Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Microsoft dan Citizen Lab di Universitas Toronto menemukan aktivitas spionase yang dilakukan oleh sebuah perusahaan Israel.
Dirilis pada Kamis (15 Juli 2021), hasil temuan mereka menuding bahwa perusahaan perangkat lunak spionase, Candiru (aka “Sourgum”) membuat spyware bernama “DevilsTongue” yang menargetkan sistem operasi Windows.
Aplikasi mata-mata itu mengeksploitasi kerentanan pada Windows yang sekarang telah ditambal oleh Microsoft.
Menurut Citizen Lab, Candiru adalah perusahaan rahasia asal Israel yang menjual spyware secara eksklusif ke klien pemerintah. “Spyware mereka dapat menginfeksi dan memantau iPhone, Android, Mac, komputer, dan akun cloud,” tutur Ciziten Lab dikutip dari BleepingComputer, diakses Jumat (16 Jumat 2021).
Sementara, menurut Microsoft, “Sourgum” secara umum menjual senjata siber yang memungkinkan pelanggan, seringkali lembaga pemerintah di seluruh dunia, “Untuk meretas komputer, telepon, jaringan infrastruktur, dan perangkat terkoneksi internet yang menjadi target,” ujar Microsoft.
Badan-badan pemerintah yang membeli itu, selanjutnya memilih siapa yang akan ditargetkan dan menjalankan operasi mereka sebenarnya.
Citizen Lab mulai menyelidiki Candiru setelah mendapati sampel malware yang ditemukan di sistem korban. Temuan mengarahkan bahwa malware menargetkan dua kerentanan Windows (berlabel CVE-2021-31979 dan CVE-2021-33771) yang sebetulnya telah ditambal oleh Microsoft pada pembaruan selama Juli ini.
Temuan Microsoft ada sebanyak 100 korban dari spyware itu tersebar di Palestina, Israel, Iran, Lebanon, Yaman, Spanyol, Inggris, Turki, Armenia, dan Singapura. Para korban yang ditargetkan antara lain politisi, aktivis HAM, jurnalis, akademisi, pekerja kedutaan besar, dan oposisi poltik.
Sementara, Citizen Lab juga menemukan banyak dari domain yang ditemukan sengaja dirancang untuk meniru domain yang mewakili perusahaan media dan organisasi advokasi, termasuk Amnesty International dan gerakan Black Lives Matter.
“Kami mengidentifikasi setidaknya 764 nama domain yang kami nilai dengan keyakinan level ‘sedang-tinggi’ digunakan oleh Candiru dan pelanggannya. Pemeriksaan nama domain menunjukkan kecenderungan minat pada target di Asia, Eropa, Timur Tengah, dan Amerika Utara,” tutur Citizen Lab dikutip dari situs webnya.
Analis Citizen Lab juga menemukan spyware Candiru dioperasikan dari Arab Saudi, Israel, UEA, Hungaria, dan Indonesia. Di Indonesia, spyware dipakai untuk menargetkan media daring Indoprogress.com yang berhaluan kiri.
Namun, jika melihat domain penargetan tampaknya cukup spesifik untuk level negara (lihat di tangkapan layar di bawah ini), “Kami percaya domain ini menunjukkan kemungkinan negara target dan belum tentu negara itu sebagai operator sendiri,” ujar Citizen Lab.
Foto-foto: Citizen Lab
Citizen Lab mengatakan, adanya spyware Candiru yang tersebar luas, dan penggunaan teknologi pengawasannya terhadap masyarakat sipil global, merupakan pengingat kuat bahwa industri spyware tentara bayaran memiliki banyak pemain dan rentan terhadap penyalahgunaan yang meluas.
“Kasus ini menunjukkan, sekali lagi, bahwa dengan tidak adanya perlindungan internasional atau kontrol ekspor pemerintah yang kuat, vendor spyware akan menjual kepada klien pemerintah yang secara rutin akan menyalahgunakan layanan mereka.”
