SolarWinds

Situs SolarLeaks mengklaim menjual data yang dicuri dalam serangan SolarWinds

January 13, 2021 by Winnie the Pooh

Sebuah situs web bernama ‘SolarLeaks’ menjual data yang mereka klaim dicuri dari perusahaan yang dipastikan telah dilanggar dalam serangan SolarWinds.

Bulan lalu, terungkap bahwa perusahaan manajemen jaringan SolarWinds mengalami serangan siber canggih yang menyebabkan serangan rantai pasokan yang memengaruhi 18.000 pelanggan.

Tanggal 12 Januari kemarin, situs web solarleaks[.]net diluncurkan yang mengklaim menjual data curian dari Microsoft, Cisco, FireEye, dan SolarWinds. Semua perusahaan ini diketahui telah dilanggar selama serangan rantai pasokan.

Situs web tersebut mengklaim menjual source code dan repositori Microsoft seharga $600.000. Microsoft mengonfirmasi bahwa pelaku ancaman telah mengakses source code mereka selama pelanggaran SolarWinds.

Dengan gaya yang mirip dengan Shadow Brokers, aktor SolarLeaks menyatakan bahwa mereka akan menjual data yang dicuri dalam batch, dan lebih banyak lagi akan dirilis di kemudian hari.

Domain solarleaks.net terdaftar melalui NJALLA, registrar yang dikenal digunakan oleh kelompok peretas Rusia, Fancy Bear dan Cozy Bear.

Saat melihat catatan WHOIS untuk solarleaks[.]Net, name server yang ditetapkan juga mengejek peneliti dengan pernyataan “You Can Get No Info”.

Tidak ada konfirmasi apakah situs ini sah dan apakah pemilik situs memiliki data yang mereka jual.

Artikel ini akan terus diperbarui ketika ada info baru mengenai hal ini.

Sumber: Bleeping Computer

Jenis malware ketiga ditemukan dalam serangan rantai pasokan SolarWinds

January 12, 2021 by Winnie the Pooh

Perusahaan keamanan siber CrowdStrike, salah satu perusahaan yang terlibat langsung dalam penyelidikan serangan rantai pasokan SolarWinds, mengatakan mereka mengidentifikasi jenis malware ketiga yang terlibat langsung dalam peretasan tersebut.

Dinamakan Sunspot, temuan ini menambah strain malware Sunburst (Solorigate) dan Teardrop yang ditemukan sebelumnya.

Tapi sementara Sunspot adalah penemuan terbaru dalam peretasan SolarWinds, Crowdstrike mengatakan malware itu sebenarnya yang pertama digunakan.

Crowdstrike mengatakan bahwa Sunspot digunakan pada September 2019, ketika peretas pertama kali menembus jaringan internal SolarWinds.

Malware Sunspot diinstal pada build server SolarWinds, sejenis perangkat lunak yang digunakan oleh pengembang untuk merakit komponen yang lebih kecil menjadi aplikasi perangkat lunak yang lebih besar.

CrowdStrike mengatakan Sunspot memiliki satu tujuan tunggal – yaitu, untuk mengawasi build server untuk perintah build yang merakit Orion.

Setelah perintah build terdeteksi, malware akan secara diam-diam mengganti file source code di dalam aplikasi Orion dengan file yang memuat malware Sunburst, menghasilkan versi aplikasi Orion yang juga menginstal malware Sunburst.

Dalam pengumuman terpisah yang diterbitkan di blognya, SolarWinds juga menerbitkan timeline peretasan tersebut. SolarWinds mengatakan bahwa sebelum malware Sunburst disebarkan ke pelanggan antara Maret dan Juni 2020, peretas juga melakukan uji coba antara bulan September dan November 2019.

Sumber: ZDNet

Peretas SolarWinds mengakses source code Microsoft, kata perusahaan itu

January 1, 2021 by Winnie the Pooh

WASHINGTON (Reuters) -Kelompok peretas di balik kompromi SolarWinds mampu membobol Microsoft Corp dan mengakses beberapa source code-nya, kata Microsoft pada Kamis, sesuatu yang dikatakan para ahli mengirimkan sinyal mengkhawatirkan tentang ambisi mata-mata.

source code – sekumpulan instruksi mendasar yang menjalankan perangkat lunak atau sistem operasi – biasanya merupakan salah satu rahasia perusahaan teknologi yang paling dijaga ketat dan Microsoft secara historis sangat berhati-hati dalam melindunginya.

Tidak jelas seberapa banyak atau bagian mana dari repositori source code Microsoft yang dapat diakses peretas, tetapi pengungkapan tersebut menunjukkan bahwa peretas yang menggunakan perusahaan perangkat lunak SolarWinds sebagai batu loncatan untuk masuk ke jaringan sensitif pemerintah AS juga memiliki kepentingan untuk menemukan cara kerja internal produk Microsoft juga.

