Kampanye Penargetan Peneliti Keamanan oleh Korea Utara
(blog.google)- Penyerang yang diduga didukung pemerintah Korea Utara dan sedang dilacak oleh Google TAG terus menargetkan peneliti keamanan yang meneliti dan mengembangkan kerentanan, dan dalam kampanye terbaru juga terkonfirmasi adanya 0-day yang dieksploitasi secara aktif
- Penyerang membangun relasi di X, lalu memindahkan percakapan ke Signal, WhatsApp, dan Wire, kemudian mengirim file berbahaya berisi 0-day dari paket perangkat lunak populer kepada peneliti yang sudah dipercaya
- Setelah eksploit berhasil, shellcode melakukan deteksi mesin virtual lalu mengirim informasi yang dikumpulkan dan tangkapan layar ke domain C2 yang dikendalikan penyerang
- Alat Windows terpisah yang diduga menjadi jalur infeksi lain, GetSymbol, tampak seperti utilitas pengunduh simbol debugging, tetapi dapat mengunduh dan menjalankan kode arbitrer dari domain yang dikendalikan penyerang
- TAG menambahkan domain terkait ke Safe Browsing, mengirim peringatan penyerang yang didukung pemerintah kepada pengguna Gmail dan Workspace yang menjadi target, serta merekomendasikan Chrome Enhanced Safe Browsing dan pembaruan perangkat
Penargetan berulang terhadap peneliti keamanan
- Pada Januari 2021, Google Threat Analysis Group (TAG) pernah mengungkap kampanye yang menargetkan peneliti keamanan riset kerentanan dengan eksploit 0-day oleh pelaku yang didukung pemerintah Korea Utara
- Selama dua setengah tahun berikutnya, TAG terus melacak dan memblokir kampanye serupa, menemukan 0-day, dan melindungi pengguna online
- Kampanye baru yang baru-baru ini dikonfirmasi kemungkinan dilakukan oleh pelaku yang sama karena kemiripannya dengan aktivitas sebelumnya
- Dalam beberapa minggu terakhir, sedikitnya satu 0-day yang dieksploitasi secara aktif digunakan dalam serangan yang menargetkan peneliti keamanan, dan kerentanan tersebut telah dilaporkan ke vendor yang terdampak
- Vendor merilis patch pada 12 September 2023, dan TAG memublikasikan root cause analysis sesuai kebijakan pengungkapan Google
Mengirim file berbahaya setelah membangun hubungan sosial
- Seperti kampanye sebelumnya, penyerang mula-mula menghubungi peneliti target di media sosial seperti X
- Dalam satu kasus, mereka melanjutkan percakapan selama berbulan-bulan dengan peneliti keamanan berdasarkan minat yang sama sambil mencoba menjalin kolaborasi
- Percakapan yang dimulai di X dipindahkan ke messenger terenkripsi seperti Signal, WhatsApp, dan Wire
- Setelah kepercayaan terbentuk, penyerang mengirim file berbahaya yang berisi setidaknya satu 0-day dari paket perangkat lunak populer
- Jika eksploit berhasil, shellcode melakukan berbagai pemeriksaan anti-mesin virtual
- Setelah itu, shellcode mengirim informasi yang dikumpulkan dan tangkapan layar ke domain command-and-control yang dikendalikan penyerang
- Cara shellcode disusun mirip dengan shellcode yang diamati pada eksploit Korea Utara sebelumnya
Jalur infeksi sekunder potensial melalui GetSymbol
- Selain penargetan 0-day, penyerang juga mengembangkan alat Windows mandiri
