2 poin oleh GN⁺ 2023-09-08 | 1 komentar | Bagikan ke WhatsApp
  • Penyerang yang diduga didukung pemerintah Korea Utara dan sedang dilacak oleh Google TAG terus menargetkan peneliti keamanan yang meneliti dan mengembangkan kerentanan, dan dalam kampanye terbaru juga terkonfirmasi adanya 0-day yang dieksploitasi secara aktif
  • Penyerang membangun relasi di X, lalu memindahkan percakapan ke Signal, WhatsApp, dan Wire, kemudian mengirim file berbahaya berisi 0-day dari paket perangkat lunak populer kepada peneliti yang sudah dipercaya
  • Setelah eksploit berhasil, shellcode melakukan deteksi mesin virtual lalu mengirim informasi yang dikumpulkan dan tangkapan layar ke domain C2 yang dikendalikan penyerang
  • Alat Windows terpisah yang diduga menjadi jalur infeksi lain, GetSymbol, tampak seperti utilitas pengunduh simbol debugging, tetapi dapat mengunduh dan menjalankan kode arbitrer dari domain yang dikendalikan penyerang
  • TAG menambahkan domain terkait ke Safe Browsing, mengirim peringatan penyerang yang didukung pemerintah kepada pengguna Gmail dan Workspace yang menjadi target, serta merekomendasikan Chrome Enhanced Safe Browsing dan pembaruan perangkat

Penargetan berulang terhadap peneliti keamanan

  • Pada Januari 2021, Google Threat Analysis Group (TAG) pernah mengungkap kampanye yang menargetkan peneliti keamanan riset kerentanan dengan eksploit 0-day oleh pelaku yang didukung pemerintah Korea Utara
  • Selama dua setengah tahun berikutnya, TAG terus melacak dan memblokir kampanye serupa, menemukan 0-day, dan melindungi pengguna online
  • Kampanye baru yang baru-baru ini dikonfirmasi kemungkinan dilakukan oleh pelaku yang sama karena kemiripannya dengan aktivitas sebelumnya
  • Dalam beberapa minggu terakhir, sedikitnya satu 0-day yang dieksploitasi secara aktif digunakan dalam serangan yang menargetkan peneliti keamanan, dan kerentanan tersebut telah dilaporkan ke vendor yang terdampak
  • Vendor merilis patch pada 12 September 2023, dan TAG memublikasikan root cause analysis sesuai kebijakan pengungkapan Google

Mengirim file berbahaya setelah membangun hubungan sosial

  • Seperti kampanye sebelumnya, penyerang mula-mula menghubungi peneliti target di media sosial seperti X
    • Dalam satu kasus, mereka melanjutkan percakapan selama berbulan-bulan dengan peneliti keamanan berdasarkan minat yang sama sambil mencoba menjalin kolaborasi
    • Percakapan yang dimulai di X dipindahkan ke messenger terenkripsi seperti Signal, WhatsApp, dan Wire
  • Setelah kepercayaan terbentuk, penyerang mengirim file berbahaya yang berisi setidaknya satu 0-day dari paket perangkat lunak populer
  • Jika eksploit berhasil, shellcode melakukan berbagai pemeriksaan anti-mesin virtual
    • Setelah itu, shellcode mengirim informasi yang dikumpulkan dan tangkapan layar ke domain command-and-control yang dikendalikan penyerang
    • Cara shellcode disusun mirip dengan shellcode yang diamati pada eksploit Korea Utara sebelumnya

Jalur infeksi sekunder potensial melalui GetSymbol

  • Selain penargetan 0-day, penyerang juga mengembangkan alat Windows mandiri
  • Alat ini mengklaim bertujuan mengunduh simbol debugging dari server simbol Microsoft, Google, Mozilla, dan Citrix untuk reverse engineer
  • Kode sumber pertama kali dipublikasikan di GitHub pada 30 September 2022, dan setelah itu beberapa pembaruan didistribusikan
  • Secara lahiriah, alat ini tampak seperti utilitas untuk cepat mengunduh informasi simbol dari berbagai sumber
    • Symbols menyediakan informasi tambahan tentang biner yang dapat membantu debugging masalah perangkat lunak atau riset kerentanan
  • Namun, alat ini juga menyertakan kemampuan untuk mengunduh dan menjalankan kode arbitrer dari domain yang dikendalikan penyerang
  • TAG merekomendasikan agar siapa pun yang telah mengunduh atau menjalankan alat ini memverifikasi bahwa sistemnya berada dalam kondisi bersih yang diketahui, dan reinstall sistem operasi mungkin diperlukan

