Perusahaan Israel Membantu Pemerintah Menargetkan Jurnalis, Aktivis dengan 0-Days dan Spyware

  • Whatsapp
Spyware Israel

Dua dari kelemahan Windows zero-day yang ditambal oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday awal pekan ini dipersenjatai oleh perusahaan yang berbasis di Israel bernama Candiru dalam serangkaian “serangan presisi” untuk meretas lebih dari 100 jurnalis, akademisi, aktivis, dan pembangkang politik secara global.

Vendor spyware juga secara resmi diidentifikasi sebagai perusahaan pengawasan komersial yang diungkapkan oleh Google’s Threat Analysis Group (TAG) sebagai mengeksploitasi beberapa kerentanan zero-day di browser Chrome untuk menargetkan korban yang berlokasi di Armenia, menurut laporan yang diterbitkan oleh Citizen Lab Universitas Toronto. .

Bacaan Lainnya

CandiruKehadirannya yang tersebar luas, dan penggunaan teknologi pengawasannya terhadap masyarakat sipil global, adalah pengingat kuat bahwa industri spyware bayaran memiliki banyak pemain dan rentan terhadap penyalahgunaan yang meluas,” peneliti Citizen Lab berkata. “Kasus ini menunjukkan, sekali lagi, bahwa dengan tidak adanya perlindungan internasional atau kontrol ekspor pemerintah yang kuat, vendor spyware akan menjual kepada klien pemerintah yang secara rutin akan menyalahgunakan layanan mereka.”

Tim Stack Overflow

Didirikan pada tahun 2014, aktor ofensif sektor swasta (PSOA) — dengan nama kode “Sourgum” oleh Microsoft — dikatakan sebagai pengembang perangkat spionase yang dijuluki DevilsTongue yang secara eksklusif dijual kepada pemerintah dan mampu menginfeksi dan memantau berbagai perangkat di berbagai platform, termasuk iPhone, Android, Mac, PC, dan akun cloud.

Citizen Lab mengatakan dapat memulihkan salinan spyware Windows Candiru setelah mendapatkan hard drive dari “korban yang aktif secara politik di Eropa Barat,” yang kemudian direkayasa ulang untuk mengidentifikasi dua eksploitasi zero-day Windows yang belum pernah dilihat sebelumnya untuk kerentanan dilacak sebagai CVE-2021-31979 dan CVE-2021-33771 yang dimanfaatkan untuk menginstal malware pada kotak korban.

Rantai infeksi bergantung pada campuran eksploitasi browser dan Windows, dengan yang pertama disajikan melalui URL sekali pakai yang dikirim ke target pada aplikasi perpesanan seperti WhatsApp. Microsoft mengatasi kedua kelemahan eskalasi hak istimewa, yang memungkinkan musuh untuk keluar dari kotak pasir browser dan mendapatkan eksekusi kode kernel, pada 13 Juli.

Intrusi memuncak dalam penyebaran DevilsTongue, backdoor berbasis C/C++ modular yang dilengkapi dengan sejumlah kemampuan, termasuk exfiltrating file, mengekspor pesan yang disimpan dalam aplikasi pesan terenkripsi Signal, dan mencuri cookie dan kata sandi dari Chrome, Internet Explorer, Firefox , Safari, dan browser Opera.

Analisis Microsoft terhadap senjata digital juga menemukan bahwa itu dapat menyalahgunakan cookie yang dicuri dari email yang masuk dan akun media sosial seperti Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki, dan Vkontakte untuk mengumpulkan informasi, membaca pesan korban, mengambil foto, dan bahkan mengirim pesan atas nama mereka, sehingga memungkinkan pelaku ancaman untuk mengirim tautan berbahaya langsung dari komputer pengguna yang disusupi.

Secara terpisah, laporan Citizen Lab juga mengaitkan dua kerentanan Google Chrome yang diungkapkan oleh raksasa pencarian pada hari Rabu – CVE-2021-21166 dan CVE-2021-30551 – dengan perusahaan Tel Aviv, mencatat tumpang tindih di situs web yang digunakan untuk mendistribusikan eksploitasi.

Manajemen Kata Sandi Perusahaan

Selanjutnya, 764 domain yang terkait dengan infrastruktur spyware Candiru ditemukan, dengan banyak domain yang menyamar sebagai organisasi advokasi seperti Amnesty International, gerakan Black Lives Matter, serta perusahaan media, dan entitas bertema masyarakat sipil lainnya. Beberapa sistem di bawah kendali mereka dioperasikan dari Arab Saudi, Israel, UEA, Hungaria, dan Indonesia.

Lebih dari 100 korban malware SOURGUM telah diidentifikasi hingga saat ini, dengan target berlokasi di Palestina, Israel, Iran, Lebanon, Yaman, Spanyol (Catalonia), Inggris, Turki, Armenia, dan Singapura. “Serangan ini sebagian besar menargetkan akun konsumen, menunjukkan bahwa pelanggan Sourgum mengejar individu tertentu,” General Manager Unit Keamanan Digital Microsoft, Cristin Goodwin, berkata.

Laporan terbaru tiba ketika peneliti TAG Maddie Stone dan Clement Lecigne mencatat lonjakan penyerang yang menggunakan lebih banyak eksploitasi zero-day dalam serangan cyber mereka, sebagian didorong oleh lebih banyak vendor komersial yang menjual akses ke zero-days daripada di awal 2010-an.

“Aktor ofensif sektor swasta adalah perusahaan swasta yang memproduksi dan menjual senjata siber dalam paket hacking-as-a-service, sering kali ke lembaga pemerintah di seluruh dunia, untuk meretas komputer, telepon, infrastruktur jaringan, dan perangkat lain target mereka,” Pusat Intelijen Ancaman Microsoft (MSTIC) berkata dalam ikhtisar teknis.

“Dengan paket hacking ini, biasanya instansi pemerintah memilih target dan menjalankan operasi sebenarnya sendiri. Alat, taktik, dan prosedur yang digunakan oleh perusahaan-perusahaan ini hanya menambah kompleksitas, skala, dan kecanggihan serangan,” tambah MSTIC.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *