Supply Chain Attack

Bank sentral Denmark terkena peretasan SolarWinds, kata laporan media

June 30, 2021 by Mally

Bank sentral Denmark dikompromikan dalam operasi peretasan global SolarWinds tahun lalu, meninggalkan “pintu belakang” ke jaringannya terbuka selama tujuh bulan, media IT Version2 melaporkan pada hari Selasa, mengutip dokumen yang terkait dengan kasus tersebut.

Para peretas, yang dituduh oleh Amerika Serikat bekerja untuk intelijen Rusia, sangat hebat dan memodifikasi kode dalam perangkat lunak manajemen jaringan SolarWinds yang diunduh oleh 18.000 pelanggan di seluruh dunia.

Penyerang dapat menggunakan SolarWinds untuk masuk ke dalam jaringan dan kemudian membuat pintu belakang untuk akses lanjutan yang potensial.

Pintu belakang semacam itu terbuka di bank sentral Denmark selama tujuh bulan sampai ditemukan oleh perusahaan keamanan AS Fire Eye, Version2 mengatakan, mengutip berbagai dokumen yang diperolehnya berdasarkan permintaan kebebasan informasi, seperti email SolarWinds.

Bank sentral, yang mengelola transaksi bernilai miliaran dolar setiap hari, mengatakan dalam komentar email kepada Reuters bahwa “tidak ada tanda-tanda bahwa serangan itu memiliki konsekuensi nyata”.

“Serangan SolarWinds juga menghantam infrastruktur keuangan di Denmark. Sistem yang relevan ditampung dan dianalisis segera setelah kompromi SolarWinds Orion diketahui,” tambahnya.

Selengkapnya: Reuters

Codecov akan menghentikan skrip Bash yang bertanggung jawab atas gelombang serangan rantai pasokan

June 16, 2021 by Mally

Codecov telah memperkenalkan pengunggah baru yang mengandalkan NodeJS untuk mengganti dan menghapus skrip Bash yang bertanggung jawab atas serangan rantai pasokan baru-baru ini.

Penyedia alat DevOps yang berbasis di San Francisco mengatakan dalam sebuah posting blog bahwa pengunggah baru akan dikirimkan sebagai biner statis yang dapat dieksekusi yang cocok untuk Windows, Linux, Alpine Linux, dan macOS.

Pengunggah, digunakan dengan cara yang sama seperti pengunggah Bash yang ada, digunakan untuk mendorong data cakupan dan pembaruan ke produk selama siklus pengembangan.

Pengunggah saat ini dalam tahap Beta dan belum sepenuhnya terintegrasi, tetapi Codecov mengatakan bahwa “sebagian besar alur kerja standar yang saat ini diselesaikan dengan Pengunggah Bash dapat diselesaikan dengan pengunggah baru”.

Pengunggah Bash Codecov adalah sumber dari serangkaian serangan rantai pasokan yang terjadi sekitar 31 Januari 2021, dipublikasikan pada 15 April.

Rentang pengunggah Bash Codecov — pengunggah tindakan Codecov untuk Github, CircleCl Orb, dan Bitrise Step — semuanya terpengaruh.

Diperkirakan ratusan organisasi menjadi korban dalam insiden keamanan tersebut. Korban yang diketahui termasuk Rapid7, Monday.com, Mercari, dan Twilio.

Selengkapnya: ZDNet

Microsoft mengatakan kelompok di balik peretasan SolarWinds sekarang menargetkan lembaga pemerintah, LSM

May 31, 2021 by Mally

Kelompok di balik serangan dunia maya SolarWinds (SWI.N) yang diidentifikasi akhir tahun lalu sekarang menargetkan lembaga pemerintah, lembaga riset, konsultan, dan organisasi non-pemerintah, kata Microsoft Corp (MSFT.O) pada hari Kamis.

Nobelium, yang berasal dari Rusia, adalah aktor yang sama di balik serangan terhadap pelanggan SolarWinds pada tahun 2020, menurut Microsoft.

