Cyberthreat.id - Rusia menuduh Apple membuka backdoor kepada NSA untuk menginfeksi iPhone di Rusia dengan spyware. Tudingan tersebut menyusul pernyataan perusahaan cybersecurity Rusia, Kaspersky, yang mengatakan beberapa iPhone di jaringannya diretas menggunakan kerentanan iOS yang menginstal malware melalui eksploitasi zero-click iMessage.

Pengiriman pesan mengeksploitasi kerentanan yang mengarah ke eksekusi kode tanpa memerlukan interaksi pengguna apa pun, yang mengarah ke pengunduhan malware tambahan dari server penyerang.

Demikian dilaporkan BleepingComputer. Selanjutnya, disebutkan bahwa pesan dan lampiran dihapus dari perangkat. Pada saat yang sama, payload tetap tertinggal, berjalan dengan hak akses root untuk mengumpulkan informasi sistem dan pengguna serta menjalankan perintah yang dikirim oleh penyerang.

Kaspersky mengatakan kampanye dimulai pada 2019 dan melaporkan serangan masih berlangsung. Perusahaan keamanan siber menamai kampanye tersebut "Operasi Triangulasi" dan mengundang siapa saja yang mengetahui lebih banyak tentangnya untuk berbagi informasi.

Analisis malware

Karena tidak mungkin menganalisis iOS dari perangkat, Kaspersky menggunakan Perangkat Verifikasi Seluler untuk membuat cadangan sistem file dari iPhone yang terinfeksi untuk memulihkan informasi tentang proses serangan dan fungsi malware.

Sementara malware mencoba untuk menghapus jejak serangan dari perangkat, itu masih meninggalkan tanda-tanda infeksi, seperti modifikasi file sistem yang mencegah penginstalan pembaruan iOS, penggunaan data yang tidak normal, dan injeksi perpustakaan yang sudah tidak digunakan lagi.

Analisis mengungkapkan bahwa tanda-tanda pertama infeksi terjadi pada tahun 2019, dan versi iOS terbaru yang terinfeksi oleh kumpulan alat berbahaya adalah 15.7. Perhatikan bahwa rilis iOS utama terbaru adalah 16.5, yang mungkin telah memperbaiki kerentanan yang digunakan dalam serangan malware ini.

Eksploitasi yang dikirim melalui iMessage memicu kerentanan yang tidak diketahui di iOS untuk melakukan eksekusi kode, mengambil tahapan selanjutnya dari server penyerang, termasuk eksploitasi eskalasi hak istimewa.

Firma keamanan telah menyediakan daftar 15 domain yang terkait dengan aktivitas jahat ini, yang dapat digunakan oleh admin keamanan untuk memeriksa log DNS historis untuk kemungkinan tanda-tanda eksploitasi pada perangkat mereka.

Setelah peningkatan hak akses root, malware mengunduh perangkat berfitur lengkap yang mengeksekusi perintah untuk mengumpulkan informasi sistem dan pengguna dan mengunduh modul tambahan dari C2.

Kaspersky mencatat bahwa perangkat APT yang dipasang di perangkat tidak memiliki mekanisme kegigihan, jadi reboot akan menghentikannya secara efektif.

Saat ini, hanya sedikit detail tentang fungsi malware yang dipublikasikan, karena analisis muatan akhir masih berlangsung.

Rusia menuduh NSA melakukan serangan

Dalam sebuah pernyataan yang bertepatan dengan laporan Kaspersky, badan intelijen dan keamanan FSB Rusia mengklaim bahwa Apple sengaja memberi NSA pintu belakang yang dapat digunakannya untuk menginfeksi iPhone di negara tersebut dengan spyware.

FSB menyebutkan bahwa mereka telah menemukan infeksi malware pada ribuan Apple iPhone milik pejabat dalam pemerintahan Rusia dan staf dari kedutaan besar Israel, China, dan beberapa negara anggota NATO di Rusia.

Terlepas dari keseriusan tuduhan tersebut, FSB tidak memberikan bukti atas klaimnya.

Negara Rusia sebelumnya telah merekomendasikan agar semua pegawai dan anggota administrasi kepresidenan beralih dari menggunakan iPhone Apple dan, jika memungkinkan, sepenuhnya meninggalkan teknologi buatan Amerika.

Kaspersky mengonfirmasi kepada BleepingComputer bahwa serangan tersebut berdampak pada kantor pusatnya di Moskow dan karyawan di negara lain. Namun, perusahaan tersebut menyatakan tidak dalam posisi untuk memverifikasi hubungan antara temuannya dan laporan FSB, karena mereka tidak memiliki rincian teknis penyelidikan pemerintah.

Namun, CERT Rusia merilis peringatan yang menghubungkan pernyataan FSB dengan laporan Kaspersky.

BleepingComputer telah menghubungi Apple untuk meminta komentar atas temuan Kaspersky dan tuduhan FSB, tetapi kami masih menunggu tanggapan.[]