Kampanye aktif Korea Utara yang menargetkan peneliti keamanan

kuroneko · 2023-09-08T10:08:08+09:00

Threat Analysis Group (TAG) milik Google baru-baru ini mengonfirmasi adanya serangan yang menargetkan peneliti keamanan, serta adanya kerentanan zero-day yang dieksploitasi dalam serangan tersebut. Kerentanan zero-day tersebut telah dilaporkan kepada vendor terkait, dan patch sedang disiapkan. Penyerang dari Korea Utara secara aktif berkomunikasi dengan target serangan melalui media sosial seperti Twitter dan membangun hubungan. Dalam satu kasus nyata, mereka berbincang selama beberapa bulan dengan seorang peneliti keamanan tentang topik yang sama-sama diminati dan membangun kepercayaan. Setelah itu, mereka berpindah ke aplikasi pesan terenkripsi dan mengirimkan file berbahaya yang berisi setidaknya satu kerentanan zero-day pada paket perangkat lunak populer. Jika eksploitasi berhasil, shellcode akan memeriksa mesin virtual dan mengirimkan berbagai informasi ke server penyerang; implementasinya mirip dengan metode serangan kerentanan Korea Utara yang pernah ditemukan sebelumnya. Selain serangan tertarget melalui kerentanan zero-day, mereka juga mengembangkan alat open source untuk reverse engineering dan merilisnya di Github. Program ini pertama kali dipublikasikan pada 30 September 2022, lalu terus dikembangkan secara aktif dan diperbarui beberapa kali. Namun, alat ini menyertakan backdoor yang dapat mengunduh dan menjalankan kode arbitrer dari server penyerang. TAG merekomendasikan agar siapa pun yang menggunakan alat ini memeriksa sistem mereka dan, bila perlu, menginstal ulang OS. Semua situs web dan domain berbahaya yang teridentifikasi telah ditambahkan ke Safe Browsing milik Google, dan peringatan serangan yang didukung pemerintah telah dikirimkan ke akun Google yang mungkin terdampak. Mereka juga mengungkap semua domain, file, dan akun berbahaya, termasuk dbgsymbol, blgbeach, @Paul091_, dan lainnya.

(blog.google)

8 poin oleh kuroneko 2023-09-08 | 5 komentar | Bagikan ke WhatsApp

Threat Analysis Group (TAG) milik Google baru-baru ini mengonfirmasi adanya serangan yang menargetkan peneliti keamanan, serta adanya kerentanan zero-day yang dieksploitasi dalam serangan tersebut.
- Kerentanan zero-day tersebut telah dilaporkan kepada vendor terkait, dan patch sedang disiapkan.
Penyerang dari Korea Utara secara aktif berkomunikasi dengan target serangan melalui media sosial seperti Twitter dan membangun hubungan.
- Dalam satu kasus nyata, mereka berbincang selama beberapa bulan dengan seorang peneliti keamanan tentang topik yang sama-sama diminati dan membangun kepercayaan.
- Setelah itu, mereka berpindah ke aplikasi pesan terenkripsi dan mengirimkan file berbahaya yang berisi setidaknya satu kerentanan zero-day pada paket perangkat lunak populer.
Jika eksploitasi berhasil, shellcode akan memeriksa mesin virtual dan mengirimkan berbagai informasi ke server penyerang; implementasinya mirip dengan metode serangan kerentanan Korea Utara yang pernah ditemukan sebelumnya.
Selain serangan tertarget melalui kerentanan zero-day, mereka juga mengembangkan alat open source untuk reverse engineering dan merilisnya di Github.
- Program ini pertama kali dipublikasikan pada 30 September 2022, lalu terus dikembangkan secara aktif dan diperbarui beberapa kali.
- Namun, alat ini menyertakan backdoor yang dapat mengunduh dan menjalankan kode arbitrer dari server penyerang.
- TAG merekomendasikan agar siapa pun yang menggunakan alat ini memeriksa sistem mereka dan, bila perlu, menginstal ulang OS.
Semua situs web dan domain berbahaya yang teridentifikasi telah ditambahkan ke Safe Browsing milik Google, dan peringatan serangan yang didukung pemerintah telah dikirimkan ke akun Google yang mungkin terdampak.
- Mereka juga mengungkap semua domain, file, dan akun berbahaya, termasuk dbgsymbol, blgbeach, @Paul091_, dan lainnya.

5 komentar

kuroneko 2023-09-08

Thread HN

Serangan tertarget memang menakutkan, tetapi bagian di mana kode berbahaya disisipkan ke proyek open source sepertinya perlu diwaspadai lebih serius.

