Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for SolarWindsHack

SolarWindsHack

Grup peretasan kedua telah menargetkan sistem SolarWinds

by

Ketika bukti forensik perlahan-lahan digali setelah serangan rantai pasokan SolarWinds, peneliti keamanan telah menemukan pelaku ancaman kedua yang telah mengeksploitasi perangkat lunak SolarWinds untuk menanam malware di jaringan perusahaan dan pemerintah.

Rincian tentang aktor ancaman kedua ini masih langka, tetapi peneliti keamanan tidak percaya entitas kedua ini terkait dengan dugaan peretas yang didukung pemerintah Rusia yang melanggar SolarWinds untuk memasukkan malware ke dalam aplikasi resmi Orion.

Malware yang digunakan dalam serangan asli, dengan nama sandi Sunburst (atau Solorigate), dikirimkan ke pelanggan SolarWinds sebagai pembaruan yang di-boobytrapped untuk aplikasi Orion.

Tetapi dalam beberapa hari pertama setelah pengungkapan publik dari peretasan SolarWinds, laporan awal menyebutkan dua muatan tahap kedua.

Laporan dari Guidepoint, Symantec, dan Palo Alto Networks merinci bagaimana penyerang juga menanam web shell .NET bernama Supernova. Peneliti keamanan percaya bahwa penyerang menggunakan web shell Supernova untuk mengunduh, mengkompilasi, dan mengeksekusi skrip Powershell yang berbahaya (yang oleh beberapa orang dinamai CosmicGale).

Namun, dalam analisis tindak lanjut dari tim keamanan Microsoft, sekarang diklarifikasi bahwa web shell Supernova bukan bagian dari rantai serangan asli.

Kebingungan bahwa Supernova terkait dengan rantai serangan Sunburst + Teardrop berasal dari fakta bahwa sama seperti Sunburst, Supernova menyamar sebagai DLL untuk aplikasi Orion – dengan Sunburst disembunyikan di dalam file SolarWinds.Orion.Core.BusinessLayer.dll dan Supernova di dalam App_Web_logoimagehandler.ashx.b6031896.dll.

Sumber: ZDNet

SolarWinds adalah puncak gunung es

by

Serangan rantai pasokan perangkat lunak SolarWinds baru-baru ini merupakan indikasi jelas bahwa OT (Operational Technology) Cybersecurity yang kuat harus dimiliki dalam lingkungan ancaman saat ini.

Pelanggaran SolarWinds hanya menunjukkan bahwa lingkungan ancaman siber terus memburuk. Malware SUNBURST dan SUPERNOVA yang dimasukkan ke dalam pembaruan perangkat lunak SolarWinds Orion hanyalah contoh terbaru dari serangan rantai pasokan perangkat lunak.

Serangan sebelumnya termasuk NotPetya dan Havex. Keduanya adalah malware yang dimasukkan ke dalam pembaruan perangkat lunak yang sah di situs web vendor yang sah dan memengaruhi banyak perusahaan industri.

Teknik dan teknologi serangan yang ditunjukkan dalam pelanggaran SolarWinds hanyalah yang terbaru untuk menerobos jaringan TI dan OT yang hanya menggunakan pertahanan perangkat lunak. Hanya ada banyak hal yang dapat dilakukan oleh firewall, sistem anti-virus, sistem deteksi intrusi, dan sejenisnya untuk kita. Musuh kita telah lama mengetahui hal ini dan mengalahkan pertahanan perangkat lunak secara lebih rutin setiap minggu.

Selain itu, SolarWinds Orion hanyalah salah satu dari banyak aplikasi yang banyak digunakan yang, jika dikompromikan, dapat digunakan untuk memanipulasi dan merusak sebagian besar infrastruktur industri.

Grup ransomware dan musuh lainnya tidak akan lama lagi memasang serangan rantai pasokan perangkat lunak mereka sendiri. Mereka memiliki banyak target vendor untuk dipilih.

Sekali lagi, waktunya telah tiba untuk perlindungan yang didukung perangkat keras untuk jaringan industri & OT. Pembangkit listrik, jaringan pipa, sistem rel, pabrik, dan banyak lainnya terlalu penting untuk dibiarkan begitu saja.

Sumber: Help Net Security

Bagaimana kepercayaan lembaga A.S. pada perangkat lunak yang belum teruji membuka pintu bagi peretas

by

Peretasan besar-besaran selama berbulan-bulan di seluruh badan pemerintah AS berhasil, sebagian, karena tidak ada yang mencari di tempat yang tepat.

Pemerintah federal hanya melakukan inspeksi keamanan sepintas terhadap perangkat lunak yang dibelinya dari perusahaan swasta untuk berbagai aktivitas, mulai dari mengelola basis data hingga mengoperasikan aplikasi obrolan internal. Itu menciptakan titik buta yang dicurigai telah dieksploitasi oleh para peretas Rusia untuk melanggar Departemen Keuangan, Departemen Keamanan Dalam Negeri, Institut Kesehatan Nasional, dan lembaga lainnya. Setelah menyematkan kode dalam perangkat lunak manajemen jaringan yang banyak digunakan yang dibuat oleh perusahaan Texas bernama SolarWinds, yang harus mereka lakukan hanyalah menunggu agensi mengunduh pembaruan perangkat lunak rutin dari pemasok tepercaya.

Saat penyelidik berlomba untuk menilai kerusakan dari peretasan, para ahli dan anggota parlemen menyerukan peningkatan pengawasan terhadap kode pihak ketiga yang diizinkan oleh lembaga pemerintah di jaringan mereka dan menuntut perbaikan untuk kelemahan yang telah lama diketahui.

Serangan terhadap vendor dalam rantai pasokan perangkat lunak merupakan masalah yang diketahui yang perlu diprioritaskan, kata Rep. Jim Langevin (D-R.I.), Salah satu pendiri Kongres Cybersecurity Caucus.

Dia mengatakan Kongres perlu “memberi insentif” kepada perusahaan untuk membuat perangkat lunak mereka lebih aman, yang mungkin memerlukan perubahan mahal.

Daripada memaksakan persyaratan keamanan baru pada vendor, beberapa ahli mengatakan agensi harus lebih memperhatikan perangkat lunak yang mereka beli dan secara rutin menguji kekurangannya. Tetapi audit perangkat lunak rutin kemungkinan akan menjadi beban besar bagi agen federal.

Salah satu pendekatannya adalah dengan memusatkan pengujian perangkat lunak di satu agensi. Namun tidak semua orang yakin bahwa sentralisasi ini akan berhasil.

Sumber: Politico