Taiwan

Malware China Memukul Sistem di Guam. Apakah Taiwan Target Sebenarnya?

May 25, 2023 by Coffee Bean

Sekitar waktu F.B.I. sedang memeriksa peralatan yang ditemukan dari balon mata-mata China yang ditembak jatuh di lepas pantai Carolina Selatan pada bulan Februari, badan intelijen Amerika dan Microsoft mendeteksi apa yang mereka khawatirkan sebagai penyusup yang lebih mengkhawatirkan: kode komputer misterius muncul dalam sistem telekomunikasi di Guam dan tempat lain di Amerika Serikat .

Kode tersebut, yang menurut Microsoft dipasang oleh kelompok peretasan pemerintah China, menimbulkan kekhawatiran karena Guam, dengan pelabuhan Pasifik dan pangkalan udara Amerika yang luas, akan menjadi pusat tanggapan militer Amerika terhadap invasi atau blokade Taiwan. Operasi itu dilakukan dengan sangat sembunyi-sembunyi, terkadang mengalir melalui router rumah dan perangkat konsumen umum lainnya yang terhubung ke internet, untuk membuat penyusupan lebih sulit dilacak.

Kode tersebut disebut “web shell”, dalam hal ini skrip berbahaya yang memungkinkan akses jarak jauh ke server. Router rumah sangat rentan, terutama model lama yang belum memiliki perangkat lunak dan perlindungan yang diperbarui.

Berbeda dengan balon yang membuat orang Amerika terpesona saat melakukan putaran di atas situs nuklir yang sensitif, kode komputer tidak dapat ditembak jatuh di televisi langsung. Jadi sebagai gantinya, Microsoft pada hari Rabu menerbitkan rincian kode yang memungkinkan pengguna korporat, produsen, dan lainnya untuk mendeteksi dan menghapusnya.

selengkapnya : nytimes.com

MSI mengonfirmasi serangan cyber setelah permintaan masalah grup ransomware baru

April 9, 2023 by Coffee Bean

Taiwanese hardware maker Micro-Star International (MSI) confirmed Friday that it was the victim of a cyberattack following reports that said a new ransomware group targeted the company.

In its statement, MSI did not specify when the attack occurred but said the incident was reported to law enforcement agencies “promptly” and recovery measures have been initiated.

This week, the Money Message ransomware group added the company to its list of victims, claiming to have stolen source code, firmware, frameworks and more. Cybersecurity researchers said the group only emerged this week.

MSI, based in New Taipei City, brought in more than $6.6 billion in revenue in 2021 through its work designing and developing computer hardware, including laptops, desktops, motherboards and graphics cards.

“Currently, the affected systems have gradually resumed normal operations, with no significant impact on financial business. MSI urges users to obtain firmware/BIOS updates only from its official website, and not to use files from sources other than the official website,” the company explained.

Perusahaan juga mengajukan pengajuan peraturan ke The Taiwan Stock Exchange pada hari Jumat, menulis bahwa mereka tidak memperkirakan adanya kerugian atau dampak dari serangan siber.

Grup Pesan Uang membagikan beberapa pesannya dengan BleepingComputer, mengklaim telah mengambil 1,5TB data dan mengeluarkan permintaan uang tebusan sebesar $4 juta. Geng ransomware tampaknya baru muncul dalam seminggu terakhir, dengan setidaknya satu korban muncul di forum situs berita teknologi pada 28 Maret.

ThreatLabz dari Zscaler juga menulis pada 29 Maret di Twitter bahwa mereka menyaksikan grup tersebut “melakukan serangan pemerasan ganda” — di mana grup tersebut meminta uang tebusan tidak hanya untuk membuka kunci data terenkripsi tetapi juga untuk tidak membocorkan apa yang telah dicuri.

Para peneliti di Cyble mengatakan pada hari Kamis bahwa grup tersebut “dapat mengenkripsi pembagian jaringan dan menargetkan sistem operasi Windows dan Linux.”

Beberapa vendor perangkat keras Taiwan menghadapi serangan ransomware selama tiga tahun terakhir, termasuk QNAP, Delta Electronics, GIGABYTE, Acer, Quanta, dan lainnya.

