Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for SolarWinds

SolarWinds

AS dilaporkan mempersiapkan tindakan terhadap Rusia setelah serangan siber besar-besaran

by

Amerika Serikat sedang bersiap untuk mengambil tindakan terhadap Rusia setelah menyimpulkan kemungkinan terlibat dalam serangan siber besar yang memengaruhi sistem pemerintah dan perusahaan domestik, The New York Times melaporkan hari Minggu.

Langkah itu dilakukan ketika pemerintahan Biden mulai bergulat dengan pengungkapan serangan lain yang diduga disponsori negara yang tampaknya datang dari Cina.

Gedung Putih mengonfirmasi akan mengambil “berbagai tindakan” sebagai tanggapan atas serangan siber dari Rusia, meskipun tidak memberitahu secara spesifik kapan dan bagaimana akan melakukannya.

Tindakan pertama AS dapat terjadi dalam tiga minggu ke depan, kata pejabat yang tidak disebutkan namanya kepada Times, dan memulai serangkaian tindakan di Rusia yang dimaksudkan untuk diperhatikan oleh Presiden Vladimir Putin dan staf intelijennya, tetapi bukan publik. AS juga akan menerapkan sanksi ekonomi dan Presiden Joe Biden akan menandatangani perintah eksekutif untuk memperkuat jaringan pemerintah, kata para pejabat.

Sumber: CNBC

Peretas SolarWinds menargetkan NASA, jaringan Administrasi Penerbangan Federal

by

Para peretas dikatakan telah membobol jaringan badan antariksa AS, NASA dan Administrasi Penerbangan Federal sebagai bagian dari kampanye spionase yang lebih luas yang menargetkan lembaga pemerintah AS dan perusahaan swasta.

Kedua badan tersebut disebutkan oleh Washington Post pada hari Selasa, beberapa jam sebelum sidang Komite Intelijen Senat yang bertugas menyelidiki serangan siber yang meluas, yang menurut pemerintahan Trump sebelumnya “kemungkinan berasal dari Rusia.”

Seorang juru bicara NASA tidak membantah laporan tersebut tetapi menolak berkomentar dengan alasan “penyelidikan yang sedang berlangsung”.

NASA dan FAA diyakini adalah dua lembaga tak bernama yang tersisa dari sembilan lembaga pemerintah yang dipastikan telah dilanggar oleh serangan itu. Tujuh lainnya termasuk Departemen Perdagangan, Energi, Keamanan Dalam Negeri, Kehakiman dan Negara, Departemen Keuangan, dan Institut Kesehatan Nasional, meskipun tidak diyakini para penyerang melanggar jaringan rahasia mereka.

Selengkapnya: Tech Crunch

Microsoft mengatakan peretas SolarWinds mengunduh beberapa kode sumber Azure, Exchange, dan Intune

by

Tim keamanan Microsoft mengatakan hari ini telah secara resmi menyelesaikan penyelidikannya atas pelanggaran terkait SolarWinds dan tidak menemukan bukti bahwa peretas menyalahgunakan sistem internal atau produk resminya untuk berputar dan menyerang pengguna akhir dan pelanggan bisnis.

Pembuat OS mulai menyelidiki pelanggaran tersebut pada pertengahan Desember setelah ditemukan bahwa peretas yang terkait dengan Rusia melanggar vendor perangkat lunak SolarWinds dan memasukkan malware ke dalam platform pemantauan TI Orion, produk yang juga telah digunakan oleh Microsoft secara internal.

Pada laporan bulan Desember, Microsoft sempat mengatakan bahwa peretas telah mengakses kode sumber produk nya.

“Analisis kami menunjukkan viewing pertama file di repositori sumber terjadi pada akhir November dan berakhir ketika kami mengamankan akun yang terpengaruh,” kata perusahaan hari ini, dalam laporan terakhirnya terkait pelanggaran terkait SolarWinds.

Pembuat OS mengatakan penyusup melihat “hanya beberapa file individual […] sebagai hasil dari pencarian repositori.”

Tetapi selain melihat file, para peretas juga berhasil mengunduh beberapa kode. Namun, Microsoft mengatakan datanya tidak ekstensif dan penyusup hanya mengunduh kode sumber dari beberapa komponen yang terkait dengan beberapa produk berbasis cloud-nya.

Menurut Microsoft, repositori ini berisi kode untuk:

  • sebagian kecil komponen Azure (subset layanan, keamanan, identitas)
  • sebagian kecil komponen Intune
  • sebagian kecil komponen Exchange

Sumber: ZDNet

Prancis Terkena Serangan Mirip SolarWinds

by

Menurut ANSSI, sekelompok hacker telah berhasil menembus produk Centreon Systems, sebuah firma IT Perancis yang mengkhususkan diri pada network dan system monitoring yang digunakan oleh banyak instansi pemerintah Perancis, serta beberapa perusahaan terbesar bangsa (Air France, antara lain ). Halaman klien Centreon menunjukkan bahwa ia bermitra dengan Departemen Kehakiman Prancis, Politeknik Ecole, dan badan publik regional, serta beberapa perusahaan produksi agribisnis terbesar di negara itu.

Meskipun ANSSI tidak secara resmi mengaitkan peretasan tersebut ke organisasi mana pun, badan tersebut mengatakan teknik yang digunakan memiliki kemiripan dengan teknik yang digunakan oleh kelompok peretas militer Rusia “Sandworm” (juga dikenal sebagai Unit 74455). Kampanye intrusi, yang dimulai setidaknya pada tahun 2017, memungkinkan para peretas untuk melanggar sistem sejumlah organisasi Prancis, meskipun ANSSI telah menolak menyebutkan nama para korban atau mengatakan berapa banyak yang terpengaruh.

Meskipun tidak jelas dari laporan tentang bagaimana para peretas awalnya menyusupi Centreon, laporan tersebut menunjukkan bahwa, begitu masuk, mereka menggunakan webshell untuk melanjutkan kampanye penyusupan mereka. Webshell adalah skrip berbahaya yang memungkinkan aktor jahat untuk membajak situs atau sistem dari jarak jauh dan mengontrolnya.

Dalam kasus Centreon, peretas menggunakan dua skrip berbeda, P.A.S. dan Exaramel. Keduanya bertindak sebagai pintu belakang yang memungkinkan peretas untuk mendapatkan kendali atas situs web atau sistem dan mengontrolnya dari jarak jauh: “Pada sistem yang disusupi, ANSSI menemukan adanya pintu belakang dalam bentuk webshell yang dijatuhkan di beberapa server Centreon yang terpapar ke internet , ”Tulis agensi. Saat digunakan bersama, skrip memungkinkan peretas memiliki kendali penuh atas sistem yang disusupi.

Source : Gizmodo

AS Menghabiskan $ 2,2 Juta untuk Sistem Keamanan Siber yang Tidak Diimplementasikan

by

Pelanggaran data besar-besaran, yang menurut badan intelijen AS “kemungkinan besar berasal dari Rusia,” menembus sistem komputer lembaga federal, termasuk Departemen Keamanan Dalam Negeri, Departemen Keuangan, Institut Kesehatan Nasional, dan Departemen Kehakiman, juga sebagai sejumlah perusahaan Fortune 500. Para peretas tetap tidak terdeteksi selama berbulan-bulan.

Masalah ini mendorong pengembangan pendekatan baru, didukung oleh $ 2,2 juta dalam bentuk hibah federal dan tersedia secara gratis, yang bertujuan untuk memberikan perlindungan ujung ke ujung untuk seluruh jalur pasokan perangkat lunak. Dinamakan in-toto (bahasa Latin untuk “secara keseluruhan”), ini adalah hasil kerja tim akademisi yang dipimpin oleh Justin Cappos, seorang profesor ilmu komputer dan teknik di Universitas New York. Cappos, 43, telah menjadikan pengamanan rantai pasokan perangkat lunak sebagai pekerjaannya. P\

Cappos dan rekan-rekannya percaya bahwa sistem in-toto, jika digunakan secara luas, dapat memblokir atau meminimalkan kerusakan dari serangan SolarWinds. Namun hal itu tidak terjadi: Pemerintah federal tidak mengambil langkah apa pun untuk meminta vendor perangkat lunaknya, seperti SolarWinds, untuk mengadopsinya. Memang, tidak ada lembaga pemerintah yang menanyakan tentang itu, menurut Cappos.