Dengan tidak adanya pembatasan hukum yang kuat, menurut Citizen Lab, klien pemerintah bisa menyalahgunakan layanan spyware untuk melacak jurnalis, oposisi politik, pembela HAM, dan anggota masyarakat sipil global lainnya.
Bagaimana serangan dimulai?
Mula-mula, penyerang mengirimkan malware “DevilsTongue ke komputer calon korban menggunakan rantai eksploitasi yang menargetkan kerentanan Windows di beberapa browser populer.
Malware itu memungkinkan peretas mengumpulkan dan mencuri data milik korban, mendekripsi dan mencuri pesan daring dari aplikasi Signal di Windows, serta mencuri cookies dan kata sandi yang disimpan di LSASS dan Chrome, Internet Explorer, Firefox, Safari, dan Opera.
Cookies tersebut termasuk terkait situs web Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki, dan Vkontakte. Peretas mencoba mengumpulkan informasi pribadi, membaca pesan korban, dan mengekstrak foto.
Menurut temuan Microsoft, malware tersebut juga “dapat mengirim pesan sebagai korban di beberapa situs web tersebut, muncul ke penerima manapun bahwa korban telah mengirim pesan.”
"Kemampuan untuk mengirim pesan dapat ‘dipersenjatai’ untuk mengirim tautan jahat ke lebih banyak korban,” ujar Microsoft.
Dari situlah, memungkinkan peretas menggunakan spyware Candiru untuk mengirim tautan atau pesan berbahaya dari perangkat korbannya, sehingga hampir mustahil untuk membuktikan siapa yang mengirimkan pesan tersebut.
"Serangan sebagian besar menargetkan akun konsumen, menunjukkan pelanggan Sourgum mengejar individu tertentu," kata Cristin Goodwin, General Manager di Unit Keamanan Digital Microsoft.
"Perlindungan yang kami keluarkan minggu ini akan mencegah alat Sourgum bekerja pada komputer yang sudah terinfeksi dan mencegah infeksi baru pada komputer yang diperbarui dan yang menjalankan Microsoft Defender Antivirus serta yang menggunakan Microsoft Defender untuk Endpoint,” ia menambahkan.
Harga spyware?
Sementara, Citizen Lab mengatakan, sebuah proposal proyek Candiru yang bocor dan diterbitkan oleh TheMarker menunjukkan bahwa spyware mereka dapat diinstal menggunakan sejumlah vektor yang berbeda, termasuk tautan berbahaya, serangan man-in-the-middle (MiTM), dan serangan fisik.
Vektor bernama "Sherlock" juga ditawarkan, yang mereka klaim berfungsi di Windows, iOS, dan Android. “Ini mungkin vektor tanpa klik berbasis browser,” tutur Citizen Lab.
Menurut Citizen, cara bisnis Candiru tak beda dengan perusahaan spyware Israel lain, NSO Group, yang terkenal dengan senjata “Pegasus”. Candiru tampaknya membatasi pelanggan ke sejumlah negara yang disetujui.
Daftar harga spyware.
Dalam proposal yang bocor itu, menurut Citizen Lab, hanya dengan senilai lebih dari €16,85 juta (sekitar Rp288,54 miliar) memungkinkan upaya infeksi spyware dalam jumlah tak terbatas, tapi hanya memantau 10 perangkat secara bersamaan.
Jika tambahan €1,5 juta, pelanggan dapat membeli kemampuan untuk mengawasi 15 perangkat tambahan secara bersamaan dan untuk menginfeksi perangkat di satu negara tambahan. Lalu, jika ditambah sebesar €5,5 juta, pelanggan dapat memantau 25 perangkat tambahan secara bersamaan, dan melakukan spionase di lima negara lagi.
Sementara, untuk biaya tambahan €1,5 juta, pelanggan juga dapat membeli kemampuan remote shell, yang memungkinkan akses penuh dan menjalankan perintah atau program apa pun di komputer korban. “Kemampuan semacam ini sangat mengkhawatirkan, mengingat kemampuan ini juga dapat digunakan untuk mengunduh file, seperti menanam materi yang memberatkan, ke perangkat yang terinfeksi,” tutur Citizen Lab.[]
Share:
