Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for SolarWinds

SolarWinds

Sekitar 50 perusahaan ‘benar-benar terpengaruh’ oleh serangan siber yang menimpa AS

by

Kevin Mandia, CEO FireEye, mengatakan bahwa sementara sekitar 18.000 organisasi memiliki kode berbahaya di jaringan mereka, ada 50 organisasi yang mengalami pelanggaran besar.

Departemen Keuangan AS dan departemen keamanan dalam negeri, negara bagian dan pertahanan diketahui telah menjadi sasaran. Menteri Luar Negeri AS Mike Pompeo menyalahkan Rusia atas peretasan tersebut.

Mr Mandia mengatakan kepada CBS News bahwa serangan siber “sangat konsisten” dan dikaitkan dengan pekerjaan badan intelijen luar negeri Rusia, SVR.

“Saya pikir ini adalah orang-orang yang kami tangani di tahun 90-an, di awal tahun 2000-an. Ini adalah permainan yang berkelanjutan di dunia maya,” katanya.

Terlepas dari penolakan Rusia atas klaim “tak berdasar”, banyak komunitas intelijen AS mencurigai pemerintah Rusia yang bertanggung jawab atas peretasan besar ini.

Seperti yang telah diberitakan baru-baru ini, peretas berhasil mendapatkan akses ke organisasi besar dengan mengorbankan perangkat lunak manajemen jaringan yang dikembangkan oleh perusahaan IT SolarWinds yang berbasis di Texas.

Akses tersebut dapat memungkinkan para peretas untuk mengambil kendali tingkat tinggi atas jaringan organisasi yang menggunakan perangkat lunak tersebut, namun tampaknya telah digunakan untuk mencuri data daripada untuk dampak yang mengganggu atau merusak.

Beberapa organisasi lain di seluruh dunia, termasuk di Inggris, diketahui telah menjadi sasaran peretas yang menggunakan perangkat lunak manajemen jaringan yang sama.

Sumber: BBC

Grup peretasan kedua telah menargetkan sistem SolarWinds

by

Ketika bukti forensik perlahan-lahan digali setelah serangan rantai pasokan SolarWinds, peneliti keamanan telah menemukan pelaku ancaman kedua yang telah mengeksploitasi perangkat lunak SolarWinds untuk menanam malware di jaringan perusahaan dan pemerintah.

Rincian tentang aktor ancaman kedua ini masih langka, tetapi peneliti keamanan tidak percaya entitas kedua ini terkait dengan dugaan peretas yang didukung pemerintah Rusia yang melanggar SolarWinds untuk memasukkan malware ke dalam aplikasi resmi Orion.

Malware yang digunakan dalam serangan asli, dengan nama sandi Sunburst (atau Solorigate), dikirimkan ke pelanggan SolarWinds sebagai pembaruan yang di-boobytrapped untuk aplikasi Orion.

Tetapi dalam beberapa hari pertama setelah pengungkapan publik dari peretasan SolarWinds, laporan awal menyebutkan dua muatan tahap kedua.

Laporan dari Guidepoint, Symantec, dan Palo Alto Networks merinci bagaimana penyerang juga menanam web shell .NET bernama Supernova. Peneliti keamanan percaya bahwa penyerang menggunakan web shell Supernova untuk mengunduh, mengkompilasi, dan mengeksekusi skrip Powershell yang berbahaya (yang oleh beberapa orang dinamai CosmicGale).

Namun, dalam analisis tindak lanjut dari tim keamanan Microsoft, sekarang diklarifikasi bahwa web shell Supernova bukan bagian dari rantai serangan asli.

Kebingungan bahwa Supernova terkait dengan rantai serangan Sunburst + Teardrop berasal dari fakta bahwa sama seperti Sunburst, Supernova menyamar sebagai DLL untuk aplikasi Orion – dengan Sunburst disembunyikan di dalam file SolarWinds.Orion.Core.BusinessLayer.dll dan Supernova di dalam App_Web_logoimagehandler.ashx.b6031896.dll.

Sumber: ZDNet

SolarWinds adalah puncak gunung es

by

Serangan rantai pasokan perangkat lunak SolarWinds baru-baru ini merupakan indikasi jelas bahwa OT (Operational Technology) Cybersecurity yang kuat harus dimiliki dalam lingkungan ancaman saat ini.

Pelanggaran SolarWinds hanya menunjukkan bahwa lingkungan ancaman siber terus memburuk. Malware SUNBURST dan SUPERNOVA yang dimasukkan ke dalam pembaruan perangkat lunak SolarWinds Orion hanyalah contoh terbaru dari serangan rantai pasokan perangkat lunak.

Serangan sebelumnya termasuk NotPetya dan Havex. Keduanya adalah malware yang dimasukkan ke dalam pembaruan perangkat lunak yang sah di situs web vendor yang sah dan memengaruhi banyak perusahaan industri.