Memodifikasi source code – yang menurut Microsoft tidak dilakukan oleh peretas – dapat menimbulkan konsekuensi yang berpotensi bencana mengingat produk Microsoft ada di mana-mana, yang mencakup rangkaian produktivitas Office dan sistem operasi Windows. Tetapi para ahli mengatakan bahwa bahkan hanya dengan dapat meninjau kode dapat menawarkan wawasan peretas yang dapat membantu mereka menumbangkan produk atau layanan Microsoft.

“source code adalah cetak biru arsitektural tentang bagaimana perangkat lunak itu dibuat,” kata Andrew Fife dari Cycode yang berbasis di Israel, sebuah perusahaan perlindungan source code.

“Jika Anda memiliki cetak birunya, jauh lebih mudah untuk merekayasa serangan.”

sumber : Reuters

Microsoft: Tujuan peretas SolarWinds adalah data cloud para korban

December 30, 2020 by Winnie the Pooh

Seperti yang dijelaskan oleh Tim Defender Microsoft 365, setelah menyusup ke jaringan target dengan bantuan backdoor Sunburst, tujuan penyerang dibalik peretasan SolarWinds adalah untuk mendapatkan akses ke aset cloud korban.

“Dengan pijakan awal yang tersebar luas ini, para penyerang kemudian dapat memilih organisasi tertentu yang ingin mereka terus operasikan (sementara yang lain tetap menjadi pilihan kapan saja selama backdoor dipasang dan tidak terdeteksi)”, jelas Microsoft.

Artikel Microsoft sebelumnya tentang serangan rantai pasokan SolarWinds dan panduan dari Badan Keamanan Nasional (NSA) juga mengisyaratkan fakta bahwa tujuan akhir penyerang adalah menghasilkan token SAML (Security Assertion Markup Language) untuk memalsukan token otentikasi yang memungkinkan akses ke sumber daya cloud.

Microsoft juga merinci prosedur langkah demi langkah yang digunakan oleh penyerang untuk mendapatkan akses ke aset cloud korban mereka:

Menggunakan SolarWinds DLL yang telah dikompromikan untuk mengaktifkan backdoor yang memungkinkan penyerang untuk mengontrol dan mengoperasikan perangkat dari jarak jauh

Menggunakan akses backdoor untuk mencuri kredensial, meningkatkan hak istimewa, dan bergerak secara lateral untuk mendapatkan kemampuan membuat token SAML yang valid menggunakan salah satu dari dua metode berikut:
1. Mencuri sertifikat penandatanganan SAML (Jalur 1)
2. Menambahkan atau mengubah kepercayaan federasi yang sudah ada (Jalur 2)

Menggunakan token SAML yang dibuat penyerang untuk mengakses sumber daya cloud dan melakukan tindakan yang mengarah ke eksfiltrasi email dan persistensi di cloud

NSA merekomendasikan penerapan otentikasi multi-faktor, menghapus aplikasi yang tidak perlu dengan kredensial, menonaktifkan otentikasi lama, dan menggunakan Modul Keamanan Perangkat Keras (HSM) yang memvalidasi FIPS untuk mengamankan private key.

Sumber: Bleeping Computer

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

December 29, 2020 by Winnie the Pooh

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Soalrwinds Hack menular Infrastruktur Kritis, Termasuk Industri Tenaga Listrik

December 26, 2020 by Winnie the Pooh

Kampanye Peretasan yang menginfeksi banyak lembaga pemerintah dan perusahaan teknologi dengan perangkat lunak SolarWinds yang berbahaya, juga telah menginfeksi lebih dari selusin perusahaan infrastruktur penting di industri listrik, minyak, dan manufaktur yang juga menjalankan perangkat lunak tersebut, menurut sebuah perusahaan keamanan yang melakukan penyelidikan terhadap beberapa. dari pelanggaran.

Selain perusahaan infrastruktur penting, perangkat lunak SolarWinds juga menginfeksi tiga perusahaan yang menyediakan layanan untuk perusahaan tersebut, kata Rob Lee, CEO Dragos, Inc., yang berspesialisasi dalam keamanan sistem kontrol industri dan menemukan beberapa infeksi.

Lee mencatat bahwa dalam beberapa kasus OEM tidak hanya memiliki akses ke jaringan pelanggan – mereka sebenarnya secara langsung menginfeksi pelanggan mereka dengan perangkat lunak SolarWinds. Itu karena beberapa dari mereka menggunakan SolarWinds tidak hanya di jaringan mereka sendiri, tetapi juga telah menginstalnya di jaringan pelanggan untuk mengelola dan memantaunya, terkadang tanpa pelanggan menyadarinya.