Langkah perlindungan Google

  • TAG menggunakan hasil risetnya untuk menghadapi pelaku ancaman serius guna meningkatkan keselamatan dan keamanan produk Google
  • Semua situs web dan domain yang teridentifikasi ditambahkan ke Safe Browsing segera setelah ditemukan untuk melindungi pengguna dari eksploitasi lanjutan
  • government-backed attacker alerts dikirim kepada pengguna Gmail dan Workspace yang menjadi target
  • Target potensial disarankan mengaktifkan Enhanced Safe Browsing di Chrome dan menjaga semua perangkat tetap mutakhir
  • Semakin tinggi pemahaman tentang taktik dan teknik, semakin kuat pula kemampuan threat hunting dan perlindungan pengguna di seluruh industri

Situs dan akun yang dikendalikan penyerang

1 komentar

 
GN⁺ 2023-09-08
Komentar Hacker News
  • Tool getsymbol di GitHub mendapat 214 star, tetapi sama sekali tidak terlihat banner bahwa itu tool berbahaya
    Memang ada link ke posting blog Google di issue terbaru, tetapi hanya itu saja
    Jika ada pihak GitHub yang melihat ini, saya sangat menyarankan untuk menambahkan banner atau modal peringatan backdoor pada tool ini dan software lain yang diketahui memiliki backdoor (misalnya fork)

    • Ini juga reminder yang bagus bahwa kode di GitHub pun bisa berbahaya, dan tidak boleh dipercaya begitu saja hanya karena pembuatnya tampak punya minat yang mirip
      Saya sendiri sudah beberapa kali melakukannya :(
    • Source code-nya sendiri terlihat relatif bersih, dan fitur auto-update juga sepertinya berada di balik dialog konfirmasi
      Backdoor jauh lebih mungkin berada di rilis biner atau biner auto-update
      Jika mengompilasi sendiri lalu menerima auto-update, Anda bisa terinfeksi, dan karena binernya lebih dari 15MB, itu lebih dari cukup untuk menyembunyikan backdoor kecil
    • Akun-akun yang memberi star pada getsymbol layak dianalisis berdasarkan kondisi sebelum dipublikasikan
      Jika ada kesamaan dengan proyek-proyek obscure lain, itu bisa menjadi sinyal bahwa akun-akun tersebut mungkin akun boneka
    • Sepertinya baru saja diturunkan
    • Saya sudah melaporkan repositori itu sebagai malware, jadi akan lihat bagaimana penanganannya
  • Saya penasaran seberapa bisa dipercaya situs-situs unduhan populer
    Misalnya biner ffmpeg untuk Windows[1] di-host di situs pribadi seseorang
    Kita bisa memeriksa checksum dan sebagainya, tetapi tetap tidak ada jaminan bahwa itu terhubung ke commit Git tertentu
    Unduhan yang di-host di luar GitHub/tidak resmi tanpa build yang reproducible atau terbukti pada dasarnya membuat saya menganggapnya sebagai aktor negara
    Apakah saya terlalu paranoid? Bagaimana package manager Linux/Mac menyelesaikan ini?
    [1] https://ffmpeg.org/download.html

    • Biner yang ada di situs web resmi pun bisa menjebak jika situsnya diretas dan checksum ikut diganti
      Ini benar-benar pernah terjadi pada Linux Mint
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • Kenapa GitHub dipercaya? Tool GetSymbol juga mendapat 215 star di sana
      Jika tidak memeriksa issue, itu terlihat sepenuhnya normal
      https://github.com/dbgsymbol/getsymbol
    • mpv juga punya masalah yang sama: https://mpv.io/installation/
      Unduhan Windows disediakan oleh "shinchiro" di SourceForge, dan unduhan MacOS disediakan oleh "stolendata" di stolendata.net
    • Bukankah package manager Linux/Mac menyelesaikannya dengan membangun biner dari source dan meng-host-nya di server mereka sendiri?
    • Istilah pencarian/buzzword di bidang ini adalah Reproducible Builds
      Ini masih cenderung berada pada tahap awal
  • Tidak mengejutkan atau baru, tetapi tetap menarik
    Mengapa memakai 0-day terhadap peneliti keamanan? Dugaan saya, ini adalah pengujian yang punya keuntungan
    Jika berhasil pada peneliti keamanan, itu dianggap celah yang bagus dan bisa diterapkan di lapangan, dan dalam jangka panjang mereka mungkin juga menghitung kemungkinan mendapatkan 1+x 0-day dari peneliti tersebut
    Dari sudut pandang peneliti keamanan pun situasinya menarik
    Jika cukup berhati-hati dan bisa berpura-pura cukup bodoh, mereka mungkin bisa memanen vektor serangan baru atau 0-day secara “gratis”, tetapi jika terlalu percaya diri, mereka langsung dibobol