In-toto dapat memblokir dan mengungkap serangan dunia maya yang tak terhitung jumlahnya yang saat ini tidak terdeteksi, menurut Cappos, yang timnya termasuk Santiago Torres-Arias, asisten profesor teknik listrik dan komputer di Universitas Purdue, dan Reza Curtmola, co-direktur New Jersey Institute of Pusat Penelitian Keamanan Siber Teknologi. Dalam makalah dan presentasi Agustus 2019 di konferensi komputer USENIX, berjudul “in-toto: Memberikan jaminan farm-to-table untuk bit dan byte,” tim Cappos melaporkan mempelajari 30 pelanggaran rantai pasokan utama sejak tahun 2010. Dalam- toto, mereka menyimpulkan, akan mencegah antara 83% dan 100% serangan itu.

“Ini tersedia untuk semua orang secara gratis, dibayar oleh pemerintah, dan harus digunakan oleh semua orang,” kata Cappos. “Orang-orang mungkin masih bisa masuk dan mencoba meretasnya. Tapi ini adalah langkah pertama yang perlu dan akan menangkap banyak hal ini. ” Lambatnya adopsi “benar-benar mengecewakan,” tambah Cappos.

Dmitri Alperovitch, yang ikut mendirikan CrowdStrike (perusahaan keamanan siber SolarWinds telah menyewa untuk menyelidiki peretasan tersebut) sebelum keluar tahun lalu untuk memulai grup kebijakan nirlaba, mengatakan bahwa menurutnya, secara teori, sistem in-toto dapat berfungsi. Tetapi dia memperingatkan bahwa perangkat lunak itu sangat kompleks, dengan banyak produk dan perusahaan dalam rantai pasokan, sehingga tidak ada pertahanan yang menjadi obat mujarab. Namun, dia setuju bahwa in-toto dapat memberikan perlindungan, dan berkata “selalu merupakan hal yang baik untuk memiliki lebih banyak perlindungan untuk rantai pasokan.”

Source : Propublica

Mengapa Rusia Mungkin Meningkatkan Permainan Peretasannya

by

Di bulan November lalu, Kevin Mandia, CEO firma keamanan siber FireEye, membuka kotak suratnya untuk menemukan kartu pos anonim. Di depannya ada kartun sederhana. “Hei, lihat, Rusia,” bacanya. “Putin melakukannya.”

Dia mungkin tidak akan berpikir dua kali jika bukan karena satu hal: Perusahaannya baru-baru ini meluncurkan penyelidikan keamanan internal setelah pejabat menemukan seseorang mencoba mendaftarkan perangkat yang tidak sah ke dalam jaringannya. Penyelidikan itu akhirnya mengarah pada penemuan sesuatu yang bahkan lebih mengkhawatirkan: pelanggaran perusahaan pemantau jaringan yang berbasis di Texas bernama SolarWinds.

Para pejabat AS sekarang percaya bahwa peretas dengan dinas intelijen Rusia, SVR, menemukan cara untuk mendukung salah satu pembaruan perangkat lunak reguler SolarWinds dan menyelinap tanpa terdeteksi ke jaringan kliennya. Artinya, ada kemungkinan ribuan perusahaan dan puluhan departemen dan lembaga pemerintah mungkin telah disusupi.

Presiden Biden cukup prihatin tentang serangan itu sehingga ia mengemukakannya dalam panggilan resmi pertamanya sebagai presiden pada hari Selasa dengan mitranya dari Rusia, Vladimir Putin. Tidak jelas bagaimana Putin menanggapi, tetapi Rusia telah membantah terlibat di masa lalu.

selengkapnya : NPR

Empat vendor keamanan mengungkapkan insiden terkait SolarWinds

by

Seperti yang diramalkan sebagian besar ahli bulan lalu, dampak dari serangan rantai pasokan SolarWinds semakin besar seiring berjalannya waktu, dan perusahaan memiliki waktu untuk mengaudit jaringan internal dan log DNS.