Teknik dan teknologi serangan yang ditunjukkan dalam pelanggaran SolarWinds hanyalah yang terbaru untuk menerobos jaringan TI dan OT yang hanya menggunakan pertahanan perangkat lunak. Hanya ada banyak hal yang dapat dilakukan oleh firewall, sistem anti-virus, sistem deteksi intrusi, dan sejenisnya untuk kita. Musuh kita telah lama mengetahui hal ini dan mengalahkan pertahanan perangkat lunak secara lebih rutin setiap minggu.

Selain itu, SolarWinds Orion hanyalah salah satu dari banyak aplikasi yang banyak digunakan yang, jika dikompromikan, dapat digunakan untuk memanipulasi dan merusak sebagian besar infrastruktur industri.

Grup ransomware dan musuh lainnya tidak akan lama lagi memasang serangan rantai pasokan perangkat lunak mereka sendiri. Mereka memiliki banyak target vendor untuk dipilih.

Sekali lagi, waktunya telah tiba untuk perlindungan yang didukung perangkat keras untuk jaringan industri & OT. Pembangkit listrik, jaringan pipa, sistem rel, pabrik, dan banyak lainnya terlalu penting untuk dibiarkan begitu saja.

Sumber: Help Net Security

Kegilaan peretasan Rusia adalah sebuah pembalasan

by

Minggu lalu, beberapa badan pemerintah utama Amerika Serikat — termasuk Departemen Keamanan Dalam Negeri, Perdagangan, Perbendaharaan — menemukan bahwa sistem digital mereka telah dibobol oleh peretas Rusia dalam operasi spionase selama berbulan-bulan.

Luas dan dalamnya serangan akan memakan waktu berbulan-bulan, jika tidak lebih lama, untuk dipahami sepenuhnya. Tapi sudah jelas bahwa mereka mewakili momen pembalasan, baik untuk pemerintah federal dan industri TI yang memasoknya.

Amerika Serikat telah banyak berinvestasi dalam deteksi ancaman; sistem bernilai miliaran dolar yang dikenal sebagai Einstein berpatroli di jaringan pemerintah federal untuk mencari malware dan indikasi serangan. Namun seperti yang dirinci dalam laporan Kantor Akuntabilitas Pemerintah 2018, Einstein efektif dalam mengidentifikasi ancaman yang diketahui. Ini seperti penjaga pintu yang tidak memasukkan semua orang dalam daftar mereka tetapi menutup mata terhadap nama-nama yang tidak mereka kenali.

Itu membuat Einstein tidak mampu menghadapi serangan canggih seperti Rusia. Para peretas menggunakan backdoor SolarWinds Orion mereka untuk mendapatkan akses ke jaringan target. Mereka kemudian duduk diam hingga dua minggu sebelum dengan sangat hati-hati dan sengaja bergerak di dalam jaringan korban untuk mendapatkan kendali yang lebih dalam dan mengekstrak data.

“Ini pasti adalah sebuah pembalasan,” kata Jake Williams, mantan hacker NSA dan pendiri firma keamanan Rendition Infosec. “Ini pada dasarnya sangat sulit untuk diatasi, karena serangan rantai pasokan sangat sulit dideteksi. Ini seperti penyerang yang teleportasi entah dari mana.”

Sumber: Ars Technica

Bagaimana kepercayaan lembaga A.S. pada perangkat lunak yang belum teruji membuka pintu bagi peretas

by

Peretasan besar-besaran selama berbulan-bulan di seluruh badan pemerintah AS berhasil, sebagian, karena tidak ada yang mencari di tempat yang tepat.

Pemerintah federal hanya melakukan inspeksi keamanan sepintas terhadap perangkat lunak yang dibelinya dari perusahaan swasta untuk berbagai aktivitas, mulai dari mengelola basis data hingga mengoperasikan aplikasi obrolan internal. Itu menciptakan titik buta yang dicurigai telah dieksploitasi oleh para peretas Rusia untuk melanggar Departemen Keuangan, Departemen Keamanan Dalam Negeri, Institut Kesehatan Nasional, dan lembaga lainnya. Setelah menyematkan kode dalam perangkat lunak manajemen jaringan yang banyak digunakan yang dibuat oleh perusahaan Texas bernama SolarWinds, yang harus mereka lakukan hanyalah menunggu agensi mengunduh pembaruan perangkat lunak rutin dari pemasok tepercaya.

Saat penyelidik berlomba untuk menilai kerusakan dari peretasan, para ahli dan anggota parlemen menyerukan peningkatan pengawasan terhadap kode pihak ketiga yang diizinkan oleh lembaga pemerintah di jaringan mereka dan menuntut perbaikan untuk kelemahan yang telah lama diketahui.

Serangan terhadap vendor dalam rantai pasokan perangkat lunak merupakan masalah yang diketahui yang perlu diprioritaskan, kata Rep. Jim Langevin (D-R.I.), Salah satu pendiri Kongres Cybersecurity Caucus.

