Kelompok spionase cyber Rusia diketahui kembali menggunakan alat hacking NSA yang bocor ke publik, alat teresebut diketahui merupakan alat yang sama yang digunakan dalam wabah WannaCry dan NotPetya untuk menargetkan jaringan Wi-Fi dalam upaya untuk memata-matai tamu hotel di beberapa negara Eropa. Peneliti keamanan di FireEye telah menemukan sebuah kampanye yang sedang berlangsung untuk mencuri identitas high-value guests dengan menggunakan jaringan Wi-Fi di hotel-hotel Eropa dan menghubungkannya dengan Fancy Bear hacking group.
Fancy Bear - juga dikenal sebagai APT28, Sofacy, Sednit, Pawn Storm - telah beroperasi setidaknya mulai tahun 2007 dan juga dituduh melakukan hacking terhadap Komite Nasional Demokratik (DNC) dan Kampanye Clinton dalam upaya untuk mempengaruhi pemilihan presiden A.S.. Kampanye yang baru ditemukan juga mengeksploitasi Windows SMB (CVE-2017-0143), yang disebut EternalBlue, yang merupakan salah satu dari banyak eksploitasi yang diduga digunakan oleh NSA yang dibocorkan oleh Shadow Brokers pada bulan April lalu.
EternalBlue adalah kerentanan keamanan yang memanfaatkan versi protokol jaringan Windows Server Message Block (SMB) versi 1 yang secara lateral menyebar di seluruh jaringan dan juga memungkinkan WannaCry dan Petya ransomware menyebar ke seluruh dunia dengan cepat. Karena kode EternalBlue tersedia bagi siapa saja untuk digunakan, penjahat cyber secara luas mencoba memanfaatkannya untuk membuat malware mereka lebih hebat. Beberapa waktu lalu, sebuah versi kredensial Trojan perbankan TrickBot ditemukan memanfaatkan SMB untuk menyebar secara lokal di seluruh jaringan, meskipun trojan tersebut tidak memanfaatkan EternalBlue pada saat itu.
"Untuk menyebar melalui jaringan perusahaan perhotelan, APT28 menggunakan versi eksploitasi SMM EternalBlue," tulis peneliti FireEye. "Ini adalah pertama kalinya kita melihat APT28 menggabungkan eksploitasi ini ke dalam intrusi mereka."
Serangan dimulai dengan email phishing yang dikirim ke salah satu karyawan hotel. Email berisi dokumen berbahaya bernama "Hotel_Reservation_Form.doc," yang menggunakan macro untuk memecahkan kode dan menyebarkan GameFish, malware yang diketahui digunakan oleh Fancy Bear. Setelah dipasang di jaringan hotel yang ditargetkan, GameFish menggunakan eksploitasi UKM EternalBlue untuk secara lateral menyebar di jaringan hotel dan menemukan sistem yang mengendalikan jaringan Wi-Fi internal.
Setelah terkendali, malware tersebut menyebarkan Responder, alat uji penetrasi open source yang dibuat oleh Laurent Gaffie dari SpiderLabs, untuk meracuni NetBIOS Name Service (NBT-NS) yang dikirim melalui jaringan nirkabel. Sementara kelompok hacking melakukan serangan terhadap jaringan hotel, periset percaya bahwa kelompok tersebut juga bisa secara langsung menargetkan "tamu hotel yang diminati" - umumnya pegawai bisnis dan pemerintah yang melakukan perjalanan di luar negeri.
Para periset tersebut mengungkapkan satu kejadian yang terjadi pada tahun 2016 dimana Fancy Bear mengakses akun komputer dan Outlook Web Access (OWA) dari seorang tamu yang menginap di sebuah hotel di Eropa, 12 jam setelah korban terhubung ke jaringan Wi-Fi hotel. Ini bukan satu-satunya serangan yang ditujukan untuk tamu hotel. South Korea-nexus Fallout Team (juga dikenal sebagai DarkHotel) sebelumnya telah melakukan serangan terhadap hotel Asia untuk mencuri informasi dari para eksekutif senior dari perusahaan global besar selama perjalanan bisnis mereka.
Duqu 2.0 malware juga menargetkan jaringan WiFi hotel Eropa yang digunakan oleh peserta dalam negosiasi nuklir Iran. Selain itu, orang-orang terkenal yang mengunjungi Rusia dan China mungkin memiliki laptop dan perangkat elektronik lainnya yang diakses. Cara termudah untuk melindungi diri adalah dengan menghindari koneksi ke jaringan Wi-Fi hotel atau jaringan publik atau jaringan lain yang tidak dipercaya, dan sebagai gantinya gunakan hotspot perangkat seluler Anda untuk mendapatkan akses ke Internet.
