Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Peretas Melanggar Ribuan Kamera Keamanan, Mengekspos Tesla, Penjara, dan Rumah Sakit

by

Sekelompok peretas mengatakan mereka telah membobol data kamera keamanan yang dikumpulkan oleh perusahaan rintisan Silicon Valley, Verkada Inc., mendapatkan akses langsung ke 150.000 kamera pengintai di dalam rumah sakit, perusahaan, departemen kepolisian, penjara, dan sekolah.

Perusahaan yang rekamannya terungkap termasuk pembuat mobil Tesla Inc. dan penyedia perangkat lunak Cloudflare Inc. Selain itu, peretas dapat melihat video dari dalam klinik kesehatan wanita, rumah sakit jiwa, dan kantor Verkada itu sendiri. Beberapa kamera, termasuk di rumah sakit, menggunakan teknologi pengenalan wajah untuk mengidentifikasi dan mengkategorikan orang yang terekam dalam rekaman. Para peretas mengatakan mereka juga memiliki akses ke arsip video lengkap dari semua pelanggan Verkada.

Video lain, diambil di dalam gudang Tesla di Shanghai, menunjukkan para pekerja di jalur perakitan. Para peretas mengatakan mereka memperoleh akses ke 222 kamera di pabrik dan gudang Tesla.

Metode peretas tidaklah canggih: mereka memperoleh akses ke Verkada melalui akun “Admin Super”, memungkinkan mereka untuk mengintip ke kamera semua pelanggannya. Kottmann mengatakan mereka menemukan nama pengguna dan kata sandi untuk akun administrator yang terbuka secara publik di internet. Setelah Bloomberg menghubungi Verkada, para peretas kehilangan ke kamera video, kata Kottmann.

Kami telah menonaktifkan semua akun administrator internal untuk mencegah akses tidak sah, ”kata juru bicara Verkada dalam sebuah pernyataan. “Tim keamanan internal dan firma keamanan eksternal kami sedang menyelidiki skala dan cakupan masalah ini, dan kami telah memberi tahu penegak hukum.”

Source : Bloomberg

Microsoft telah diperingatkan beberapa bulan yang lalu – sekarang, peretasan Hafnium telah berkembang menjadi sangat besar

by Leave a Comment

Pada hari Jumat, jurnalis keamanan siber Brian Krebs dan Andy Greenberg melaporkan bahwa sebanyak 30.000 organisasi telah disusupi dalam peretasan server email yang belum pernah terjadi sebelumnya, diyakini berasal dari kelompok peretasan Cina yang disponsori negara yang dikenal sebagai Hafnium.

Krebs sekarang telah menyusun garis waktu dasar dari peretasan Exchange Server besar-besaran, dan dia mengatakan Microsoft telah mengonfirmasi bahwa pihaknya telah mengetahui kerentanan pada awal Januari.

Itu hampir dua bulan sebelum Microsoft mengeluarkan rangkaian tambalan pertama, di samping entri blog yang tidak menjelaskan cakupan atau skala serangan tersebut.

Sekarang, MIT Technology Review melaporkan bahwa Hafnium mungkin bukan satu-satunya ancaman, mengutip seorang analis keamanan siber yang mengklaim setidaknya ada lima kelompok peretas yang secara aktif mengeksploitasi kelemahan Exchange Server pada hari Sabtu. Pejabat pemerintah dilaporkan berebut untuk melakukan sesuatu, dengan seorang pejabat negara mengatakan kepada Cyberscoop bahwa itu “masalah besar”.

Pada titik ini, sudah jelas bahwa siapa pun yang memasang Server Microsoft Exchange lokal (2010, 2013, 2016, atau 2019) perlu menambal dan memindai, tetapi kita baru mulai memahami cakupan kerusakannya. Peretas dilaporkan memasang perangkat lunak perusak yang dapat membiarkan mereka kembali ke server itu lagi, dan kita belum tahu apa yang mungkin telah mereka ambil.

Selengkapnya: The Verge

Peretas Rusia, Cina mungkin telah mencuri data vaksin Eropa

by

Upaya peretas yang didukung negara untuk mencuri data vaksin COVID-19 mungkin lebih jauh dari yang kita kira.

