Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Sandworm

Sandworm

Hacker Menggunakan Wiper SwiftSlicer Baru untuk Menghancurkan Domain Windows

by

Peneliti keamanan telah mengidentifikasi malware penghapus data baru SwiftSlicer yang bertujuan untuk menimpa file penting yang digunakan oleh sistem operasi Windows.

SwiftSlicer ditemukan dalam serangan cyber baru-baru ini terhadap target di Ukraina, dikaitkan dengan Sandworm, kelompok peretasan yang bekerja untuk Direktorat Intelijen Utama (GRU) Staf Umum Rusia sebagai bagian dari unit militer Pusat Utama untuk Teknologi Khusus (GTsST) 74455 .

Penghapus Data Berbasis Go
Peneliti keamanan perusahaan cybersecurity ESET menemukan malware destruktif yang digunakan selama serangan cyber di Ukraina.

Sandworm meluncurkan SwiftSlicer menggunakan Kebijakan Grup Direktori Aktif, memungkinkan admin domain untuk mengeksekusi skrip dan perintah di semua perangkat di jaringan Windows.

SwiftSlicer juga digunakan untuk menghapus salinan bayangan dan menimpa file penting di direktori sistem Windows, khususnya driver dan database Active Directory.
pict – Fungsi malware penghapus data SwiftSlicer (ESET)

Malware Destruktif Rusia
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan bahwa Sandworm juga mencoba menggunakan lima utilitas penghancur data di jaringan kantor berita Ukrinform yaitu CaddyWiper (Windows), ZeroWipe (Windows), SDelete (alat yang sah untuk Windows), AwfulShred (Linux), dan BidSwipe (FreeBSD).

Hasil investigasi diketahui bahwa SandWorm mendistribusikan malware ke komputer di jaringan menggunakan Group Policy Object (GPO).

Selengkapnya: BleepingComputer

Peretas Sandworm gagal menjatuhkan penyedia energi Ukraina

by

Kelompok peretasan Sandworm mencoba menjatuhkan penyedia energi besar Ukraina dengan memutuskan gardu listriknya dengan varian baru malware Industroyer untuk sistem kontrol industri (ICS) dan versi baru pemusnah data CaddyWiper perangkat lunak jahat.

Pelaku ancaman menggunakan versi malware Industroyer ICS yang disesuaikan untuk gardu listrik tegangan tinggi target dan kemudian mencoba menghapus jejak serangan dengan mengeksekusi CaddyWiper dan keluarga malware penghapus data lainnya yang dilacak sebagai Orcshred, Soloshred, dan Awfulshred untuk Linux dan sistem Solaris.

Para peneliti di ESET yang berkolaborasi dengan Tim Tanggap Darurat Komputer Ukraina (CERT) untuk memulihkan dan melindungi jaringan yang diserang mengatakan bahwa mereka tidak tahu bagaimana penyerang membahayakan lingkungan atau bagaimana mereka berhasil berpindah dari jaringan TI ke lingkungan ICS.

Diagram aktivitas cacing pasir (ESET)

Dalam pengumuman hari ini, CERT-UA mencatat bahwa tujuan pelaku ancaman adalah “menonaktifkan beberapa elemen infrastruktur.”

Malware ICS yang digunakan dalam serangan itu sekarang dilacak saat Industroyer2 dan ESET menilai “dengan keyakinan tinggi” bahwa malware itu dibuat menggunakan kode sumber Industroyer yang digunakan pada tahun 2016 untuk memutus aliran listrik di Ukraina dan dikaitkan dengan kelompok peretasan Rusia yang disponsori negara Sandworm .

CERT-UA mengatakan bahwa “implementasi rencana jahat [Sandworm] sejauh ini telah dicegah” sementara ESET mencatat dalam laporan teknis tentang malware yang digunakan dalam serangan ini bahwa “Penyerang Sandworm melakukan upaya untuk menyebarkan malware Industroyer2 terhadap tegangan tinggi gardu listrik di Ukraina.”

Peneliti ESET mengatakan bahwa Industroyer2 sangat dapat dikonfigurasi dan dilengkapi dengan konfigurasi terperinci yang di-hardcode, yang mengharuskannya untuk dikompilasi ulang untuk setiap lingkungan korban baru.

Para peneliti mengatakan bahwa stempel waktu Portabel Executable dari Industroyer2 menunjukkan bahwa itu dikompilasi pada 23 Maret, yang menunjukkan bahwa serangan itu telah direncanakan setidaknya selama dua minggu.

Sumber : ESET

Alat tambahan yang digunakan dalam serangan termasuk skrip PowerGap PowerShell yang digunakan untuk menambahkan Kebijakan Grup yang mengunduh muatan dan membuat tugas terjadwal, dan Impacket, yang digunakan untuk eksekusi perintah jarak jauh.

Komponen worm dalam serangan ini – skrip Bash bernama sc.sh – mencari jaringan yang dapat diakses (melalui ip route atau ifconfig) dan mencoba untuk terhubung ke semua host yang tersedia melalui SSHH (TCP port 22, 2468, 24687, 522) menggunakan kredensial di daftar musuh yang ditambahkan dalam skrip.

