Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Supply Chain Attack

Supply Chain Attack

Sebuah perusahaan cloud meminta peneliti keamanan untuk memeriksa sistemnya. Inilah yang mereka temukan

by

Peneliti keamanan siber menemukan kerentanan dalam infrastruktur penyedia perangkat lunak sebagai layanan besar yang, jika dieksploitasi oleh penyerang, dapat digunakan oleh penjahat dunia maya sebagai bagian dari serangan rantai pasokan berbasis cloud.

Penyedia SaaS yang tidak disebutkan namanya mengundang peneliti keamanan siber di Palo Alto Networks untuk melakukan latihan red team pada jalur pengembangan perangkat lunak mereka untuk mengidentifikasi kerentanan dalam rantai pasokan.

“Hanya dalam tiga hari, seorang peneliti Unit 42 menemukan kelemahan pengembangan perangkat lunak kritis yang membuat pelanggan rentan terhadap serangan yang serupa dengan yang terjadi pada SolarWinds dan Kaseya VSA,” kata perusahaan keamanan itu.

Awalnya diberikan akses pengembang terbatas yang dimiliki kontraktor, para peneliti berhasil meningkatkan hak istimewa sejauh mereka dapat memperoleh hak administrator ke lingkungan cloud integrasi berkelanjutan (CI) yang lebih luas.

Dengan menggunakan akses ini, peneliti memeriksa sebanyak mungkin lingkungan dan mampu menemukan dan mendapatkan akses ke 26 kunci manajemen akses dan identitas (IAM). Beberapa di antaranya berisi kredensial hard-code yang memberikan akses tidak sah ke area tambahan lingkungan cloud, yang dapat dieksploitasi untuk mendapatkan akses administrator – memungkinkan akun dengan akses terbatas untuk mendapatkan hak istimewa yang membuka seluruh lingkungan.

Setelah latihan, para peneliti bekerja dengan pusat operasi keamanan organisasi, DevOps, dan red & blue team untuk mengembangkan rencana tindakan untuk memperketat keamanan dengan fokus pada identifikasi awal operasi yang mencurigakan atau berbahaya dalam jalur pengembangan perangkat lunak mereka.

Selengkapnya: ZDNet

Sysadmin: Mengapa tidak memverifikasi bahwa tidak ada pintu belakang di setiap program yang Anda instal, dan dengan demikian menghindari drama dunia maya?

by

Setengah dari serangan rantai pasokan yang dilaporkan secara publik dilakukan oleh “kelompok APT terkenal”, menurut analisis oleh badan infosec UE ENISA, yang memperingatkan serangan digital semacam itu perlu mendorong “metode perlindungan baru.”

Juhan Lepassaar, direktur eksekutif ENISA, mengatakan dalam sebuah pernyataan: “Karena efek berjenjang dari serangan rantai pasokan, pelaku ancaman dapat menyebabkan kerusakan luas yang mempengaruhi bisnis dan pelanggan mereka sekaligus. Dengan praktik yang baik dan tindakan terkoordinasi di tingkat UE, Negara-negara Anggota akan dapat mencapai tingkat kemampuan yang sama untuk meningkatkan tingkat keamanan siber yang sama di UE.”

Studi open-source dimaksudkan sebagai primer pada serangan rantai pasokan, yang biasanya terdiri dari penargetan pemasok perangkat lunak B2B yang memiliki daftar pelanggan yang luas. Setelah pemasok dikompromikan, penyerang kemudian bergerak secara lateral ke jaringan pelanggan mereka, biasanya untuk mencuri data dan memeras para korban.

“Karakteristik tambahan dari serangan rantai pasokan melibatkan kompleksitas dalam menanganinya dan upaya yang diperlukan untuk mengurangi dan mengatasi serangan tersebut,” kata ENISA dalam laporannya.

ENISA mengkritik pemasok karena tidak mengetahui atau tidak mengakui di depan umum bagaimana mereka dikompromikan.

Laporan tersebut mencantumkan insiden rantai pasokan yang dipelajari oleh ENISA. Selain yang terkenal yang melibatkan Accellion, SolarWinds, dan Kaseya, itu juga mencantumkan ProjectWeb Fujitsu, emulator Android Bignox Noxplayer, dan banyak lagi.

Selengkapnya: The Register

Hingga 1.500 bisnis terkena serangan ransomware, kata CEO perusahaan AS

by

Antara 800 sampai 1.500 bisnis di seluruh dunia telah terpengaruh oleh serangan ransomware yang berpusat pada perusahaan teknologi informasi AS Kaseya, kata kepala eksekutifnya pada hari Senin.