Fancy Bear - juga dikenal sebagai APT28, Sofacy, Sednit, Pawn Storm - telah beroperasi setidaknya mulai tahun 2007 dan juga dituduh melakukan hacking terhadap Komite Nasional Demokratik (DNC) dan Kampanye Clinton dalam upaya untuk mempengaruhi pemilihan presiden A.S.. Kampanye yang baru ditemukan juga mengeksploitasi Windows SMB (CVE-2017-0143), yang disebut EternalBlue, yang merupakan salah satu dari banyak eksploitasi yang diduga digunakan oleh NSA yang dibocorkan oleh Shadow Brokers pada bulan April lalu.
EternalBlue adalah kerentanan keamanan yang memanfaatkan versi protokol jaringan Windows Server Message Block (SMB) versi 1 yang secara lateral menyebar di seluruh jaringan dan juga memungkinkan WannaCry dan Petya ransomware menyebar ke seluruh dunia dengan cepat. Karena kode EternalBlue tersedia bagi siapa saja untuk digunakan, penjahat cyber secara luas mencoba memanfaatkannya untuk membuat malware mereka lebih hebat. Beberapa waktu lalu, sebuah versi kredensial Trojan perbankan TrickBot ditemukan memanfaatkan SMB untuk menyebar secara lokal di seluruh jaringan, meskipun trojan tersebut tidak memanfaatkan EternalBlue pada saat itu.
"Untuk menyebar melalui jaringan perusahaan perhotelan, APT28 menggunakan versi eksploitasi SMM EternalBlue," tulis peneliti FireEye. "Ini adalah pertama kalinya kita melihat APT28 menggabungkan eksploitasi ini ke dalam intrusi mereka."
Serangan dimulai dengan email phishing yang dikirim ke salah satu karyawan hotel. Email berisi dokumen berbahaya bernama "Hotel_Reservation_Form.doc," yang menggunakan macro untuk memecahkan kode dan menyebarkan GameFish, malware yang diketahui digunakan oleh Fancy Bear. Setelah dipasang di jaringan hotel yang ditargetkan, GameFish menggunakan eksploitasi UKM EternalBlue untuk secara lateral menyebar di jaringan hotel dan menemukan sistem yang mengendalikan jaringan Wi-Fi internal.
Setelah terkendali, malware tersebut menyebarkan Responder, alat uji penetrasi open source yang dibuat oleh Laurent Gaffie dari SpiderLabs, untuk meracuni NetBIOS Name Service (NBT-NS) yang dikirim melalui jaringan nirkabel. Sementara kelompok hacking melakukan serangan terhadap jaringan hotel, periset percaya bahwa kelompok tersebut juga bisa secara langsung menargetkan "tamu hotel yang diminati" - umumnya pegawai bisnis dan pemerintah yang melakukan perjalanan di luar negeri.
Para periset tersebut mengungkapkan satu kejadian yang terjadi pada tahun 2016 dimana Fancy Bear mengakses akun komputer dan Outlook Web Access (OWA) dari seorang tamu yang menginap di sebuah hotel di Eropa, 12 jam setelah korban terhubung ke jaringan Wi-Fi hotel. Ini bukan satu-satunya serangan yang ditujukan untuk tamu hotel. South Korea-nexus Fallout Team (juga dikenal sebagai DarkHotel) sebelumnya telah melakukan serangan terhadap hotel Asia untuk mencuri informasi dari para eksekutif senior dari perusahaan global besar selama perjalanan bisnis mereka.
Duqu 2.0 malware juga menargetkan jaringan WiFi hotel Eropa yang digunakan oleh peserta dalam negosiasi nuklir Iran. Selain itu, orang-orang terkenal yang mengunjungi Rusia dan China mungkin memiliki laptop dan perangkat elektronik lainnya yang diakses. Cara termudah untuk melindungi diri adalah dengan menghindari koneksi ke jaringan Wi-Fi hotel atau jaringan publik atau jaringan lain yang tidak dipercaya, dan sebagai gantinya gunakan hotspot perangkat seluler Anda untuk mendapatkan akses ke Internet.
0 comments:
Post a Comment