Peneliti keamanan dari Citizen Lab telah menemukan bukti bahwa spyware komersial digunakan untuk meretas ke ponsel politisi Catalan, pengacara, dan keluarga mereka.
Citizen Lab, bekerja sama dengan kelompok masyarakat sipil Catalan, telah mengidentifikasi setidaknya 65 orang yang ditargetkan atau terinfeksi dengan salah satu perusahaan Israel NSO Group`s Pegasus, aplikasi pengawasan komersial lain yang disebut Candiru, atau keduanya.
Korban termasuk anggota Parlemen Eropa, politisi regional, dan anggota organisasi masyarakat sipil. Dalam beberapa kasus, anggota keluarga juga terpengaruh.
Beberapa contoh infeksi Pegasus muncul dari penyebaran kerentanan zero-klik iOS yang sebelumnya tidak diungkapkan, menurut Citizen Lab, yang memeriksa ulang metodologi forensiknya dengan Lab Teknologi Amnesty International.
“Kami melihat bukti bahwa beberapa eksploitasi iMessage tanpa klik digunakan untuk meretas iPhone target Catalan dengan Pegasus antara 2017 dan 2020,” peneliti keamanan di Citizen Lab report.
Upaya dilakukan untuk mengeksploitasi Homage (dianggap telah diperbaiki oleh iOS 13.2) dan kemudian Kismet iMessage zero-click exploit, zero-day di musim panas 2020 melawan iOS 13.5.1 dan iOS 13.7.
“Meskipun exploit tidak pernah ditangkap dan didokumentasikan, itu tampaknya diperbaiki oleh perubahan yang diperkenalkan ke iOS14, termasuk BlastDoor framework,” menurut Citizen Lab.
Citizen Lab sebelumnya mengkonfirmasi bahwa beberapa Catalan termasuk di antara mereka yang ditargetkan dengan Pegasus melalui serangan WhatsApp 2019, yang mengandalkan kerentanan (sekarang ditambal) CVE-2019-3568.
Spear phishing
Percobaan peretasan ponsel di Catalonia dilakukan menggunakan pesan phishing yang ditargetkan yang menyamar sebagai pesan dari pemerintah Spanyol, perusahaan parsel, dan terkadang LSM atau penyedia teknologi pemungutan suara.
Pesan dikirim sekitar waktu pemungutan suara kemerdekaan Catalan yang sangat kontroversial tahun 2017 hingga 2020.
Banyak korban menjadi sasaran menggunakan pesan SMS berbahaya, sementara komputer Windows juga menjadi sasaran menggunakan spyware Candiru.
“Microsoft juga menemukan dua kerentanan zero-day (CVE-2021-33771, CVE-2021-33771) yang digunakan oleh Candiru untuk menginfeksi sistem Windows, dan menambalnya pada Juli 2021,” menurut Citizen Lab.
Trail of Destruction
Hanya empat orang yang ditargetkan dengan Candiru, yang mengarah ke satu infeksi yang dikonfirmasi. Pegasus adalah ancaman yang jauh lebih produktif, menginfeksi setidaknya dua dari target Candiru.
Jumlah total target Pegasus adalah 63. Sebanyak 51 berhasil terinfeksi, banyak yang menderita infeksi beberapa kali. Pekerjaan forensik Citizen Labs berfokus pada perangkat iOS, jauh lebih tidak disukai daripada yang setara dengan Android di Spanyol.
“Karena alat forensik kami untuk mendeteksi Pegasus jauh lebih berkembang untuk perangkat iOS, kami yakin bahwa laporan ini sangat meremehkan jumlah individu yang kemungkinan ditargetkan dan terinfeksi Pegasus karena mereka memiliki perangkat Android,” Citizen Lab menyimpulkan.
The Daily Swig meminta Citizen Lab untuk menawarkan perkiraan jumlah individu yang berpotensi menjadi target dalam kampanye, di antara pertanyaan lainnya. Belum ada kabar, tetapi kami akan memperbarui cerita ini ketika dan ketika lebih banyak informasi tersedia.
Meskipun tidak ada senjata api, kecurigaan kuat dari peneliti Citizen Lab adalah bahwa serangan itu diatur oleh negara Spanyol sebagai bagian dari kampanye rahasia melawan separatists.
“The Citizen Lab tidak secara meyakinkan menghubungkan operasi dengan entitas tertentu, tetapi bukti kuat menunjukkan hubungan dengan otoritas Spanyol,” para peneliti menyimpulkan.
Kuda Trojan terbang ke luar negeri
Pegasus dijual kepada pemerintah dan dipasarkan sebagai alat pengawasan yang sah untuk dikerahkan hanya dalam penyelidikan terorisme atau kejahatan terorganisir. Citizen Lab menuduh bahwa teknologi tersebut tidak jarang disalahgunakan untuk memata-matai politisi oposisi, aktivis, dan jurnalis.
Citizen Lab mengungkap serangan terhadap aktivis hak asasi manusia yang berbasis di UEA Ahmed Mansoor menggunakan Pegasus yang memanfaatkan tiga eksploitasi iPhone zero-day pada tahun 2016. Keamanan sleuths di la la great institusi Kanada telah secara aktif melacak teknologi sejak itu.
Spyware dirancang untuk merekam panggilan, pesan teks, kata sandi, atau lokasi perangkat yang dibuat setelah secara diam-diam menanam pintu belakang pada perangkat yang disusupi. Alat pengawasan itu terkenal digunakan oleh Arab Saudi untuk memata-matai jurnalis pembangkang Jamal Khashoggi sebelum pembunuhannya Oktober 2018 di dalam konsulat Saudi di Istanbul.
Teknologi ini digunakan di seluruh dunia, paling sering di Timur Tengah dan Afrika, tetapi bukti Pegasus penggunaan telah dilacak kembali ke target di Meksiko, Polandia, serta pejabat senior Komisi Eropa.
Korban yang dikonfirmasi David Bonvehí, seorang pengacara dan anggota parlemen Catalan, mengatakan dalam bahasa Inggris di Twitter: “Saya adalah salah satu dari 65 politisi pro-kemerdekaan , pengacara, dan jurnalis memata-matai #Pegasus, spyware yang hanya dapat diperoleh oleh negara bagian. #CatalanGate adalah kasus spionase politik teknologi terbesar yang pernah ditemukan.”
Referensi PortSwigger.com