Fred Voccola, CEO perusahaan yang berbasis di Florida, mengatakan dalam sebuah wawancara bahwa sulit untuk memperkirakan dampak yang tepat dari serangan hari Jumat karena yang terkena terutama adalah pelanggan dari pelanggan Kaseya.

Kaseya adalah perusahaan yang menyediakan alat perangkat lunak untuk toko outsourcing TI: perusahaan yang biasanya menangani pekerjaan back-office untuk perusahaan yang terlalu kecil atau sumber dayanya sederhana untuk memiliki departemen teknologi sendiri.

Salah satu alat itu ditumbangkan pada hari Jumat, memungkinkan para peretas melumpuhkan ratusan bisnis di lima benua.

Peretas yang mengaku bertanggung jawab atas pelanggaran tersebut telah menuntut $70 juta untuk memulihkan semua data bisnis yang terpengaruh, meskipun mereka telah menunjukkan kesediaan untuk mengurangi tuntutan mereka dalam percakapan pribadi dengan pakar keamanan siber dan dengan Reuters.

Topik pembayaran tebusan menjadi semakin penuh dengan serangan ransomware menjadi semakin mengganggu – dan menguntungkan.

Voccola mengatakan dia telah berbicara dengan para pejabat di Gedung Putih, Biro Investigasi Federal, dan Departemen Keamanan Dalam Negeri tentang pelanggaran itu tetapi menolak untuk mengatakan apa yang mereka katakan kepadanya tentang pembayaran atau negosiasi.

Selengkapnya: Reuters

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

by

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK

Bank sentral Denmark terkena peretasan SolarWinds, kata laporan media

by

Bank sentral Denmark dikompromikan dalam operasi peretasan global SolarWinds tahun lalu, meninggalkan “pintu belakang” ke jaringannya terbuka selama tujuh bulan, media IT Version2 melaporkan pada hari Selasa, mengutip dokumen yang terkait dengan kasus tersebut.

Para peretas, yang dituduh oleh Amerika Serikat bekerja untuk intelijen Rusia, sangat hebat dan memodifikasi kode dalam perangkat lunak manajemen jaringan SolarWinds yang diunduh oleh 18.000 pelanggan di seluruh dunia.

Penyerang dapat menggunakan SolarWinds untuk masuk ke dalam jaringan dan kemudian membuat pintu belakang untuk akses lanjutan yang potensial.

Pintu belakang semacam itu terbuka di bank sentral Denmark selama tujuh bulan sampai ditemukan oleh perusahaan keamanan AS Fire Eye, Version2 mengatakan, mengutip berbagai dokumen yang diperolehnya berdasarkan permintaan kebebasan informasi, seperti email SolarWinds.

Bank sentral, yang mengelola transaksi bernilai miliaran dolar setiap hari, mengatakan dalam komentar email kepada Reuters bahwa “tidak ada tanda-tanda bahwa serangan itu memiliki konsekuensi nyata”.

“Serangan SolarWinds juga menghantam infrastruktur keuangan di Denmark. Sistem yang relevan ditampung dan dianalisis segera setelah kompromi SolarWinds Orion diketahui,” tambahnya.

Selengkapnya: Reuters

Codecov akan menghentikan skrip Bash yang bertanggung jawab atas gelombang serangan rantai pasokan

by

Codecov telah memperkenalkan pengunggah baru yang mengandalkan NodeJS untuk mengganti dan menghapus skrip Bash yang bertanggung jawab atas serangan rantai pasokan baru-baru ini.

Penyedia alat DevOps yang berbasis di San Francisco mengatakan dalam sebuah posting blog bahwa pengunggah baru akan dikirimkan sebagai biner statis yang dapat dieksekusi yang cocok untuk Windows, Linux, Alpine Linux, dan macOS.

Pengunggah, digunakan dengan cara yang sama seperti pengunggah Bash yang ada, digunakan untuk mendorong data cakupan dan pembaruan ke produk selama siklus pengembangan.

Pengunggah saat ini dalam tahap Beta dan belum sepenuhnya terintegrasi, tetapi Codecov mengatakan bahwa “sebagian besar alur kerja standar yang saat ini diselesaikan dengan Pengunggah Bash dapat diselesaikan dengan pengunggah baru”.

Pengunggah Bash Codecov adalah sumber dari serangkaian serangan rantai pasokan yang terjadi sekitar 31 Januari 2021, dipublikasikan pada 15 April.

