Yang Baik | Mata-mata China Dijatuhi Hukuman Penjara 4 Tahun
Ini adalah kabar penting untuk keamanan nasional. Vonis terhadap Ping Li menyoroti kekhawatiran yang terus ada terkait spionase dan ancaman siber terhadap kepentingan AS, terutama ketika aktor asing seperti Kementerian Keamanan Negara China (MSS) terlibat. Tindakan Li, yang melibatkan pembocoran informasi sensitif tentang keamanan siber, serangan siber SolarWinds, dan kelompok dissiden China, menunjukkan masalah yang lebih luas tentang spionase di sektor teknologi dan dampaknya terhadap keamanan perusahaan serta hubungan internasional. Durasi panjang kegiatan spionase yang dilakukan Li, yang diperkirakan dimulai sejak 2012, mempertegas risiko yang terus ada dari dalam perusahaan besar yang dapat dimanfaatkan oleh pemerintah asing untuk keuntungan strategis.
Denda yang dijatuhkan, bersama dengan hukuman penjara, juga mengirimkan pesan kuat tentang konsekuensi yang dihadapi oleh siapa saja yang terlibat dalam spionase terhadap Amerika Serikat. Ini adalah pengingat penting bahwa keamanan nasional tidak hanya dijaga melalui tindakan eksternal, tetapi juga dengan memeriksa ancaman yang berasal dari dalam negeri.
Act as Agent of Chinese Government : https://justice.gov/opa/pr/florida-telecommunications-and-information-technology-worker-sentenced-conspiring-act-agent
Kasus yang diajukan oleh Departemen Kehakiman (DoJ) ini merupakan bagian dari upaya yang lebih luas dari Amerika Serikat untuk melawan spionase China. Baru-baru ini, Shujun Wang, agen rahasia China lainnya, dijatuhi hukuman karena menyusup ke sebuah kelompok pro-demokrasi yang berbasis di New York sementara diam-diam melaporkan kepada Kementerian Keamanan Negara China (MSS).
Menurut sebuah laporan, spionase China telah dikaitkan dengan lebih dari 55 kasus di 20 negara bagian AS, yang melibatkan rahasia militer, pencurian perdagangan, dan penindasan terhadap dissiden. Antara tahun 2000 dan 2023, tercatat 224 insiden spionase China, termasuk pencurian informasi militer yang sensitif, rahasia dagang, serta penindasan terhadap dissiden China.
Yang Buruk | Kampanye Phishing Cloud Menargetkan Kredensial OneDrive
Operasi canggih yang dirancang untuk mencuri kredensial OneDrive dirinci oleh para peneliti minggu ini, yang menyoroti meningkatnya minat para penjahat siber untuk menyerang sumber daya cloud perusahaan. Dikenal dengan nama “Beluga,” kampanye phishing ini menggunakan lampiran email yang disesuaikan dan halaman login palsu OneDrive yang sudah terisi dengan alamat email target dan logo perusahaan.
Para peneliti mengatakan bahwa ketika penerima membuka file .htm yang terlampir, mereka akan disajikan dengan halaman yang meminta mereka untuk melihat PDF palsu berjudul “Protected Document 043.pdf.” Mengklik tombol bertuliskan “VIEW DOCUMENT” akan mengarah ke formulir login palsu. Kolom email sudah terisi otomatis dan tidak dapat diedit, sementara kolom kata sandi selalu menampilkan pesan kesalahan terlepas dari apa yang dimasukkan, sebuah trik yang sering digunakan oleh penipu untuk membuat korban memasukkan kata sandi berulang kali.
Di balik layar, kredensial yang dimasukkan dikirim melalui HTTPS ke bot Telegram, yang juga menerima alamat email dan alamat IP korban. Bot Telegram semakin sering digunakan oleh penjahat siber untuk mengumpulkan kredensial dan mengelola kampanye karena kemudahan penggunaannya dan kemampuan otomatisasinya.
Akun OneDrive yang terkompromi menimbulkan risiko signifikan bagi organisasi karena biasanya digunakan untuk menyimpan informasi sensitif. Karena kemampuan mereka untuk menyinkronkan file dengan perangkat lokal, serta melakukan operasi seperti penghapusan dan enkripsi file, akun tersebut juga dapat menjadi vektor bagi serangan ransomware berbasis cloud.
Yang Buruk | APT Rusia Mengeksploitasi Zero-Day di Firefox dan Windows
Peneliti menjelaskan minggu ini bagaimana grup aktor ancaman yang terkait dengan Rusia, yang dikenal luas sebagai RomCom (juga dikenal sebagai Storm-0978, Tropical Scorpius, UNC2596), telah mengeksploitasi kerentanannya di produk Mozilla, termasuk browser Firefox yang populer, untuk menginfeksi pengguna Windows dengan malware. Rantai eksploitasi ini mencakup pemanfaatan bug eskalasi hak istimewa di sistem operasi Microsoft. Bug-bug tersebut, yang kini sudah diperbaiki, tidak diketahui oleh kedua vendor pada saat eksploitasi pertama kali dilakukan.
CVE-2024-9680 adalah kerentanannya yang kritis di Firefox, Thunderbird, dan Tor browser yang memungkinkan eksekusi kode di dalam browser saat pengguna mengunjungi situs web berbahaya. CVE‑2024‑49039 adalah bug di Windows 10, 11, dan versi Server yang memungkinkan kode tersebut melarikan diri dari sandbox browser.
Menurut peneliti dari ESET, APT yang terkait dengan Rusia ini menggabungkan dua kerentanannya untuk menginfeksi pengunjung situs web yang dikendalikan oleh aktor dengan pintu belakang RomCom. Korban hanya perlu mengunjungi halaman web berbahaya untuk terinfeksi, tanpa memerlukan interaksi lebih lanjut dari pengguna.
Meskipun tidak jelas bagaimana tautan ke situs web berbahaya tersebut disebarkan ke target, diperkirakan kampanye ini cukup luas dan melibatkan server palsu dari situs web sah yang mengarahkan pengguna untuk menyebarkan eksploitasi tersebut. Peneliti menyebutkan bahwa target utama kampanye ini sebagian besar berada di Eropa dan Amerika Utara.
Kerentanan tersebut telah diperbaiki oleh Mozilla dan Microsoft pada tanggal 9 Oktober dan 12 November, masing-masing, dan pengguna sangat disarankan untuk memperbarui kedua produk tersebut tanpa penundaan.