Industroyer, juga dikenal sebagai CrashOverride, pertama kali diambil sampelnya dan dianalisis pada tahun 2017, dengan ESET menyebutnya sebagai “ancaman terbesar bagi sistem kontrol industri sejak Stuxnet”.

Varian baru yang digunakan minggu lalu pada penyedia energi Ukraina adalah evolusi dari malware asli yang digunakan dalam serangan pemadaman listrik 2016 di Ukraina.

Industroyer2 hanya menggunakan protokol IEC-104 untuk berkomunikasi dengan peralatan industri, sedangkan sebelumnya, mendukung beberapa protokol ICS.

Ini lebih dapat dikonfigurasi daripada strain asli dan pengaturan, termasuk IOA, batas waktu, dan ASDU, disimpan sebagai string yang dilewatkan melalui rutinitas komunikasi IEC-104.

Menurut analisis ESET, sampel yang baru-baru ini dianalisis berkomunikasi dengan delapan perangkat secara bersamaan.

Konfigurasi hardcode di Industroyer2 (ESET)

Tindakan pasti yang dilakukan oleh Industroyer2 setelah sambungannya ke relai masih diperiksa, tetapi telah ditentukan bahwa ia menghentikan proses sah yang dilakukan peralatan industri dalam operasi standarnya.

Sandworm adalah kelompok ancaman spionase cyber berpengalaman yang telah dikaitkan dengan Unit Militer Rusia 74455 dari Direktorat Intelijen Utama (GRU).

CERT-UA telah berbagi indikator kompromi (aturan Yara, hash file, host, jaringan) untuk membantu mencegah serangan baru dari pelaku ancaman ini.

Sumber : Bleeping Computer

Peretas yang terkait dengan GRU Rusia menargetkan jaringan AS selama bertahun-tahun

by

Untuk semua kelompok peretas negara-bangsa yang telah menargetkan jaringan listrik Amerika Serikat — dan bahkan berhasil menerobos utilitas listrik Amerika — hanya kelompok intelijen militer Rusia yang dikenal sebagai Sandworm yang cukup berani untuk memicu pemadaman yang sebenarnya, mematikan lampu di Ukraina pada 2015 dan 2016.

Sekarang satu perusahaan keamanan yang berfokus pada jaringan memperingatkan bahwa kelompok yang terkait dengan peretas unik berbahaya Sandworm juga secara aktif menargetkan sistem energi AS selama bertahun-tahun.

Perusahaan keamanan siber industri Dragos menerbitkan laporan tahunannya tentang keadaan keamanan sistem kontrol industri, yang menyebutkan empat kelompok peretas asing baru yang berfokus pada sistem infrastruktur penting tersebut. Tiga dari kelompok yang baru dinamai itu menargetkan sistem kontrol industri di AS, menurut Dragos.

Tapi yang paling penting, mungkin, adalah kelompok yang Dragos sebut Kamacite, yang oleh firma keamanan digambarkan telah bekerja sama dengan Sandworm GRU.

Kamacite di masa lalu berfungsi sebagai tim “akses” Sandworm, tulis para peneliti Dragos, yang berfokus pada mendapatkan pijakan di jaringan target sebelum menyerahkan akses itu ke grup peretas Sandworm yang berbeda, yang terkadang melakukan efek yang mengganggu.

Dragos mengatakan Kamacite telah berulang kali menargetkan utilitas listrik, minyak dan gas AS, dan perusahaan industri lainnya sejak awal 2017.

Selengkapnya: Ars Technica

Prancis mengaitkan serangan penyedia hosting ke peretas Sandworm Rusia

by

Badan keamanan siber nasional Prancis telah mengaitkan serangkaian serangan yang mengakibatkan pelanggaran beberapa penyedia TI Prancis selama rentang empat tahun ke grup peretasan Sandworm yang didukung Rusia.

ANSSI (kependekan dari Agence Nationale de la Sécurité des Systèmes d’Information) belum dapat menentukan bagaimana server disusupi.

Oleh karena itu, belum jelas apakah para penyerang mengeksploitasi kerentanan dalam perangkat lunak Centreon yang terekspos atau para korban dikompromikan melalui serangan rantai pasokan.

“Korban pertama tampaknya telah dikompromikan sejak akhir 2017. Kampanye tersebut berlangsung hingga 2020,” kata ANSSI dalam laporan yang diterbitkannya.

“Kampanye ini sebagian besar memengaruhi penyedia teknologi informasi, terutama penyedia web hosting.”

ANSSI menemukan bahwa para penyerang menyebarkan backdoors web shell Exaramel dan PAS (alias Fobushell) saat menganalisis server yang disusupi di jaringan organisasi yang terkena dampak.

Para penyerang menggunakan VPN publik dan komersial serta layanan anonimisasi saat menghubungkan ke pintu belakang termasuk jaringan Tor, EXpressVPN, VPNBook, dan PrivateInternetAccess (PIA).