Bahan Terapan perusahaan bernilai miliaran dolar, yang menyediakan teknologi untuk industri semikonduktor, juga dipengaruhi oleh serangan ransomware pada pemasok yang mereka perkirakan akan menelan biaya $250 juta pada kuartal berikutnya.

selengkapnya:therecord.com

Taiwan bersiap untuk kemungkinan cyberwar dengan China

September 29, 2022 by Eevee

Warga Taiwan menerima kesadaran keamanan siber kritis dan pelatihan pertahanan. Axios melaporkan bahwa tokoh teknologi Taiwan Robert Tsao menjanjikan sekitar $20 juta dalam pendanaan untuk Kuma Academy. Tujuannya adalah untuk mempersiapkan warga Taiwan untuk kemungkinan invasi China.

Akademi Kuma memiliki tujuan yang ambisius, yaitu memberikan pelatihan militer sipil bagi tiga juta warga Taiwan selama tiga tahun ke depan.

Materi kursus termasuk menemukan dan membongkar disinformasi online, dan mengadakan kursus lanjutan tentang pengumpulan intelijen sumber terbuka (OSINT). Kursus OSINT akan diajarkan oleh kelompok peretas sukarelawan veteran.

Menurut Axios, teknik OSINT tidak populer di Taiwan, terlepas dari jumlah kelompok peretasan Taiwan. Akademi Kuma akan membantu melatih warga Taiwan untuk mendeteksi bahasa non-Taiwan yang populer secara online, dan pelacakan media sosial untuk mendeteksi kemungkinan peniru China yang mengaku sebagai orang Taiwan.

“Perang, pada dasarnya, adalah kontes keinginan. Kedua belah pihak menggunakan berbagai metode untuk mencoba memaksa yang lain untuk mematuhi kehendaknya. Konflik bersenjata hanyalah salah satu bentuk peperangan modern.”

Harapannya adalah dengan memperkuat pertahanan Taiwan dan moral warga negara, mereka akan melawan kepercayaan umum di Taiwan bahwa jika China menyerang, mereka tidak punya pilihan selain menyerah.

Tak heran, Taiwan dan warganya sangat hati-hati menyaksikan perang Ukraina dan Rusia. Kemauan dan kekuatan rakyat Ukraina adalah sesuatu yang ingin ditiru Taiwan.

Rusia telah menyebarkan propaganda dan “disinformasi yang ditargetkan” terhadap penduduk Ukraina dengan tujuan melemahkan moral mereka, menurut Axios. Sementara itu, Ukraina telah melacak kampanye disinformasi Rusia dan menggunakan teknik OSINT untuk membantu mengumpulkan bukti kejahatan perang Rusia.

Sumber: Cyber Careers

Peretas China terkait dengan serangan berbulan-bulan di sektor keuangan Taiwan

February 23, 2022 by Eevee

Sebuah kelompok peretas yang berafiliasi dengan pemerintah China diyakini telah melakukan serangan selama berbulan-bulan terhadap sektor keuangan Taiwan dengan memanfaatkan kerentanan dalam solusi perangkat lunak keamanan yang digunakan oleh sekitar 80% dari semua organisasi keuangan lokal.

Serangan itu diyakini telah dimulai pada akhir November 2021 dan masih berlangsung bulan ini, Perusahaan menghubungkan penyusupan—yang dilacak dengan nama sandi Operation Cache Panda—dengan kelompok spionase siber China yang terkenal di industri keamanan siber sebagai APT10.

Perusahaan keamanan mengatakan bahwa mereka tidak dapat membagikan nama produk yang dieksploitasi dalam serangan saat ini karena penyelidikan penegakan hukum yang sedang berlangsung dan karena upaya untuk merilis dan memasang patch di seluruh keuangan lokal.

Sebaliknya, perusahaan mengatakan bahwa serangan awalnya tidak terdeteksi karena salah klasifikasi.