Namun, saat ini tidak ada bukti bahwa peretas menggunakan backdoor dalam perangkat lunak SolarWinds untuk mendapatkan akses ke 15 entitas listrik, minyak, gas, dan manufaktur yang terinfeksi perangkat lunak tersebut. Namun Lee mencatat bahwa tidak mungkin untuk mengungkap aktivitas tersebut jika penyerang benar-benar mengaksesnya dan menggali lebih jauh ke dalam jaringan kontrol industri, karena entitas infrastruktur penting umumnya tidak melakukan logging ekstensif dan pemantauan jaringan sistem kontrol mereka.

sumber : TheIntercept

Peretas Rusia yang dicurigai menggunakan vendor Microsoft untuk membobol pelanggan

December 25, 2020 by Winnie the Pooh

WASHINGTON (Reuters) – Tersangka peretas Rusia di balik serangan dunia maya AS yang terburuk dalam beberapa tahun memanfaatkan akses pengecer ke layanan Microsoft Corp untuk menembus target yang tidak memiliki perangkat lunak jaringan yang dikompromikan dari SolarWinds Corp, kata penyelidik.

Sementara pembaruan pada perangkat lunak Orion SolarWinds sebelumnya adalah satu-satunya titik masuk yang diketahui, perusahaan keamanan CrowdStrike Holdings Inc mengatakan hari Kamis peretas telah memenangkan akses ke vendor yang menjual lisensi Office dan menggunakannya untuk mencoba membaca email CrowdStrike. Itu tidak secara khusus mengidentifikasi peretas sebagai orang-orang yang menyusupi SolarWinds, tetapi dua orang yang mengetahui penyelidikan CrowdStrike mengatakan mereka.

CrowdStrike menggunakan program Office untuk pengolah kata tetapi tidak untuk email. Upaya yang gagal, yang dilakukan beberapa bulan lalu, ditunjukkan ke CrowdStrike oleh Microsoft pada 15 Desember.

CrowdStrike, yang tidak menggunakan SolarWinds, mengatakan tidak menemukan dampak dari upaya intrusi dan menolak menyebutkan nama resellernya.

Banyak lisensi perangkat lunak Microsoft dijual melalui pihak ketiga, dan perusahaan tersebut dapat memiliki akses yang hampir konstan ke sistem klien saat pelanggan menambahkan produk atau karyawan. Microsoft mengatakan pada hari Kamis bahwa pelanggan tersebut perlu waspada.

Penggunaan pengecer Microsoft untuk mencoba masuk ke perusahaan pertahanan digital teratas menimbulkan pertanyaan baru tentang berapa banyak jalan yang dimiliki para peretas, yang diduga pejabat AS beroperasi atas nama pemerintah Rusia, yang mereka miliki.

sumber : Reuters

Perusahaan teknologi besar termasuk Intel, Nvidia, dan Cisco semuanya terinfeksi selama peretasan SolarWinds

December 23, 2020 by Winnie the Pooh

Minggu lalu, tersiar kabar bahwa perusahaan manajemen TI SolarWinds telah diretas, diduga oleh pemerintah Rusia, dan departemen Keuangan, Perdagangan, Negara, Energi, dan Keamanan Dalam Negeri AS telah terpengaruh – dua di antaranya mungkin telah dicuri emailnya akibat peretasan tersebut.

The Wall Street Journal sekarang melaporkan bahwa beberapa perusahaan teknologi besar telah terinfeksi juga. Cisco, Intel, Nvidia, Belkin, dan VMware semuanya memiliki komputer di jaringan mereka yang terinfeksi malware.

Mungkin ada lebih banyak lagi: SolarWinds telah menyatakan bahwa “kurang dari 18.000” perusahaan terkena dampak, seolah-olah angka itu seharusnya meyakinkan, dan bahkan berusaha menyembunyikan daftar klien yang menggunakan perangkat lunak yang terinfeksi.

Ada berbagai macam alasan mengapa grup peretas mungkin ingin masuk ke sistem perusahaan teknologi besar, termasuk akses ke paket produk di masa mendatang atau informasi karyawan dan pelanggan yang dapat dijual atau ditahan untuk mendapatkan tebusan, dengan asumsi mereka benar-benar mencari info tersebut.

Namun, mungkin juga perusahaan-perusahaan ini hanyalah “bonus” karena kelompok peretas ini mengejar lembaga pemerintah, yang kebetulan menggunakan sistem manajemen TI yang disediakan SolarWinds.

Sumber: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

SolarWinds

Cookies Settings