Minggu ini, empat vendor keamanan siber baru – Mimecast, Palo Alto Networks, Qualys, dan Fidelis – telah menambahkan nama mereka ke daftar perusahaan yang telah menginstal versi trojan dari aplikasi SolarWinds Orion.

Dua minggu lalu, Mimecast mengungkapkan pelanggaran keamanan besar di mana peretas membobol jaringannya dan menggunakan sertifikat digital yang digunakan oleh salah satu produk keamanannya untuk mengakses akun Microsoft 365 dari beberapa pelanggannya.

Dalam pembaruan di blognya, Mimecast mengatakan pihaknya menautkan insiden ini ke aplikasi SolarWinds Orion yang terinstal di jaringannya.

Vendor keamanan besar lainnya yang mengungkapkan insiden terkait SolarWinds adalah Palo Alto Networks, vendor perangkat lunak keamanan siber dan peralatan jaringan. Palo Alto Networks mengatakan mendeteksi dua insiden keamanan pada September dan Oktober 2020 yang terkait dengan perangkat lunak SolarWinds.

Laporan Forbes juga mengutip temuan Erik Hjelmvik, pendiri perusahaan keamanan jaringan Netresec, yang menerbitkan pada sebuah laporan hari Senin yang merinci 23 domain baru yang digunakan oleh peretas SolarWinds untuk menyebarkan muatan tahap kedua ke jaringan yang terinfeksi yang mereka anggap bernilai tinggi.

Dua dari 23 domain baru ini adalah “corp.qualys.com”, yang menunjukkan bahwa raksasa audit keamanan siber Qualys mungkin telah menjadi sasaran para penyerang.

Pengungkapan besar keempat dan terbaru datang dari Fidelis Cybersecurity dalam bentuk posting blog dari CISO perusahaan, Chris Kubic. Eksekutif Fidelis mengatakan bahwa mereka juga telah menginstal versi trojan dari aplikasi SolarWinds Orion pada Mei 2020 sebagai bagian dari “evaluasi perangkat lunak”.

Selengkapnya: ZDNet

Malwarebytes diretas oleh kelompok dibalik peretasan SolarWinds

by

Perusahaan keamanan dunia maya AS Malwarebytes hari ini mengatakan telah diretas oleh kelompok yang sama yang melanggar perusahaan perangkat lunak IT SolarWinds tahun lalu. Malwarebytes mengatakan intrusi tersebut tidak terkait dengan insiden rantai pasokan SolarWinds karena perusahaan tidak menggunakan perangkat lunak SolarWinds apa pun di jaringan internalnya.

Alih-alih, firma keamanan tersebut mengatakan para peretas melanggar sistem internalnya dengan mengeksploitasi celah pada Azure Active Directory dan menyalahgunakan aplikasi Office 365 yang berbahaya.
Malwarebytes mengatakan telah mengetahui gangguan dari Pusat Respons Keamanan Microsoft (MSRC) pada 15 Desember.

Pada saat itu, Microsoft sedang mengaudit Office 365 dan infrastruktur Azure untuk mencari tanda-tanda aplikasi berbahaya yang dibuat oleh peretas SolarWinds, yang juga dikenal di lingkaran keamanan cyber sebagai UNC2452 atau Dark Halo.

Karena pelaku dicurigai dalang dibalik peretasan SolarWinds yang meracuni perangkat lunak perusahaan dengan memasukkan malware Sunburst ke dalam beberapa pembaruan untuk aplikasi SolarWinds Orion, Kleczynski mengatakan bahwa mereka juga melakukan audit yang sangat menyeluruh terhadap semua produk dan kode sumbernya, mencari apa saja tanda-tanda kompromi serupa atau serangan supply chain.

“Sistem internal kami tidak menunjukkan bukti akses tidak sah atau penyusupan di lingkungan produksi dan di lokasi mana pun.Perangkat lunak kami tetap aman untuk digunakan,”
“Setelah penyelidikan ekstensif, kami menentukan penyerang hanya memperoleh akses ke subset terbatas email internal perusahaan,” kata Marcin Kleczynski, salah satu pendiri Malwarebytes dan CEO saat ini.

Source : ZDnet