Investigasi terhadap serangan November 2021 melewatkan bagian di mana peretas mengeksploitasi kerentanan perangkat lunak dan hanya melihat serangan isian kredensial yang digunakan APT10 sebagai kedok dan cara untuk mendapatkan akses ke beberapa akun perdagangan, yang mereka gunakan untuk melakukan transaksi besar di Hong Kong. pasar saham.

Namun peneliti CyCraft mengatakan bahwa serangan credential stuffing hanya digunakan sebagai kedok. Pada kenyataannya, APT10 mengeksploitasi kerentanan di antarmuka web dari alat keamanan, menanam versi shell web ASPXCSharp, dan kemudian menggunakan alat yang disebut Impacket untuk memindai jaringan internal perusahaan target.

Penyerang kemudian menggunakan teknik yang disebut pemuatan kode reflektif untuk menjalankan kode berbahaya pada sistem lokal dan menginstal versi Quasar RAT yang memungkinkan penyerang terus-menerus mengakses sistem yang terinfeksi menggunakan terowongan RDP terbalik.

CyCraft mengatakan dapat mengungkap kebenaran di balik serangan November 2021 setelah salah satu pelanggannya diserang pada Februari 2022.

“Tujuan dari serangan itu tampaknya bukan untuk keuntungan finansial, melainkan pemusnahan informasi perantara, data PII, dan gangguan investasi selama periode pertumbuhan ekonomi untuk Taiwan,” tambahnya.

Serangan itu tidak mengejutkan, karena kelompok spionase siber China telah mengincar Taiwan selama bertahun-tahun, setelah berulang kali dan tanpa henti menyerang hampir semua sektor pemerintah lokal dan ekonominya.

Sumber : The Record Media

Peretas Tiongkok Menargetkan Lembaga Keuangan Taiwan dengan Pintu Belakang Tersembunyi yang baru

February 8, 2022 by Eevee

Sebuah kelompok ancaman persisten lanjutan (APT) China telah menargetkan lembaga keuangan Taiwan sebagai bagian dari “kampanye gigih” yang berlangsung setidaknya selama 18 bulan.

Penyusupantersebut bertujuan pionase, mengakibatkan penyebaran pintu belakang yang disebut xPack, yang memberikan kontrol ekstensif kepada musuh atas mesin yang disusupi, kata Symantec milik Broadcom dalam sebuah laporan yang diterbitkan minggu lalu.

Apa yang penting dari kampanye ini adalah jumlah waktu aktor ancaman mengintai di jaringan korban, memberikan operator banyak kesempatan untuk pengintaian rinci dan menggali informasi yang berpotensi sensitif yang berkaitan dengan kontak bisnis dan investasi tanpa menaikkan bendera merah apapun.

Di salah satu organisasi keuangan yang tidak disebutkan namanya, para penyerang menghabiskan hampir 250 hari antara Desember 2020 dan Agustus 2021, sementara entitas manufaktur memiliki jaringannya di bawah pengawasan mereka selama sekitar 175 hari.

Meskipun vektor akses awal yang digunakan untuk menembus target masih belum jelas, diduga Antlion memanfaatkan kelemahan aplikasi web untuk mendapatkan pijakan dan menjatuhkan pintu belakang khusus xPack, yang digunakan untuk menjalankan perintah sistem, menghapus malware dan alat berikutnya, dan tahap data untuk eksfiltrasi.

Selain itu, aktor ancaman menggunakan pemuat kustom berbasis C++ serta kombinasi alat yang sah seperti AnyDesk dan teknik living-off-the-land (LotL) untuk mendapatkan akses jarak jauh, membuang kredensial, dan mengeksekusi arbitrer perintah.

Temuan ini menambah daftar kelompok negara-bangsa terkait China yang telah menargetkan Taiwan dalam beberapa bulan terakhir, dengan aktivitas siber jahat yang dipasang oleh aktor ancaman yang dilacak saat Tropic Trooper dan Earth Lusca menyerang lembaga pemerintah, perawatan kesehatan, transportasi, dan pendidikan di negara.

Sumber : The Hacker News

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

January 28, 2022 by Eevee

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Taiwan

Cookies Settings