Menurut Reuters, sumber surat kabar Belanda De Volkskrant mengklaim bahwa Rusia dan Cina sama-sama melancarkan serangan siber terhadap European Medicines Agency pada bulan Desember, mengambil dokumen untuk vaksin dan perawatan dalam prosesnya. Para penyusup Rusia memiliki akses selama lebih dari sebulan, kata tipsters, dan tertarik dengan tujuan dan ukuran pembelian untuk vaksin Pfizer/BioNTech.

Peretas Cina dilaporkan menyerang pada paruh pertama tahun 2020, selama tahap awal pandemi, sementara Rusia menyusul pada akhir tahun itu.

EMA mengungkapkan pelanggaran pada bulan Desember, tetapi tidak menyebutkan pelakunya atau memberikan motif spesifik. Agensi tersebut menegaskan kembali bahwa penyelidikan kriminal “sedang berlangsung”, tetapi menolak berkomentar tentang siapa yang terlibat dalam peretasan tersebut. Rusia dan China secara historis membantah kampanye peretasan apa pun terlepas dari bukti.

Tidak mengherankan jika Rusia dan Cina terlibat. Selain sejarah panjang peretasan yang disponsori negara, kedua negara tersebut diketahui menggunakan vaksin SARS-CoV-2 (masing-masing Sputnik-V dan SinoVac) sebagai bentuk pengaruh ekonomi dan politik. Meskipun motivasi pasti mereka tidak jelas, mereka mungkin menggunakan data EMA untuk menargetkan negara-negara yang membutuhkan pasokan vaksin tambahan.

Sumber: Endgadget

Peretas menemukan cara untuk bersembunyi di dalam walled garden Apple

by

Anda pernah mendengar tentang taman bertembok (walled garden) Apple yang terkenal, ekosistem teknologi yang dikontrol ketat yang memberi perusahaan kontrol fitur dan keamanan yang unik.

Semua aplikasi melalui proses persetujuan Apple yang ketat, mereka dibatasi sehingga informasi sensitif tidak dikumpulkan di ponsel, dan pengembang tidak dapat masuk ke tempat yang dapat mereka masuki di sistem lain. Penghalang sekarang sangat tinggi sehingga mungkin lebih akurat untuk menganggapnya sebagai dinding kastil.

Namun, ketika peretas paling canggih berhasil menerobos, sesuatu yang aneh terjadi: pertahanan luar biasa Apple akhirnya melindungi penyerang itu sendiri.

“Itu pedang bermata dua,” kata Bill Marczak, peneliti senior di pengawas keamanan siber Citizen Lab. “Anda akan menghindari banyak kekacauan dengan mempersulit pembobolan iPhone. Tapi 1% dari peretas top akan menemukan jalan masuk dan, begitu mereka masuk, benteng iPhone yang tak tertembus melindungi mereka.”

Dia berpendapat bahwa sementara keamanan iPhone semakin ketat karena Apple menginvestasikan jutaan untuk meningkatkan tembok, peretas terbaik memiliki jutaan mereka sendiri untuk membeli atau mengembangkan eksploitasi zero-click yang memungkinkan mereka mengambil alih iPhone tanpa terlihat.

Ini memungkinkan penyerang untuk menggali ke dalam bagian terlarang ponsel tanpa pernah memberi target indikasi bahwa ponsel mereka telah disusupi.

Terkadang sistem yang terkunci dapat menjadi bumerang bahkan lebih langsung. Ketika Apple merilis versi baru iOS musim panas lalu di tengah penyelidikan Marczak, fitur keamanan baru ponsel membunuh alat “jailbreak” tidak resmi yang digunakan Citizen Lab untuk membuka iPhone. Pembaruan tersebut menguncinya dari area pribadi ponsel, termasuk folder untuk pembaruan baru — yang ternyata persis dimana peretas bersembunyi.

Selengkapnya: Technology Review

Microsoft Office 365 mendapatkan perlindungan terhadap makro XLM yang berbahaya

by

Microsoft telah menambahkan perlindungan makro XLM untuk pelanggan Microsoft 365 dengan memperluas pertahanan waktu proses yang disediakan oleh integrasi Office 365 dengan Antimalware Scan Interface (AMSI) untuk menyertakan pemindaian makro Excel 4.0 (XLM).