- Alat ini mengklaim bertujuan mengunduh simbol debugging dari server simbol Microsoft, Google, Mozilla, dan Citrix untuk reverse engineer
- Kode sumber pertama kali dipublikasikan di GitHub pada 30 September 2022, dan setelah itu beberapa pembaruan didistribusikan
- Secara lahiriah, alat ini tampak seperti utilitas untuk cepat mengunduh informasi simbol dari berbagai sumber
- Symbols menyediakan informasi tambahan tentang biner yang dapat membantu debugging masalah perangkat lunak atau riset kerentanan
- Namun, alat ini juga menyertakan kemampuan untuk mengunduh dan menjalankan kode arbitrer dari domain yang dikendalikan penyerang
- TAG merekomendasikan agar siapa pun yang telah mengunduh atau menjalankan alat ini memverifikasi bahwa sistemnya berada dalam kondisi bersih yang diketahui, dan reinstall sistem operasi mungkin diperlukan
Langkah perlindungan Google
- TAG menggunakan hasil risetnya untuk menghadapi pelaku ancaman serius guna meningkatkan keselamatan dan keamanan produk Google
- Semua situs web dan domain yang teridentifikasi ditambahkan ke Safe Browsing segera setelah ditemukan untuk melindungi pengguna dari eksploitasi lanjutan
- government-backed attacker alerts dikirim kepada pengguna Gmail dan Workspace yang menjadi target
- Target potensial disarankan mengaktifkan Enhanced Safe Browsing di Chrome dan menjaga semua perangkat tetap mutakhir
- Semakin tinggi pemahaman tentang taktik dan teknik, semakin kuat pula kemampuan threat hunting dan perlindungan pengguna di seluruh industri
Situs dan akun yang dikendalikan penyerang
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
C2 IP/Domain
23.106.215[.]105www.blgbeach[.]com
-
Akun X
-
Akun Wire
@paul354
-
Akun Mastodon
1 komentar
Komentar Hacker News
Tool getsymbol di GitHub mendapat 214 star, tetapi sama sekali tidak terlihat banner bahwa itu tool berbahaya
Memang ada link ke posting blog Google di issue terbaru, tetapi hanya itu saja
Jika ada pihak GitHub yang melihat ini, saya sangat menyarankan untuk menambahkan banner atau modal peringatan backdoor pada tool ini dan software lain yang diketahui memiliki backdoor (misalnya fork)
Saya sendiri sudah beberapa kali melakukannya :(
Backdoor jauh lebih mungkin berada di rilis biner atau biner auto-update
Jika mengompilasi sendiri lalu menerima auto-update, Anda bisa terinfeksi, dan karena binernya lebih dari 15MB, itu lebih dari cukup untuk menyembunyikan backdoor kecil
Jika ada kesamaan dengan proyek-proyek obscure lain, itu bisa menjadi sinyal bahwa akun-akun tersebut mungkin akun boneka
Saya penasaran seberapa bisa dipercaya situs-situs unduhan populer
Misalnya biner ffmpeg untuk Windows[1] di-host di situs pribadi seseorang
Kita bisa memeriksa checksum dan sebagainya, tetapi tetap tidak ada jaminan bahwa itu terhubung ke commit Git tertentu
Unduhan yang di-host di luar GitHub/tidak resmi tanpa build yang reproducible atau terbukti pada dasarnya membuat saya menganggapnya sebagai aktor negara
Apakah saya terlalu paranoid? Bagaimana package manager Linux/Mac menyelesaikan ini?