Rentang pengunggah Bash Codecov — pengunggah tindakan Codecov untuk Github, CircleCl Orb, dan Bitrise Step — semuanya terpengaruh.

Diperkirakan ratusan organisasi menjadi korban dalam insiden keamanan tersebut. Korban yang diketahui termasuk Rapid7, Monday.com, Mercari, dan Twilio.

Selengkapnya: ZDNet

Microsoft mengatakan kelompok di balik peretasan SolarWinds sekarang menargetkan lembaga pemerintah, LSM

by

Kelompok di balik serangan dunia maya SolarWinds (SWI.N) yang diidentifikasi akhir tahun lalu sekarang menargetkan lembaga pemerintah, lembaga riset, konsultan, dan organisasi non-pemerintah, kata Microsoft Corp (MSFT.O) pada hari Kamis.

Nobelium, yang berasal dari Rusia, adalah aktor yang sama di balik serangan terhadap pelanggan SolarWinds pada tahun 2020, menurut Microsoft.

Komentar tersebut muncul beberapa minggu setelah serangan ransomware 7 Mei di Colonial Pipeline menutup jaringan pipa bahan bakar terbesar Amerika Serikat selama beberapa hari, mengganggu pasokan negara itu.

Sementara organisasi di Amerika Serikat menerima bagian serangan terbesar, korban yang ditargetkan berasal dari setidaknya 24 negara, kata Microsoft.

Setidaknya seperempat dari organisasi yang ditargetkan terlibat dalam pembangunan internasional, masalah kemanusiaan dan pekerjaan hak asasi manusia, kata Microsoft dalam blog tersebut.

Nobelium meluncurkan serangan minggu ini dengan membobol akun pemasaran email yang digunakan oleh Badan Pembangunan Internasional Amerika Serikat (USAID) dan dari sana meluncurkan serangan phishing pada banyak organisasi lain, kata Microsoft.

Serangan yang diungkapkan oleh Microsoft pada hari Kamis tampaknya merupakan kelanjutan dari berbagai upaya untuk menargetkan lembaga pemerintah yang terlibat dalam kebijakan luar negeri sebagai bagian dari upaya pengumpulan intelijen, kata Microsoft.

Selengkapnya: Reuters

Raksasa e-commerce mengalami pelanggaran data besar dalam insiden Codecov

by

Platform e-commerce Mercari telah mengungkapkan insiden pelanggaran data utama yang terjadi karena paparan dari serangan rantai pasokan Codecov.

Mercari adalah perusahaan Jepang yang diperdagangkan secara publik dan pasar online yang baru-baru ini memperluas operasinya ke Amerika Serikat dan Inggris. Aplikasi Mercari telah mencetak lebih dari 100 juta unduhan di seluruh dunia pada tahun 2017, dan perusahaan tersebut adalah yang pertama di Jepang yang mencapai status unicorn.

Seperti yang dilaporkan sebelumnya oleh BleepingComputer, alat cakupan kode populer Codecov telah menjadi korban serangan rantai pasokan yang berlangsung selama dua bulan.

Selama periode dua bulan ini, pelaku ancaman telah memodifikasi alat Bas Uploader Codecov yang sah untuk mengekstrak variabel (berisi informasi sensitif seperti kunci, token, dan kredensial) dari lingkungan CI / CD pelanggan Codecov.

Menggunakan kredensial yang diambil dari Bash Uploader yang dirusak, penyerang Codecov dilaporkan telah menembus ratusan jaringan pelanggan, termasuk Mercari.

Mercari menyadari dampak dari pelanggaran Codecov tidak lama setelah pengungkapan awal Codecov dilakukan pada pertengahan April.

Pada 23 April, GitHub juga memberi tahu Mercari tentang aktivitas mencurigakan terkait insiden yang terlihat di repositori Mercari.

Pada hari yang sama, Mercari mulai menggali lebih dalam dan meminta GitHub untuk log akses mendetail.

Akhirnya, staf Mercari menentukan bahwa pihak ketiga yang jahat telah memperoleh dan menyalahgunakan kredensial otentikasi mereka dan mengakses repositori pribadi Mercari antara 13 April dan 18 April.

Saat ditemukannya serangan ini, Mercari segera menonaktifkan kredensial dan rahasia yang dikompromikan dan terus menyelidiki dampak penuh dari pelanggaran tersebut.

Selengkapnya : Bleeping Computer