Pegasus Spyware Manfaatkan Bug zero-day iMessage iPhone Untuk Sadap Perangkat Milik Jurnalis Al Jazeerah

Pegasus-Spyware-AlJazeerah-NSO-Group
Photo: Illustration (Freevectors)

Serangan siber kembali menargetkan jurnalistik Al Jazeerah Media Network, kali ini menggunakan alat sadap paling berbahaya yang dinamakan sebagai Pegasus. Tools ini diklaim dapat menyadap komunikasi dari seseorang melalui WhatsApp ataupun iMessage milik iPhone. Namun, peneliti keamanan menjabarkan bahwa awal serangan ini dimulai dari zero-click aplikasi iMessage untuk iPhone.

Peneliti keamanan Citizen Lab menemukan indikasi adanya serangan siber yang berasal dari perusahaan NSO Group. Menurut sumber data Business-Humanrights, perusahaan NSO ini berasal dari negara Israel yang dikenal sering meluncurkan serangan-serangan siber spyware ke negara tertentu.

Setidaknya 36 orang termasuk jurnalis, produser, eksekutif dari Al Jazeerah dan jurnalis Al Araby TV juga mengalami peretasan melalui ponsel pribadinya. Setelah mendapatkan ancaman dari peretasan, mereka langsung melaporkan kepada Citizen Lab untuk di identifikasi lebih lanjut terkait spyware ini.

Background NSO Group Pegasus Spyware

Awal mula serangan Pegasus Spyware pertama kali diketahui menyerang jurnalis Ahmed Mansoor sebagai pembela hak aksasi manusia yang sudah diakui dunia internasional yang bermarkas di Uni Emirat Arab. Kejadian ini tercatat pada 11 Agustus 2016, Mansoor menerima notifikasi SMS di iPhone yang berisikan "rahasia baru" tentang para tahanan yang disiksa dan dipenjara di UEA, hanya jika ia mengklik tautan tersebut. Namun, Mansoor melakukan konfirmasi terlebih dahulu dengan mengirimkan tautan itu kepada peneliti keamanan Citizen Lab dan pihaknya mengetahui bahwa ini adalah eksploitasi yang dilakukan oleh NSO Group. Informasi yang di dapat bahwa NSO Group adalah milik firma modal ventura Amerika yang dikenal sebagai Fransisco Partners Managements.

Penelusuran berlanjut, Citizen Lab dan Lookout Security melakukan kolaborasi untuk melakukan penyelidikan mengenai tautan berbahaya yang dikirim kepada Ahmed Mansoor dan hasil identifikasi yang diperoleh bahwa rangkaian ini mengarah eksploitasi zero-day yang akan melakukan jailbreak pada perangkat seluler iPhone 6 dan mencoba memasang spyware untuk menyadap ponselnya.

Berikut daftar bug iPhone yang pernah digunakan oleh NSO Group:
  • CVE-2016-4657
  • CVE-2016-4655
  • CVE-2016-4656

Jenis Infeksi Pegasus Spyware

Menurut dokumentasi yang dimiliki NSO Group, perusahaan keamanan ini menawarkan dua jasa instalasi spyware jarak jauh, termasuk zero-click dan one-click. Vektor one-click tahapan pertama mengirimkan tautan situs berbahaya yang sudah diisi exploit berdasarkan web browser yang digunakan korban sedangkan zero-click menanamkan spyware melalui tiga kerentanan yang sudah disebutkan diatas.

Pengumpulan Data NSO Group

Dari dokumentasi yang dimiliki oleh NSO Group, ia membeberkan bahwa spyware yang sudah ditanam di perangkat korban menggunakan ketiga exploit tersebut maka Pegasus Spyware ini dapat terus aktif secara pasif untuk mengumpulkan informasi tentang perangkat. Jika korban memberikan izin akses penuh kepada spyware maka peretas akan mendapati full akses ke perangkat untuk merekam pesan, mikrofon dan kamera video.

Dalam exploitasi spyware yang menargetkan Mansoor, peretas Pegasus NSO Group diketahui mengumpulkan informasi rahasia pribadi seseorang, diantaranya yaitu:
  • Panggilan telepon, WhatsApp dan Viber
  • Membaca pesan SMS serta aplikasi populer lain, seperti Gmail, WhatsApp, Skype, Facebook, KakaoTalk, Telegram dan sejenisnya.
  • Melihat data kalender, daftar kontak, kata sandi akun, dan kata sandi Wi-Fi.

Dampak Pegasus Spyware

Trident (Exploit) akan menjalankan payload secara lokal di perangkat pada setiap boot dimulai dengan menggunakan binary JavaScriptCore. Payload berbahaya yang digunakan oleh Pegasus akan mematikan pembaruan otomatis dari Apple sekaligus mendeteksi dan menghapus jailbreak di perangkat secara otomatis.