Komentar tersebut muncul beberapa minggu setelah serangan ransomware 7 Mei di Colonial Pipeline menutup jaringan pipa bahan bakar terbesar Amerika Serikat selama beberapa hari, mengganggu pasokan negara itu.

Sementara organisasi di Amerika Serikat menerima bagian serangan terbesar, korban yang ditargetkan berasal dari setidaknya 24 negara, kata Microsoft.

Setidaknya seperempat dari organisasi yang ditargetkan terlibat dalam pembangunan internasional, masalah kemanusiaan dan pekerjaan hak asasi manusia, kata Microsoft dalam blog tersebut.

Nobelium meluncurkan serangan minggu ini dengan membobol akun pemasaran email yang digunakan oleh Badan Pembangunan Internasional Amerika Serikat (USAID) dan dari sana meluncurkan serangan phishing pada banyak organisasi lain, kata Microsoft.

Serangan yang diungkapkan oleh Microsoft pada hari Kamis tampaknya merupakan kelanjutan dari berbagai upaya untuk menargetkan lembaga pemerintah yang terlibat dalam kebijakan luar negeri sebagai bagian dari upaya pengumpulan intelijen, kata Microsoft.

Selengkapnya: Reuters

Raksasa e-commerce mengalami pelanggaran data besar dalam insiden Codecov

May 26, 2021 by Mally

Platform e-commerce Mercari telah mengungkapkan insiden pelanggaran data utama yang terjadi karena paparan dari serangan rantai pasokan Codecov.

Mercari adalah perusahaan Jepang yang diperdagangkan secara publik dan pasar online yang baru-baru ini memperluas operasinya ke Amerika Serikat dan Inggris. Aplikasi Mercari telah mencetak lebih dari 100 juta unduhan di seluruh dunia pada tahun 2017, dan perusahaan tersebut adalah yang pertama di Jepang yang mencapai status unicorn.

Seperti yang dilaporkan sebelumnya oleh BleepingComputer, alat cakupan kode populer Codecov telah menjadi korban serangan rantai pasokan yang berlangsung selama dua bulan.

Selama periode dua bulan ini, pelaku ancaman telah memodifikasi alat Bas Uploader Codecov yang sah untuk mengekstrak variabel (berisi informasi sensitif seperti kunci, token, dan kredensial) dari lingkungan CI / CD pelanggan Codecov.

Menggunakan kredensial yang diambil dari Bash Uploader yang dirusak, penyerang Codecov dilaporkan telah menembus ratusan jaringan pelanggan, termasuk Mercari.

Mercari menyadari dampak dari pelanggaran Codecov tidak lama setelah pengungkapan awal Codecov dilakukan pada pertengahan April.

Pada 23 April, GitHub juga memberi tahu Mercari tentang aktivitas mencurigakan terkait insiden yang terlihat di repositori Mercari.

Pada hari yang sama, Mercari mulai menggali lebih dalam dan meminta GitHub untuk log akses mendetail.

Akhirnya, staf Mercari menentukan bahwa pihak ketiga yang jahat telah memperoleh dan menyalahgunakan kredensial otentikasi mereka dan mengakses repositori pribadi Mercari antara 13 April dan 18 April.

Saat ditemukannya serangan ini, Mercari segera menonaktifkan kredensial dan rahasia yang dikompromikan dan terus menyelidiki dampak penuh dari pelanggaran tersebut.

Selengkapnya : Bleeping Computer

Pelanggaran SolarWinds memperlihatkan kelemahan keamanan multicloud hybrid

May 17, 2021 by Mally

Strategi multicloud hybrid dapat memanfaatkan data dan wawasan berharga dari sistem lama sambil menggunakan platform, aplikasi, dan alat berbasis cloud terbaru. Namun mendapatkan hak keamanan multicloud hybrid tidaklah mudah.