Kode sumber alat tersebut normal, tetapi file yang disertakan dalam GitHub Release katanya mengandung malware.
Bahkan katanya ada lebih dari 200 bintang di GitHub...

Tiba-tiba berita keamanan muncul berturut-turut. Sepertinya kita semua perlu lebih memperhatikan keamanan.

sixmen 2023-09-08

Kode sumbernya sepertinya tetap bisa diverifikasi, tapi saya tidak kepikiran kalau itu akan berbeda dengan Release. Keamanan memang tidak ada habisnya..

kunggom 2023-09-08

Ini juga tampaknya semacam serangan rantai pasok.
Kebetulan, untuk Go 1.21.0 yang dirilis sekitar 1 bulan lalu, mereka memublikasikan sebuah tulisan di blog yang menyatakan bahwa untuk pertama kalinya hasil build toolchain mereka sepenuhnya dapat direproduksi. Dua paragraf pertama dari tulisan itu adalah sebagai berikut.

Perfectly Reproducible, Verified Go Toolchains
> Salah satu keuntungan utama perangkat lunak open source adalah siapa pun dapat membaca source code dan memeriksa fungsinya. Namun, karena sebagian besar perangkat lunak, bahkan perangkat lunak open source, diunduh dalam bentuk binary hasil kompilasi, pemeriksaannya menjadi jauh lebih sulit. Jika penyerang menjalankan serangan rantai pasok terhadap proyek open source, cara yang paling tidak mencolok adalah mengganti binary yang didistribusikan tanpa mengubah source code.
>
> Cara terbaik untuk menghadapi jenis serangan ini adalah membuat build perangkat lunak open source dapat direproduksi, yaitu memastikan bahwa build yang dimulai dari source yang sama menghasilkan output yang sama setiap kali dijalankan. Dengan begitu, siapa pun dapat membangun dari source yang sebenarnya dan memverifikasi bahwa binary hasil build ulang identik bit demi bit dengan binary yang dipublikasikan, sehingga dapat memastikan tidak ada perubahan tersembunyi pada binary yang dipublikasikan. Pendekatan ini membuktikan bahwa tidak ada backdoor atau perubahan lain pada binary yang tidak ada di source code, tanpa perlu membongkar binary atau mengintip isinya. Karena siapa pun dapat memverifikasi binary tersebut, kelompok independen pun dapat dengan mudah mendeteksi dan melaporkan serangan rantai pasok. (Terjemahan DeepL)

Saya sempat bertanya-tanya kenapa orang perlu mengkhawatirkan hal seperti ini, ternyata serangan semacam ini sudah diam-diam dilakukan sejak sekitar 1 tahun lalu. Ah, dunia ini memang makin mengerikan…

kuroneko 2023-09-08

Saya juga cenderung sedikit lebih percaya kalau sesuatu diunggah bersama kode di GitHub... sepertinya saya memang harus berhati-hati.
Mungkin memang tidak ada cara lain selain selalu meninjau kode dan membangunnya sendiri...

kuroneko 2023-09-08

Ringkasan AI dari thread HN

0xDEAFBEAD: Mengusulkan agar GitHub menambahkan banner peringatan untuk repositori yang berisi malware seperti alat ini.
zb3: Mengingatkan agar tidak membabi buta memercayai kode di GitHub hanya karena penulisnya tampak tepercaya.
nneonneo: Berpendapat bahwa sumbernya terlihat bersih, tetapi biner bisa saja sudah disisipi backdoor, sehingga kemungkinan malware ada di rilis biner, bukan di kode sumber itu sendiri.
bowmessage: Menunjukkan fitur pembaruan otomatis mencurigakan yang dapat mengunduh malware dari domain yang dikendalikan penyerang.
gregsadetsky: Menemukan bahwa repositori mirror alat tersebut masih berfungsi dan menjelaskan bagaimana proses pembaruan bekerja hingga memungkinkan infeksi.
codetrotter: Menyediakan arsip repositori asli sebelum dihapus.
dantillberg: Menjelaskan kode pembaruan otomatis yang mengunduh dan menjalankan file dari URL.
bdowling: Awalnya salah memahami masalahnya, tetapi kemudian menegaskan bahwa URL pembaruan yang dikendalikan penyeranglah yang menjadi persoalan.
saagarjha: Berpendapat bahwa zero-day ada pada kemampuan perangkat lunak untuk menjalankan kode penyerang melalui fitur pembaruan.
rightbyte: Mempertanyakan apakah benar ada bukti yang cukup untuk memastikan ini ulah Korea Utara.

Kampanye aktif Korea Utara yang menargetkan peneliti keamanan

Bacaan terkait

5 komentar