[1] https://ffmpeg.org/download.html
Ini benar-benar pernah terjadi pada Linux Mint
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
Jika tidak memeriksa issue, itu terlihat sepenuhnya normal
https://github.com/dbgsymbol/getsymbol
Unduhan Windows disediakan oleh "shinchiro" di SourceForge, dan unduhan MacOS disediakan oleh "stolendata" di stolendata.net
Ini masih cenderung berada pada tahap awal
Tidak mengejutkan atau baru, tetapi tetap menarik
Mengapa memakai 0-day terhadap peneliti keamanan? Dugaan saya, ini adalah pengujian yang punya keuntungan
Jika berhasil pada peneliti keamanan, itu dianggap celah yang bagus dan bisa diterapkan di lapangan, dan dalam jangka panjang mereka mungkin juga menghitung kemungkinan mendapatkan 1+x 0-day dari peneliti tersebut
Dari sudut pandang peneliti keamanan pun situasinya menarik
Jika cukup berhati-hati dan bisa berpura-pura cukup bodoh, mereka mungkin bisa memanen vektor serangan baru atau 0-day secara “gratis”, tetapi jika terlalu percaya diri, mereka langsung dibobol
Tool ini juga memiliki fungsi untuk mengunduh dan menjalankan kode arbitrer dari domain yang dikendalikan penyerang
Dengan kata lain, auto-update
Ini berkat Big Tech yang menanamkan kepada publik agar menerima ketergantungan semacam ini atau memaksa menghapus opsi lain, dan ironisnya kini sikap bergantung dan percaya itu menyebar sampai ke peneliti keamanan lalu berbalik menggigit mereka
Sebagian dari kita sudah tahu sejak awal ke mana sikap seperti ini akan mengarah, dan tidak semuanya adalah peneliti keamanan
Kami hanya sudah melihat dampak negatif lain yang muncul ketika mengizinkan seseorang mendorong sesuatu ke mesin kami dan menjalankannya, lalu menghubungkan keduanya
Ini murni spekulasi, tetapi update keamanan macOS baru saja keluar dan berisi hal seperti ini
“Dampak: memproses gambar yang dibuat secara berbahaya dapat menyebabkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.”
https://support.apple.com/en-us/HT213906
Saya bukan orang yang suka bertaruh, tetapi saya menebak bahwa celah yang sedang dibahas adalah ini
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
Yang membuat penasaran adalah ini
Orang-orang Korea Utara ini jelas punya akses internet tanpa batas, karena secara praktis itu diperlukan untuk menemukan 0-day, dan jelas setidaknya bisa memahami bahasa Inggris
Lalu bagaimana mungkin mereka tidak pernah secara kebetulan menemukan media yang menunjukkan hal-hal yang disembunyikan media negara?
Secara realistis, seperti badan intelijen negara lain, mereka tentu akan merekrut dengan melihat patriotisme
Pertanyaan ini mirip dengan bertanya mengapa agen intelijen AS, meski mendapat informasi tentang Korea Utara lebih dari sekadar propaganda, tidak membelot ke Korea Utara karena jaminan layanan kesehatan yang lebih baik di Korea Utara, sekolah tanpa penembakan massal, dan pengelolaan sampah yang lebih baik
Mereka kemungkinan tidak memberi nilai pada sisi-sisi masyarakat Korea Utara yang tampak lebih baik, dan juga tidak percaya bahwa sisi-sisi itu benar-benar lebih baik dalam situasi tertentu
Saya tidak melihat banyak alasan mengapa badan intelijen Korea Utara akan berbeda
Kemungkinan mereka tahu
Ada cara lain untuk mengendalikan mereka; wortelnya adalah privilege di dalam Korea Utara, cambuknya adalah konsekuensi bagi diri mereka dan keluarga mereka ketika melewati batas
Pergi ke negara yang lebih bebas itu sulit bagi semua orang Korea Utara, dan karena wortel serta cambuk tadi, mereka juga tidak bisa begitu saja berhenti meretas
Kemungkinan mereka diawasi dengan ketat
Sebagian mungkin benar-benar percaya propaganda, dan orang-orang ini tampaknya akan diperlakukan cukup baik
Itu bukan berarti kesalahan Korea Utara jadi dimaafkan
Mereka diawasi ketat di tempat kerja, dan sering kali menerima ancaman terhadap keluarga mereka