    • Peneliti keamanan pada umumnya memiliki lebih banyak 0-day
    • Atau mungkin mereka hanya mengincar hak akses yang dimiliki target
    • Ini jelas karena Korea Utara tidak mau membayar harga pasar untuk 0-day
  • Tool ini juga memiliki fungsi untuk mengunduh dan menjalankan kode arbitrer dari domain yang dikendalikan penyerang
    Dengan kata lain, auto-update
    Ini berkat Big Tech yang menanamkan kepada publik agar menerima ketergantungan semacam ini atau memaksa menghapus opsi lain, dan ironisnya kini sikap bergantung dan percaya itu menyebar sampai ke peneliti keamanan lalu berbalik menggigit mereka
    Sebagian dari kita sudah tahu sejak awal ke mana sikap seperti ini akan mengarah, dan tidak semuanya adalah peneliti keamanan
    Kami hanya sudah melihat dampak negatif lain yang muncul ketika mengizinkan seseorang mendorong sesuatu ke mesin kami dan menjalankannya, lalu menghubungkan keduanya

  • Ini murni spekulasi, tetapi update keamanan macOS baru saja keluar dan berisi hal seperti ini
    “Dampak: memproses gambar yang dibuat secara berbahaya dapat menyebabkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.”
    https://support.apple.com/en-us/HT213906
    Saya bukan orang yang suka bertaruh, tetapi saya menebak bahwa celah yang sedang dibahas adalah ini

  • Yang membuat penasaran adalah ini
    Orang-orang Korea Utara ini jelas punya akses internet tanpa batas, karena secara praktis itu diperlukan untuk menemukan 0-day, dan jelas setidaknya bisa memahami bahasa Inggris
    Lalu bagaimana mungkin mereka tidak pernah secara kebetulan menemukan media yang menunjukkan hal-hal yang disembunyikan media negara?

    • “Agen rahasia kami semuanya patriot setia, sedangkan agen pihak sana semuanya sandera yang dicuci otak!”
      Secara realistis, seperti badan intelijen negara lain, mereka tentu akan merekrut dengan melihat patriotisme
      Pertanyaan ini mirip dengan bertanya mengapa agen intelijen AS, meski mendapat informasi tentang Korea Utara lebih dari sekadar propaganda, tidak membelot ke Korea Utara karena jaminan layanan kesehatan yang lebih baik di Korea Utara, sekolah tanpa penembakan massal, dan pengelolaan sampah yang lebih baik
      Mereka kemungkinan tidak memberi nilai pada sisi-sisi masyarakat Korea Utara yang tampak lebih baik, dan juga tidak percaya bahwa sisi-sisi itu benar-benar lebih baik dalam situasi tertentu
      Saya tidak melihat banyak alasan mengapa badan intelijen Korea Utara akan berbeda
    • Apakah maksudnya badan intelijen Korea Utara tidak tahu isi media Barat?
      Kemungkinan mereka tahu
      Ada cara lain untuk mengendalikan mereka; wortelnya adalah privilege di dalam Korea Utara, cambuknya adalah konsekuensi bagi diri mereka dan keluarga mereka ketika melewati batas
    • Pilihannya tampaknya tidak banyak
      Pergi ke negara yang lebih bebas itu sulit bagi semua orang Korea Utara, dan karena wortel serta cambuk tadi, mereka juga tidak bisa begitu saja berhenti meretas
      Kemungkinan mereka diawasi dengan ketat
      Sebagian mungkin benar-benar percaya propaganda, dan orang-orang ini tampaknya akan diperlakukan cukup baik
    • Mereka mungkin justru merasa tenang setelah melihat hal-hal gila yang digelontorkan mesin propaganda Barat tentang Korea Utara
      Itu bukan berarti kesalahan Korea Utara jadi dimaafkan
    • Podcast BBC yang sangat bagus, The Lazarus Heist, membahas sebagian kehidupan para peretas Korea Utara: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      Mereka diawasi ketat di tempat kerja, dan sering kali menerima ancaman terhadap keluarga mereka
  • Saya penasaran seberapa besar kemungkinan seorang peneliti keamanan menjalankan binary Windows yang diterima dari orang tak dikenal lewat chat
    Ini sekarang bukan lagi sekadar dasar-dasar keamanan, tapi sudah mendekati akal sehat
    Justru saya rasa para peneliti mendapat kesempatan untuk bermain-main dengan binary itu di lingkungan yang aman
    Karena penyerang membuka source code-nya, mereka juga tidak perlu repot melakukan reverse engineering
    Blackhat yang baik hati
    Ngomong-ngomong, ada yang bisa menemukan exploit di repositori yang ditautkan itu? Saya penasaran apa yang dilakukannya, tapi malas menelusuri semua file
    Artikel aslinya juga bisa saja menautkan link itu dan menjelaskan dasar mengapa proyek ini dinilai terhubung dengan peretas Korea Utara