AMSI diperkenalkan pada tahun 2015, dan telah diadopsi oleh semua produk antivirus utama yang tersedia untuk platform Windows 10 sejak saat itu.

Ini memungkinkan layanan dan aplikasi Windows 10 untuk berkomunikasi dengan produk keamanan dan meminta pemindaian runtime dari data yang berpotensi berbahaya.

Ini membantu mengekspos niat jahat bahkan ketika disembunyikan menggunakan teknik yang membingungkan dan untuk mendeteksi dan memblokir malware yang menyalahgunakan makro VBA Office dan PowerShell, JScript, VBScript, kode MSHTA/Jscript9, WMI, atau .NET, yang secara teratur digunakan untuk menyebarkan muatan malware melalui makro dokumen Office.

Sejak AMSI mulai mengizinkan aplikasi Office 365 memblokir makro VBA berbahaya, penyerang seperti yang berada di belakang Trickbot, Zloader, dan Ursnif telah bermigrasi menggunakan malware berbasis XLM untuk menghindari analisis statis dan menginfeksi target mereka dengan malware.

Dengan peningkatan terbaru pada Office 365 ini, solusi antivirus seperti Microsoft Defender Antivirus dapat mendeteksi makro XLM yang berbahaya dan menghentikan penggunaan malware di jalurnya.

Ini juga memungkinkan mereka untuk mendeteksi malware yang lebih luas dan memaksa pembatasan yang lebih terperinci tentang apa yang diizinkan untuk dilakukan oleh makro pada waktu proses.

Sumber: Bleeping Computer

Malaysia Airlines mengungkapkan pelanggaran data selama sembilan tahun

by

Malaysia Airlines mengalami pelanggaran data selama sembilan tahun yang mengungkap informasi pribadi anggota dalam program frequent flyer Enrich.

Mulai kemarin, Malaysia Airlines mulai mengirim email kepada anggota program hadiah Enrich mereka untuk memberitahukan bahwa mereka adalah termasuk korban dari pelanggaran data.

Menurut Malaysia Airlines, pelanggaran terjadi pada penyedia layanan TI pihak ketiga yang memberi tahu maskapai bahwa data anggota terungkap antara Maret 2010 dan Juni 2019.

Informasi anggota yang terungkap selama pelanggaran data termasuk nama anggota, informasi kontak, tanggal lahir, jenis kelamin, nomor penumpang setia, status dan tingkat penghargaan.

Data yang terungkap tidak termasuk rencana perjalanan anggota Enrich, reservasi, tiket, atau informasi kartu ID atau kartu pembayaran.

Meskipun Malaysia Airlines mengatakan bahwa tidak ada kata sandi yang terungkap dan tidak ada bukti penyalahgunaan, maskapai tersebut merekomendasikan agar pengguna tetap mengubah kata sandi mereka. Tidak diketahui berapa banyak anggota Enrich yang terpengaruh oleh pelanggaran ini.

Sumber: Bleeping Computer

Kit phishing Cash App digunakan di alam liar

by

Pengembang platform phishing 16Shop telah menambahkan komponen baru yang menargetkan pengguna layanan pembayaran seluler Cash App yang populer.

Penyebaran produk 16Shop baru dimulai segera setelah tersedia, memikat calon korban untuk memberikan detail sensitif yang akan memberi penipu akses ke akun dan informasi pembayaran terkait.

16Shop adalah kit phishing kompleks dari pengembang yang dikenal sebagai DevilScream, yang menyiapkan mekanisme perlindungan terhadap penggunaan tanpa izin dan aktivitas penelitian.

Kit ini tersedia secara komersial dan dilokalkan dalam berbagai bahasa. Hingga saat ini, ia menyediakan kode dan templat untuk mencuri kredensial login dan detail kartu pembayaran untuk PayPal, Amazon, Apple, dan American Express.