Menurut badan keamanan siber Prancis, kampanye tersebut menunjukkan beberapa kesamaan dengan perilaku yang diamati saat menganalisis serangan Sandworm sebelumnya, termasuk kampanye penyusupan sebelum memilih salah satu korban untuk kompromi lebih lanjut.

ANSSI juga mengatakan bahwa infrastruktur komando dan kontrol yang digunakan oleh pelaku ancaman untuk mengendalikan malware yang disebarkan pada mesin korban yang dikompromikan dikenal sebagai server yang dikendalikan Sandworm.

Selengkapnya: Bleeping Computer

AS menuntut peretas Rusia di balik serangan NotPetya, KillDisk, dan Olympic Destroyer

by

Departemen Kehakiman AS telah mengungkap dakwaan terhadap enam warga Rusia yang diyakini sebagai anggota salah satu unit peretasan dan perang siber Rusia – yang dikenal sebagai Sandworm.

Sebagai bagian dari unit ini, para pejabat AS mengatakan keenam nya melakukan serangan siber yang “merusak” atas nama dan di bawah perintah pemerintah Rusia dengan maksud untuk mengguncang negara lain, mencampuri politik internal mereka, dan menyebabkan malapetaka dan kerugian moneter.

Serangan mereka berlangsung selama dekade terakhir dan termasuk beberapa serangan siber terbesar yang diketahui hingga saat ini:

  1. Pemerintah Ukraina & Infrastruktur Kritis: Dari Desember 2015 hingga Desember 2016, grup ini mengatur serangan malware yang merusak terhadap jaringan listrik Ukraina, Kementerian Keuangan Ukraina, dan Layanan Keuangan Negara Ukraina, menggunakan malware yang mengubah peralatan industri (BlackEnergy pada 2015 dan Industroyer pada tahun 2016) atau menghapus hard drive (KillDisk).
  2. Pemilu Prancis: Pada bulan April dan Mei 2017, Sandworm mengatur kampanye spearphishing dan upaya peretasan dan kebocoran terkait yang menargetkan “La République En Marche!” Presiden Prancis Macron! (“En Marche!”), Politikus Prancis, dan pemerintah Prancis lokal sebelum pemilu Prancis 2017.
  3. Wabah Ransomware NotPetya: Pada 27 Juni 2017, Sandworm merilis ransomware NotPetya. Awalnya ditujukan untuk perusahaan Ukraina, ransomware dengan cepat menyebar dan memengaruhi perusahaan di seluruh dunia, menyebabkan kerusakan lebih dari $1 miliar bagi para korbannya.
  4. Penyelenggara, Peserta, Mitra, dan Peserta Olimpiade Musim Dingin PyeongChang: Antara Desember 2017 hingga Februari 2018, Sandworm meluncurkan kampanye spearphishing dan aplikasi seluler berbahaya yang menargetkan warga dan pejabat Korea Selatan, atlet Olimpiade, mitra, dan pengunjung, serta Komite Olimpiade Internasional (“IOC”) pejabat. Serangan tersebut terjadi setelah atlet Rusia dilarang dari acara olahraga tersebut karena skema doping yang disponsori negara.
  5. Sistem TI Olimpiade Musim Dingin PyeongChang (Perusak Olimpiade): Dari Desember 2017 hingga Februari 2018, Sandworm mengatur intrusi ke dalam komputer yang mendukung Olimpiade Musim Dingin PyeongChang 2018, yang mencapai puncaknya pada 9 Februari 2018, dengan dirilisnya Olympic Destroyer, jenis malware yang merusak yang mencoba menghapus server penting selama upacara pembukaan.
  6. Investigasi Novichok Poisoning: Pada bulan April 2018, kelompok Sandworm mengatur kampanye spearphishing yang menargetkan investigasi oleh Organisasi untuk Larangan Senjata Kimia (“OPCW”) dan Laboratorium Sains dan Teknologi Pertahanan Inggris (“DSTL”) ke dalam keracunan agen saraf Sergei Skripal, putrinya, dan beberapa warga negara Inggris.
  7. Perusahaan Georgia dan Entitas Pemerintah: Pada tahun 2018, Sandworm melakukan kampanye spearphishing yang menargetkan perusahaan media besar di negara Georgia. Serangan-serangan ini diikuti pada 2019 dengan upaya menyusupi jaringan Parlemen Georgia, dan kampanye perusakan situs web massal pada 2019.

“Seperti yang diperlihatkan dalam kasus ini, tidak ada negara yang mempersenjatai kemampuan siber mereka dengan jahat dan tidak bertanggung jawab seperti Rusia, dengan sembrono menyebabkan kerusakan tambahan yang belum pernah terjadi sebelumnya untuk mengejar keuntungan taktis kecil dan untuk memuaskan rasa dengki,” kata Asisten Jaksa Agung untuk Keamanan Nasional John C. Demers, mengacu pada serangan seperti BlackEnergy, NotPetya, dan OlympicDestroyer, yang semuanya tidak ditujukan untuk pengumpulan intelijen tetapi jelas merupakan serangan destruktif yang bermaksud sabotase.

Berita selengkapnya:
Source: ZDNet