Mengekspos kelemahan keamanan yang parah di cloud hybrid, otentikasi, dan konfigurasi akses paling tidak istimewa, pelanggaran SolarWinds profil tinggi mengungkapkan betapa rentannya setiap bisnis.

Jelas, para pemimpin perusahaan harus melihat melampaui level dasar yang sangat digemari dari identitas dan manajemen akses (IAM) dan manajemen akses istimewa (PAM) yang sekarang ditawarkan oleh penyedia cloud.

Singkatnya, pelaku ancaman persisten tingkat lanjut (APT) menembus rantai pasokan perangkat lunak SolarWinds Orion tanpa terdeteksi, memodifikasi file pustaka yang terhubung secara dinamis (.dll), dan menyebarkan malware ke seluruh basis pelanggan SolarWinds sambil berhati-hati untuk meniru lalu lintas yang sah.

Dengan mempertimbangkan pelajaran SolarWinds, setiap organisasi perlu memverifikasi sejauh mana cakupan yang disediakan sebagai fungsionalitas dasar untuk IAM dan PAM oleh vendor cloud. Meskipun konsep model tanggung jawab bersama berguna, penting untuk melihat melampaui janji penyedia platform cloud berdasarkan kerangka kerja.

Serangan SolarWinds datang tepat ketika metode multicloud mulai mendapatkan daya tarik. Cloud sprawl didefinisikan sebagai pertumbuhan instance cloud yang tidak direncanakan dan seringkali tidak terkendali di seluruh platform cloud publik, pribadi, dan komunitas. Penyebab utama cloud sprawl adalah kurangnya kontrol, tata kelola, dan visibilitas tentang bagaimana instance dan resource komputasi cloud diperoleh dan digunakan

Selengkapnya: Venturebeat

Kode Sumber Rapid7 Bocor dalam Serangan Rantai Pasokan Codecov

May 17, 2021 by Mally

Perusahaan cybersecurity Rapid7 pada hari Kamis mengungkapkan bahwa aktor tak dikenal secara tidak benar berhasil mendapatkan sebagian kecil dari repositori kode sumbernya setelah kompromi rantai pasokan perangkat lunak yang menargetkan Codecov awal tahun ini.

“Sebagian kecil dari repositori kode sumber kami untuk perkakas internal untuk layanan [Deteksi dan Respons yang Dikelola] kami diakses oleh pihak yang tidak berwenang di luar Rapid7,” kata perusahaan yang berbasis di Boston dalam sebuah pengungkapan. “Repositori ini berisi beberapa kredensial internal, yang semuanya telah dirotasi, dan data terkait peringatan untuk sebagian pelanggan MDR kami.”

Pada 15 April, startup audit perangkat lunak Codecov memberi tahu pelanggan bahwa utilitas Bash Uploader-nya telah terinfeksi dengan pintu belakang pada 31 Januari oleh pihak yang tidak dikenal untuk mendapatkan akses ke token otentikasi untuk berbagai akun perangkat lunak internal yang digunakan oleh pengembang. Insiden itu tidak terungkap sampai 1 April.

Rapid7 menegaskan bahwa tidak ada bukti bahwa sistem perusahaan atau lingkungan produksi lain diakses, atau bahwa ada perubahan berbahaya yang dilakukan pada repositori tersebut.

Perusahaan juga menambahkan penggunaan skrip Pengunggah terbatas pada satu server CI yang digunakan untuk menguji dan membangun beberapa alat internal untuk layanan MDR-nya.

Sebagai bagian dari penyelidikan tanggapan insidennya, perusahaan keamanan mengatakan telah memberi tahu sejumlah pelanggan tertentu yang mungkin terkena dampak pelanggaran tersebut.

Selengkapnya: The Hacker News

Ratusan jaringan dilaporkan diretas dalam serangan rantai pasokan Codecov

April 21, 2021 by Mally

Rincian lebih lanjut telah muncul tentang pelanggaran sistem Codecov baru-baru ini yang sekarang disamakan dengan peretasan SolarWinds.