Saya penasaran seberapa besar kemungkinan seorang peneliti keamanan menjalankan binary Windows yang diterima dari orang tak dikenal lewat chat
Ini sekarang bukan lagi sekadar dasar-dasar keamanan, tapi sudah mendekati akal sehat
Justru saya rasa para peneliti mendapat kesempatan untuk bermain-main dengan binary itu di lingkungan yang aman
Karena penyerang membuka source code-nya, mereka juga tidak perlu repot melakukan reverse engineering
Blackhat yang baik hati
Ngomong-ngomong, ada yang bisa menemukan exploit di repositori yang ditautkan itu? Saya penasaran apa yang dilakukannya, tapi malas menelusuri semua file
Artikel aslinya juga bisa saja menautkan link itu dan menjelaskan dasar mengapa proyek ini dinilai terhubung dengan peretas Korea Utara
Praktisi keamanan informasi muda didorong untuk mengambil sertifikasi seperti OSCP dan eJPT, dan dalam bisnis sertifikasi semacam ini sering kali mereka harus membobol box yang sudah dikenal
Karena itu muncul budaya saling “membantu” di server Discord, dan sebagian bantuan itu berbentuk binary atau source code yang diobfuscate
Mereka menjalankannya di laptop kerja untuk penetration testing
Di laptop itu ada kunci SSH untuk masuk ke server penulisan laporan, dan pada akhirnya jika diretas, Korea Utara mendapatkan akses ke data perusahaan swasta AS dan kerentanan
Bisa jadi saya pernah melihat kejadian seperti ini secara langsung
Yang dimaksud adalah suatu dokumen yang dibaca oleh sebuah program mengeksploitasi 0-day, dan mereka menerima dokumen itu
Karena jika dipublikasikan, kemungkinan tidak akan berguna lagi
Jika lingkungan peneliti keamanan tidak dirancang dengan baik, entah karena masalah anggaran atau kelalaian, hal seperti itu benar-benar terjadi, dan penyerang bisa sangat cepat mencapai bagian dalam yang menggiurkan
Saya khawatir para peneliti terlalu santai melakukan attribution terhadap kampanye seperti ini
Metodologi attribution tidak pernah diberitahukan, tetapi yang selalu paling diperhatikan oleh orang non-teknis adalah attribution itu
Di artikel ini saja, dua kata pertamanya adalah aktor yang diatribusikan
Namun sama sekali tidak ada cara untuk membuktikannya
Di internet, attribution itu benar-benar, benar-benar, benar-benar sulit
Karena tidak ada cara bagi kita untuk menilai secara independen apakah kita benar atau salah, kita bahkan tidak tahu seberapa sulitnya
Bodoh kalau menganggap attribution tidak terkait dengan motif politik
Berdasarkan itu, attribution umumnya diasumsikan akurat
Namun jika mundur selangkah dan melihatnya secara objektif, sumber intelijen tersebut terlihat cukup munafik karena bersifat melanggar privasi
Mengejutkan bahwa Korea Utara bisa menemukan cukup banyak peretas tingkat lanjut dan tenaga cybersecurity untuk melakukan hal seperti ini, padahal tingkat pendidikan komputasi penduduknya secara umum begitu lemah
Jika seorang anak Korea Utara menunjukkan bakat matematika, ia menjadi objek pemantauan, dan jika cukup unggul, ia dikirim ke sekolah matematika khusus sehingga praktis hampir tidak belajar hal lain
Setelah itu ia dikirim ke satu-satunya universitas teknologi dan mempelajari pemrograman komputer secara intensif selama bertahun-tahun
Jika lolos standar, ia dikirim ke China dan, dengan memanfaatkan akses internet yang lebih baik, melakukan berbagai hal mulai dari pencurian gold MMORPG, serangan phishing, hingga pencarian 0-day
Kedengarannya seperti kehidupan suram: 12 jam sehari, tekanan performa terus-menerus, tinggal di asrama sempit
Jadi agak mirip Silicon Valley ;)
Bahkan diktator tertingginya pun bersekolah SMP/SMA di Swiss
“Semua situs web dan domain yang dikonfirmasi saat ditemukan akan ditambahkan ke Safe Browsing untuk melindungi pengguna dari eksploitasi lanjutan.”
Di browser Brave, dbgsymbol.com tidak memunculkan peringatan Safe Browsing
Peringatan: vektornya tidak diketahui