di Texas.

Akses tersebut dapat memungkinkan para peretas untuk mengambil kendali tingkat tinggi atas jaringan organisasi yang menggunakan perangkat lunak tersebut, namun tampaknya telah digunakan untuk mencuri data daripada untuk dampak yang mengganggu atau merusak.

Beberapa organisasi lain di seluruh dunia, termasuk di Inggris, diketahui telah menjadi sasaran peretas yang menggunakan perangkat lunak manajemen jaringan yang sama.

Sumber: BBC

Kegilaan peretasan Rusia adalah sebuah pembalasan

December 22, 2020 by Winnie the Pooh

Minggu lalu, beberapa badan pemerintah utama Amerika Serikat — termasuk Departemen Keamanan Dalam Negeri, Perdagangan, Perbendaharaan — menemukan bahwa sistem digital mereka telah dibobol oleh peretas Rusia dalam operasi spionase selama berbulan-bulan.

Luas dan dalamnya serangan akan memakan waktu berbulan-bulan, jika tidak lebih lama, untuk dipahami sepenuhnya. Tapi sudah jelas bahwa mereka mewakili momen pembalasan, baik untuk pemerintah federal dan industri TI yang memasoknya.

Amerika Serikat telah banyak berinvestasi dalam deteksi ancaman; sistem bernilai miliaran dolar yang dikenal sebagai Einstein berpatroli di jaringan pemerintah federal untuk mencari malware dan indikasi serangan. Namun seperti yang dirinci dalam laporan Kantor Akuntabilitas Pemerintah 2018, Einstein efektif dalam mengidentifikasi ancaman yang diketahui. Ini seperti penjaga pintu yang tidak memasukkan semua orang dalam daftar mereka tetapi menutup mata terhadap nama-nama yang tidak mereka kenali.

Itu membuat Einstein tidak mampu menghadapi serangan canggih seperti Rusia. Para peretas menggunakan backdoor SolarWinds Orion mereka untuk mendapatkan akses ke jaringan target. Mereka kemudian duduk diam hingga dua minggu sebelum dengan sangat hati-hati dan sengaja bergerak di dalam jaringan korban untuk mendapatkan kendali yang lebih dalam dan mengekstrak data.

“Ini pasti adalah sebuah pembalasan,” kata Jake Williams, mantan hacker NSA dan pendiri firma keamanan Rendition Infosec. “Ini pada dasarnya sangat sulit untuk diatasi, karena serangan rantai pasokan sangat sulit dideteksi. Ini seperti penyerang yang teleportasi entah dari mana.”

Sumber: Ars Technica

Lima peretasan Rusia yang mengubah keamanan siber AS

December 21, 2020 by Winnie the Pooh

Cuckoo’s Egg

Cliff Stoll menjaga jaringan komputer di labnya. Pada tahun 1986, dia melihat seseorang masuk untuk menggunakan komputer tanpa membayar. Dalam beberapa bulan mendatang, dia akan mengikuti jejak mereka dan mengamati pihak tak dikenal yang mencari data terkait militer.

Dalam bukunya, Cuckoo’s Egg, Stoll mengungkapkan bagaimana dia akhirnya melacak login ke sekelompok peretas di Jerman, yang telah menjual akses mereka ke KGB, dinas intelijen Moskow.

Moonlight Maze

Satu dekade kemudian, pada pertengahan 1990-an, kampanye spionase siber besar pertama yang dilakukan oleh badan intelijen negara terungkap.

Dengan code name Moonlight Maze, beberapa detail tetap dirahasiakan. Tapi ini adalah sekelompok peretas kelas atas yang bekerja secara “rendah dan lambat” untuk mencuri rahasia militer AS melalui backdoor.

Penyelidik AS yakin mereka tahu siapa di baliknya. Para penyerang bekerja pukul 08:00 hingga 17:00 waktu Moskow (tetapi tidak pernah pada hari libur Rusia) dan bahasa Rusia ditemukan dalam kode tersebut. Moskow membantah semuanya, dan menghentikan penyelidikan.

Buckshot Yankee

Pada tahun 2008, USB stick yang berisi malware – kemungkinan ditemukan di tempat parkir mobil di pangkalan militer di luar negeri – mengguncang Washington. USB tersebut memungkinkan peretas untuk menembus sistem militer AS yang diklasifikasikan yang seharusnya tetap offline.

Butuh waktu empat bulan bagi seorang analis untuk menemukan pelanggaran di Komando Pusat AS dan melakukan pembersihan, dengan nama sandi Buckshot Yankee, membutuhkan waktu lebih lama. Dan hal ini memiliki kaitan dengan grup yang sama yang berada di belakang Moonlight Maze.

The Democrats

Selama pemilihan presiden AS 2016, ternyata tidak hanya satu, tetapi dua, tim peretas dinas intelijen Rusia berada di dalam partai Demokrat.

Tim dari badan intelijen asing, SVR, tetap menyamar – tetapi tim intelijen militer dari GRU – Fancy Bear – memiliki rencana yang berbeda. Mereka membocorkan materi yang dicurinya, menyebabkan gangguan dan, bisa dibilang, berperan dalam menggeser jalannya pemilu.

Setelah kejadian itu, dalam pemilihan presiden 2020, perusahaan dan pejabat waspada terhadap campur tangan pemilu dari Rusia.

Tetapi apa yang tidak mereka sadari adalah bahwa spionase tradisional terus berlanjut tanpa diketahui – dengan intelijen Rusia lagi-lagi diyakini sebagai pelakunya. Sekali lagi Moskow membantah peran apa pun.

Sunburst

Dampak pasti dari pelanggaran Sunburst, melalui perusahaan SolarWinds, masih belum jelas. Meskipun demikian, pejabat federal berbicara tentang “risiko besar” karena skala kemungkinan kompromi departemen, perusahaan dan organisasi.

Ini bukan “spionase seperti biasa”, kata Presiden Microsoft Brad Smith.

Tetapi beberapa orang tidak setuju, dan menyebutnya sebagai spionase rutin. Mereka menambahkan bahwa AS bukan hanya korbannya, tetapi juga pelaku peretasan jenis ini. Pengungkapan Snowden tahun 2013 menunjukkan bahwa AS (dan Inggris) lebih dari mampu untuk menargetkan rahasia negara lain dengan mengorbankan perangkat keras dan perangkat lunak dari perusahaan terkemuka – dengan cara yang tidak jauh berbeda dengan pelanggaran terbaru ini.