Dalam laporan baru oleh Reuters, penyelidik telah menyatakan bahwa ratusan jaringan pelanggan telah dibobol dalam insiden tersebut, memperluas cakupan pelanggaran sistem ini di luar sistem Codecov saja.

Seperti dilansir BleepingComputer minggu lalu, Codecov mengalami serangan rantai pasokan yang tidak terdeteksi selama lebih dari 2 bulan.

Dalam serangan ini, pelaku ancaman telah mendapatkan kredensial Codecov dari image Docker mereka yang cacat yang kemudian digunakan oleh pelaku untuk mengubah skrip Bash Uploader Codecov, yang digunakan oleh klien perusahaan.

Penyelidikan awal Codecov mengungkapkan bahwa mulai 31 Januari 2021, terjadi perubahan berkala yang tidak sah dari skrip Bash Uploader yang memungkinkan pelaku ancaman untuk secara potensial mengekstrak informasi pengguna Codecov yang disimpan di lingkungan CI mereka.

Namun, baru pada tanggal 1 April perusahaan menyadari aktivitas berbahaya ini ketika pelanggan melihat perbedaan antara hash (shashum) skrip Bash Uploader yang dihosting di domain Codecov dan hash (benar) yang terdaftar di GitHub perusahaan.

Tak lama kemudian, insiden itu mendapat perhatian penyelidik federal AS karena pelanggaran tersebut dibandingkan dengan serangan SolarWinds baru-baru ini yang oleh pemerintah AS dikaitkan dengan Badan Intelijen Luar Negeri Rusia (SVR).

Codecov memiliki lebih dari 29.000 pelanggan, termasuk nama-nama terkemuka seperti GoDaddy, Atlassian, The Washington Post, Procter & Gamble (P & G), menjadikannya sebagai insiden rantai pasokan yang patut diperhatikan.

Selengkapnya: Bleeping Computer

Ponsel Android Gigaset terinfeksi oleh malware melalui server pembaruan yang diretas

April 8, 2021 by Mally

Pemilik ponsel Android Gigaset telah berulang kali terinfeksi malware sejak akhir Maret setelah pelaku ancaman menyusupi server pembaruan vendor dalam serangan rantai pasokan.

Gigaset adalah pabrikan perangkat telekomunikasi asal Jerman, termasuk rangkaian smartphone yang menjalankan sistem operasi Android.

Mulai sekitar 27 Maret, pengguna tiba-tiba menemukan perangkat seluler Gigaset mereka berulang kali membuka browser web dan menampilkan iklan untuk situs game seluler.

Saat memeriksa aplikasi ponsel mereka yang sedang berjalan, pengguna menemukan aplikasi yang tidak dikenal bernama ‘easenf’ berjalan, yang ketika dihapus, secara otomatis akan diinstal kembali.

Menurut situs teknologi Jerman BornCity, aplikasi easenf diinstal oleh aplikasi pembaruan sistem perangkat. Aplikasi berbahaya lainnya yang ditemukan termasuk ‘gem’, ‘smart’, dan ‘xiaoan.’

Pengguna Gigaset mengunggah beberapa paket berbahaya ini ke VirusTotal [1, 2], di mana mereka terdeteksi sebagai adware atau pengunduh.

Sejak serangan dimulai, Malwarebytes telah mendukung pemilik Gigaset di forum mereka dan mendeteksi ancaman sebagai ‘Android / PUP.Riskware.Autoins.Redstone.’

Berdasarkan penelitian mereka, Malwarebytes menyatakan bahwa aplikasi ‘Android / PUP.Riskware.Autoins.Redstone’ akan mengunduh malware lebih lanjut pada perangkat yang terdeteksi sebagai ‘Android / Trojan.Downloader.Agent.WAGD.’

Malwarebytes menyatakan bahwa aplikasi ini akan menampilkan iklan, menginstal aplikasi berbahaya lainnya, dan mencoba menyebar melalui pesan WhatsApp.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Supply Chain Attack

Cookies Settings