Peneliti keamanan dari perusahaan keamanan siber ZeroFOX memperoleh perangkat phishing Cash App baru pada tanggal 25 Februari, hanya sehari setelah waktu kompilasi terakhir.

ZeroFOX mengatakan bahwa kit tersebut memiliki kode dasar yang sama dengan yang lain, dan templatnya meniru situs Cash App yang sah dan alur masuk yang semirip mungkin.

Untuk membawa korban ke halaman phishing dilakukan melalui email dan pesan SMS yang memperingatkan tentang masalah keamanan yang menyebabkan penguncian akun Cash App.

Jika korban masuk ke dalam jebakan dan memberikan alamat emailnya hanya untuk melihat pemberitahuan keamanan tentang aktivitas tidak biasa yang menyebabkan penguncian akun. Untuk mendapatkan kembali akses, korban harus memberikan detail sensitif “untuk mengkonfirmasi identitas”. Ini termasuk:

  • PIN Cash App
  • alamat email
  • kata sandi
  • nama dan alamat lengkap
  • Nomor keamanan sosial
  • detail kartu pembayaran
  • dokumen identifikasi (KTP, SIM)
Sumber: Bleeping Computer

Detail tentang identitas pengembangnya telah dipublikasikan di masa lalu, berdasarkan jejak online-nya. Mereka semua menunjuk kepada seorang warga negara Indonesia bernama Riswanda Noor Saputra, yang memiliki sejarah dalam merusak situs web, mengembangkan perangkat phishing lainnya, dan merilis alat peretasan.

Setelah mempelajari kode tersebut, peneliti keamanan ZeroFOX menemukan bahwa ketika peringatan tentang aktivitas akun yang tidak biasa muncul, alamat email pengembang ada, tersembunyi di balik dialog.

Sumber: Bleeping Computer

Melihat aktivitas media sosial Riswanda mengungkapkan bahwa dia suka menampilkan kekayaannya kepada dunia dan juga memposting detail tentang pembaruan yang akan datang dan kit baru. Pada gambar di bawah, dia menunjukkan pengembangan kit 16 Shop American Express.

Sumber: Bleeping Computer

Sumber: Bleeping Computer

Ransomware ‘Povlsomware’ Mungkin Tidak Hanya Digunakan oleh Peneliti

by Leave a Comment

“Povlsomware” adalah bukti konsep ransomware yang tersedia di Github sejak November 2020, dirilis dengan tujuan menjadi alat untuk penelitian seperti menguji solusi anti-virus yang mengklaim menawarkan perlindungan ransomware.

Seperti yang diperingatkan oleh para peneliti dari tim Trend Micro, kompatibilitas Povlsomware dengan alat pasca-eksploitasi seperti Cobalt Strike sebenarnya membuat sampel tersebut berpotensi berharga di tangan pelaku jahat.

Saat didistribusikan, sampel ransomware memindai sistem file dan mengenkripsi file pribadi umum menggunakan AES256. Semua shadowcopies yang akan membantu memulihkan sistem dihapus, entri registri memastikan persistensi start-up, dan pop-up ditampilkan untuk memberi tahu pengguna yang terinfeksi. Kata sandi dekripsi adalah “blahblah”, sehingga peneliti dapat mengembalikan file uji mereka seolah-olah tidak ada yang terjadi.

Sumber: Guthub

Namun, menjadi proyek sumber terbuka, siapa pun dapat menggunakan Povlsomware dan memodifikasinya, membuatnya jauh lebih berbahaya daripada yang dimaksudkan oleh pembuatnya. Karena Povlsomware terintegrasi dengan Cobalt Strike, Povlsomware dapat dijalankan secara langsung di memori, bahkan tidak mengharuskannya untuk bersarang di memori korban atau menjatuhkan biner apa pun di sana.

Untuk saat ini, Trend Micro belum melihat insiden nyata yang melibatkan Povlsomware yang dimodifikasi, tetapi berdasarkan apa yang dapat disimpulkan dari semua faktor, ini hanya masalah waktu. Karena alasan ini, perusahaan keamanan memilih untuk memperingatkan komunitas, meskipun itu berarti mengalihkan perhatian penjahat siber ke Povlsomware.

Sumber: Tech Nadu