Dia mengatakan Kongres perlu “memberi insentif” kepada perusahaan untuk membuat perangkat lunak mereka lebih aman, yang mungkin memerlukan perubahan mahal.

Daripada memaksakan persyaratan keamanan baru pada vendor, beberapa ahli mengatakan agensi harus lebih memperhatikan perangkat lunak yang mereka beli dan secara rutin menguji kekurangannya. Tetapi audit perangkat lunak rutin kemungkinan akan menjadi beban besar bagi agen federal.

Salah satu pendekatannya adalah dengan memusatkan pengujian perangkat lunak di satu agensi. Namun tidak semua orang yakin bahwa sentralisasi ini akan berhasil.

Sumber: Politico

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Microsoft juga mengalami Security Breach dalam peretasan rantai pasokan SolarWinds baru-baru ini, lapor

by

Peretas yang disponsori negara yang melanggar penyedia perangkat lunak AS SolarWinds awal tahun ini memutar ke jaringan internal Microsoft, dan kemudian menggunakan salah satu produk Microsoft sendiri untuk meluncurkan serangan terhadap perusahaan lain, Reuters melaporkan hari ini mengutip sumber yang mengetahui penyelidikan tersebut.

Berita tersebut muncul setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) menerbitkan peringatan hari ini tentang serangan rantai pasokan SolarWinds dan dampaknya terhadap lembaga pemerintah, entitas infrastruktur penting, dan organisasi sektor swasta.

CISA mengatakan mereka memiliki “bukti vektor akses awal tambahan, selain platform SolarWinds Orion.” Dua laporan Reuters tentang dugaan peretasan Microsoft tidak mengatakan produk Microsoft apa yang disalahgunakan oleh peretas setelah melanggar Microsoft.

Seorang juru bicara Microsoft menerima telepon sebelumnya hari ini tetapi tidak memiliki apa pun untuk dibagikan sebelum artikel ini dipublikasikan. Microsoft sekarang bergabung dengan daftar entitas profil tinggi yang telah diretas melalui pembaruan backdoor untuk aplikasi pemantauan jaringan SolarWinds Orion.

Sebagian besar dari korban ini adalah lembaga pemerintah AS, seperti:

  • Departemen Keuangan AS
  • Administrasi Informasi dan Telekomunikasi Nasional (NTIA) Departemen Perdagangan AS
  • National Institutes of Health (NIH) Departemen Kesehatan
  • Badan Keamanan Siber dan Infrastruktur (CISA)
  • Departemen Keamanan Dalam Negeri (DHS)
  • Departemen Luar Negeri AS
  • Administrasi Keamanan Nuklir Nasional (NNSA) (juga diungkapkan hari ini)
  • Departemen Energi AS (DOE) (juga diungkapkan hari ini)
  • Tiga negara bagian AS (juga diungkapkan hari ini)
  • Kota Austin (juga diungkapkan hari ini)

sumber : ZDNET

SolarWinds mengatakan tidak ada produk lain yang dikompromikan dalam peretasan baru-baru ini

by

Tidak ada produk lain yang diidentifikasi mengandung kode berbahaya yang mirip dengan yang ditemukan di platform Orion, kata perusahaan perangkat lunak IT SolarWinds pada hari Selasa.

Penegasan perusahaan muncul setelah mereka melakukan audit internal terhadap semua aplikasinya setelah tersiar berita pada hari Minggu bahwa peretas yang disponsori negara Rusia melanggar jaringan internal dan memasukkan malware ke dalam Orion, sebuah platform pemantauan dan inventaris jaringan.

Malware tersebut, bernama SUNBURST (atau Solorigate), dimasukkan ke dalam aplikasi Orion versi 2019.4 hingga 2020.2.1, dirilis antara Maret 2020 dan Juni 2020.

Tetapi sementara SolarWinds senang bahwa malware tidak masuk ke produk lain, fakta bahwa itu berhasil masuk ke Orion, salah satu penawaran paling populer, sudah lebih dari cukup.

Dalam pengajuan SEC pada hari Senin, SolarWinds mengatakan bahwa dari total 300.000 pelanggannya, lebih dari 33.000 menggunakan platform Orion, dan sekitar 18.000 mengunduh versi yang mengandung malware.

Pada saat penulisan, daftar korban yang diketahui diretas dengan menggunakan platform Orion sebagai titik masuk mencakup hal-hal seperti:

  • Firma keamanan siber AS, FireEye
  • Departemen Keuangan AS
  • Departemen Perdagangan Telekomunikasi dan Informasi Administrasi Nasional (NTIA) AS
  • Departemen Kesehatan National Institutes of Health (NIH)
  • Badan Keamanan Siber dan Infrastruktur (CISA)
  • Departemen Keamanan Dalam Negeri (DHS)
  • Departemen Luar Negeri AS

Sumber: ZDNet