    • Ini terjadi jauh lebih sering daripada yang dikira
      Praktisi keamanan informasi muda didorong untuk mengambil sertifikasi seperti OSCP dan eJPT, dan dalam bisnis sertifikasi semacam ini sering kali mereka harus membobol box yang sudah dikenal
      Karena itu muncul budaya saling “membantu” di server Discord, dan sebagian bantuan itu berbentuk binary atau source code yang diobfuscate
      Mereka menjalankannya di laptop kerja untuk penetration testing
      Di laptop itu ada kunci SSH untuk masuk ke server penulisan laporan, dan pada akhirnya jika diretas, Korea Utara mendapatkan akses ke data perusahaan swasta AS dan kerentanan
      Bisa jadi saya pernah melihat kejadian seperti ini secara langsung
    • Ancaman yang mereka maksud bukan itu
      Yang dimaksud adalah suatu dokumen yang dibaca oleh sebuah program mengeksploitasi 0-day, dan mereka menerima dokumen itu
    • Kalau bertanya soal dasar mengapa proyek ini dikaitkan dengan peretas Korea Utara, cukup masuk akal untuk menduga bahwa ketika pihak melakukan attribution dengan keyakinan memadai tetapi tidak membuka metodenya, mereka tidak ingin membakar sumber atau indikator yang masih bisa berguna ke depannya
      Karena jika dipublikasikan, kemungkinan tidak akan berguna lagi
    • Kalimat “pelaku ancaman mengirim file berbahaya yang mencakup setidaknya satu 0-day pada paket software populer” berarti itu bukan file executable
    • Inti dari pengantar keamanan adalah bahwa suatu saat semua orang akan melakukan kesalahan. Semua orang
      Jika lingkungan peneliti keamanan tidak dirancang dengan baik, entah karena masalah anggaran atau kelalaian, hal seperti itu benar-benar terjadi, dan penyerang bisa sangat cepat mencapai bagian dalam yang menggiurkan
  • Saya khawatir para peneliti terlalu santai melakukan attribution terhadap kampanye seperti ini
    Metodologi attribution tidak pernah diberitahukan, tetapi yang selalu paling diperhatikan oleh orang non-teknis adalah attribution itu
    Di artikel ini saja, dua kata pertamanya adalah aktor yang diatribusikan
    Namun sama sekali tidak ada cara untuk membuktikannya
    Di internet, attribution itu benar-benar, benar-benar, benar-benar sulit
    Karena tidak ada cara bagi kita untuk menilai secara independen apakah kita benar atau salah, kita bahkan tidak tahu seberapa sulitnya
    Bodoh kalau menganggap attribution tidak terkait dengan motif politik

    • Citlab bekerja sama dengan berbagai broker data swasta untuk memperoleh intelijen keamanan komersial, dan hal itu juga sering dirujuk dalam laporan
      Berdasarkan itu, attribution umumnya diasumsikan akurat
      Namun jika mundur selangkah dan melihatnya secara objektif, sumber intelijen tersebut terlihat cukup munafik karena bersifat melanggar privasi
  • Mengejutkan bahwa Korea Utara bisa menemukan cukup banyak peretas tingkat lanjut dan tenaga cybersecurity untuk melakukan hal seperti ini, padahal tingkat pendidikan komputasi penduduknya secara umum begitu lemah

    • Dari yang saya baca dari para pakar Korea Utara, Korea Utara memang sengaja mencetak peretas secara intensif
      Jika seorang anak Korea Utara menunjukkan bakat matematika, ia menjadi objek pemantauan, dan jika cukup unggul, ia dikirim ke sekolah matematika khusus sehingga praktis hampir tidak belajar hal lain
      Setelah itu ia dikirim ke satu-satunya universitas teknologi dan mempelajari pemrograman komputer secara intensif selama bertahun-tahun
      Jika lolos standar, ia dikirim ke China dan, dengan memanfaatkan akses internet yang lebih baik, melakukan berbagai hal mulai dari pencurian gold MMORPG, serangan phishing, hingga pencarian 0-day
      Kedengarannya seperti kehidupan suram: 12 jam sehari, tekanan performa terus-menerus, tinggal di asrama sempit
      Jadi agak mirip Silicon Valley ;)
    • Orang Korea Utara yang kaya atau punya koneksi dididik di berbagai sekolah bergengsi di Barat dan China
      Bahkan diktator tertingginya pun bersekolah SMP/SMA di Swiss
    • Hampir pasti mereka memanfaatkan talent pool dari salah satu negara sekitar
  • “Semua situs web dan domain yang dikonfirmasi saat ditemukan akan ditambahkan ke Safe Browsing untuk melindungi pengguna dari eksploitasi lanjutan.”
    Di browser Brave, dbgsymbol.com tidak memunculkan peringatan Safe Browsing
    Peringatan: vektornya tidak diketahui

    • Safe Browsing bukan untuk deteksi peretasan, melainkan agar Google dapat dengan mudah memantau pengguna