Serangan ini juga digabungkan dengan salinan framework pihak ketiga yang disebut sebagai Cydia Substrate yang tugasnya membantu merekam aplikasi perpesanan dan panggilan telepon dari aplikasi yang dimiliki korban. Hampir semua aplikasi chatting populer bisa disadap dengan exploit Pegasus, termasuk iMessage, WhatsApp, Viber, Line, WeChat, Surespot, Tango dan VK.

Jika kamu ingin membaca teknikal analisis yang dibuat oleh Lookout Security silahkan membaca artikel di tautan berikut: Technical Analysis Pegasus Spyware.

Skenario Serangan Pegasus Spyware July 2020

Bagian ini akan menjelaskan secara singkat mengenai skenario serangan Pegasus terhadap Tamer Almisshal yang mana ia adalah termasuk dari 36 jurnalis dan editor dari Al Jazeerah.

Tamer Almisshal adalah salah satu reporter yang bekerja di Al Jazeerah. Ia bertugas untuk melaporkan informasi terkini dengan berbagai topik pembahasan yang sensitif khususnya tentang pemerintahan UEA dan Bahrain. Dengan tema topik yang ditengarai sangan sensitif, Almisshal menggunakan aplikasi VPN untuk mencegah ponselnya diretas. Selain itu, penggunaan VPN yang dilakukan Almisshal dipergunakan untuk memantau metadata lalu lintas internet dan ini adalah saran dari Citizen Lab Researcher.

Pemasangan aplikasi VPN di ponsel Almisshal dilakukan pada Januari 2020, beberapa bulan kemudian tepatnya pada tanggal 19 Juli 2020 terlihat log VPN yang digunakan Almisshal mengunjungi situs berbahaya yang ditengarai sebagai lokasi server untuk instalasi spyware serta dugaan kuat berasal dari NSO Group.

Time: 19 July 2020, 11:29 – 11:31 UTC
Domain: 9jp1dx8odjw1kbkt.f15fwd322.regularhours.net
IP: 178.128.163.233
Downloaded: 1.74MB
Uploaded: 211KB

Dalam kurun waktu 54 menit perangkat seluler Almisshal mengunjungi 228 partisi cloud namun dengan aktivitas yang tidak biasa dan ternyata koneksi cloud tersebut mengunduh file berukuran 2,06 MB dan mengunggah file berukuran 1,25 MB. Citizen Lab menyimpulkan bahwa lokasi server yang diketahui di identifikasi berada di Italia, Inggris, Jerman, Prancis dengan menggunakan layanan cloud, seperti DigitalOcean, Aruba, Choopa dan CloudSigma.

Photo: Exfiltration Data Pegasus (Citizen Lab)

Exploitasi ini dikirimkan melalui server Apple yang sah sekaligus vektor awal yang menjadi serangan Pegasus. Jadi, NSO Group hanya mengirimkan tautan berbahaya dengan kemampuan tanpa klik, artinya peretas sama sekali tidak akan berinteraksi dengan korban.

Berselang 16 detik setelah koneksi terakhir yang dibuat ke server instalasi Pegasus, eksfiltrasi data dimulai dengan mengirimkan unggahan dengan total 270,16 MB dan unduhan sebesar 15,15 MB. Komunikasi antara iPhone Almisshal dan koneksi server Pegasus terekam selama 16 jam lamanya.

Kesimpulan

Selama periode Januari hingga July 2020 setidaknya 36 jurnalis diserang menggunakan Pegasus yang tujuannya untuk memata-matai. Sementara itu, kasus terbaru yang ditemukan peneliti keamanan Citizen Lab juga berhasil ditemukan pada Agustus 2020 lalu.

Serangan siber yang menimpa media berita lokal Al Jazeerah merupakan teknik spionase yang canggih dan sulit di deteksi selain dari peneliti keamanan itu sendiri. Citizen Lab mengaku telah mengidentifikasi pelaku dari negara lain yang diduga berasal dari China, Ethiopia, Meksiko, Rusia, UEA dan Saudi Arabia. Serangan beruntun ini dilakukan untuk mengontrol pemberitaan media terhadap pemerintahan dan dalam beberapa kasus pelaku mengancam dengan kekerasan fisik.

Tidak banyak yang akan dilakukan setelah terkena serangan Pegasus spyware, jalan satu-satunya adalah melakukan pembaruan sistem operasi yang digunakan dalam hal ini adalah perangkat iPhone yang menjalankan iOS. Silahkan cek apakah ponsel yang kamu miliki sudah mendapati notifikasi pembaruan dengan cara Settings > General > About > Version. Jangan lupa untuk selalu berhati-hati jika terdapat pesan berjeniskan tautan teks yang tidak dikenali.