Tahun ini, ponsel seorang jurnalis dan aktivis Serbia diretas oleh otoritas setempat menggunakan perangkat pembuka kunci ponsel yang dibuat oleh pembuat alat forensik Cellebrite. Tujuan pihak berwenang bukan hanya membuka kunci ponsel untuk mengakses data pribadi mereka, seperti yang diizinkan oleh Cellebrite, tetapi juga memasang spyware untuk memungkinkan pengawasan lebih lanjut. menurut laporan baru oleh Amnesty International.
Amnesty mengatakan dalam laporannya bahwa mereka yakin ini adalah “infeksi spyware pertama yang didokumentasikan secara forensik yang dimungkinkan oleh penggunaan” alat Cellebrite.
Teknik kasar namun efektif ini adalah salah satu dari banyak cara pemerintah menggunakan spyware untuk mengawasi warganya. Dalam dekade terakhir, organisasi seperti Amnesty dan kelompok hak-hak digital Citizen Lab telah mendokumentasikan lusinan kasus di mana pemerintah menggunakan spyware canggih yang dibuat oleh vendor teknologi pengawasan Barat, seperti NSO Group, Intellexa, dan pionir spyware Hacking Team yang sekarang sudah tidak ada lagi. , untuk meretas pembangkang, jurnalis, dan lawan politik dari jarak jauh.
Kini, karena zero-day dan spyware yang ditanam dari jarak jauh menjadi lebih mahal berkat peningkatan keamanan, pihak berwenang mungkin harus lebih mengandalkan metode yang tidak terlalu canggih, seperti mendapatkan ponsel yang ingin mereka retas secara fisik.
Meskipun banyak kasus penyalahgunaan spyware terjadi di seluruh dunia, tidak ada jaminan bahwa kasus tersebut tidak akan – atau tidak akan terjadi – terjadi di Amerika Serikat. Pada bulan November, Forbes melaporkan bahwa Penegakan Imigrasi dan Bea Cukai (ICE) Departemen Keamanan Dalam Negeri menghabiskan $20 juta untuk memperoleh alat peretasan dan pengawasan telepon, di antaranya Cellebrite. Mengingat kampanye deportasi massal yang dijanjikan oleh Presiden terpilih Donald Trump, seperti Forbes Dilaporkan, para ahli khawatir ICE akan meningkatkan aktivitas mata-matanya ketika pemerintahan baru mengambil alih Gedung Putih.
Sejarah singkat spyware awal
Sejarah cenderung terulang kembali. Bahkan ketika sesuatu yang baru (atau tidak terdokumentasi) pertama kali muncul, ada kemungkinan bahwa hal tersebut sebenarnya merupakan pengulangan dari sesuatu yang sudah terjadi.
Dua puluh tahun yang lalu, ketika spyware pemerintah sudah ada namun hanya sedikit yang diketahui dalam industri antivirus yang bertugas melindunginya, menanam spyware secara fisik di komputer target adalah cara polisi mengakses komunikasi mereka. Pihak berwenang harus memiliki akses fisik ke perangkat target – terkadang dengan membobol rumah atau kantor mereka – kemudian menginstal spyware secara manual.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang spyware pemerintah dan pembuatnya? Dari perangkat yang tidak berfungsi, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Itu sebabnya, misalnya, versi awal spyware Tim Peretas dari pertengahan tahun 2000-an dirancang untuk diluncurkan dari kunci USB atau CD. Bahkan sebelumnya, pada tahun 2001, FBI masuk ke kantor mafia Nicodemo Scarfo menanam spyware yang dirancang untuk memantau apa yang diketik Scarfo di keyboardnya, dengan tujuan mencuri kunci yang dia gunakan untuk mengenkripsi emailnya.
Teknik-teknik ini kembali populer, jika bukan karena kebutuhan.
Citizen Lab mendokumentasikan sebuah kasus pada awal tahun 2024 di mana badan intelijen Rusia FSB diduga memasang spyware di telepon warga negara Rusia Kirill Parubets, seorang aktivis politik oposisi yang telah tinggal di Ukraina sejak tahun 2022, ketika dia berada dalam tahanan. Pihak berwenang Rusia telah memaksa Parabuts untuk menyerahkan kode sandi teleponnya sebelum menanam spyware yang mampu mengakses data pribadinya.
Berhenti dan cari
Dalam kasus baru-baru ini di Serbia, Amnesty menemukan spyware baru di ponsel jurnalis Slaviša Milanov, dan aktivis pemuda Nikola Ristić.
Pada bulan Februari 2024, polisi setempat menghentikan Milanov untuk melakukan pemeriksaan lalu lintas rutin. Dia kemudian dibawa ke kantor polisi, di mana agen menyita ponsel Android miliknya, Xiaomi Redmi Note 10S, saat dia diinterogasi, menurut Amnesty.
Ketika Milanov mendapatkannya kembali, dia berkata dia menemukan sesuatu yang aneh.
“Saya perhatikan data seluler (transmisi data) dan Wi-Fi saya dimatikan. Aplikasi data seluler di ponsel saya selalu aktif. Ini adalah kecurigaan pertama bahwa seseorang memasuki ponsel saya,” kata Milanov kepada TechCrunch dalam sebuah wawancara baru-baru ini.
Milanov mengatakan dia kemudian menggunakannya Tetap Gratissebuah perangkat lunak yang melacak berapa lama seseorang menggunakan aplikasinya, dan memperhatikan bahwa “banyak aplikasi yang aktif” saat ponsel seharusnya dimatikan dan berada di tangan polisi, yang menurutnya tidak pernah meminta atau memaksanya untuk memberikan. memasukkan kode sandi ponselnya.
“Ini menunjukkan bahwa selama periode 11:54 hingga 13:08, aplikasi Pengaturan dan Keamanan sebagian besar diaktifkan, dan Manajer file serta Google Play Store, Perekam, Galeri, Kontak, yang bertepatan dengan waktu ketika telepon tidak bersamaku,” kata Milanov.
“Saat itu mereka mengekstrak data sebesar 1,6 GB dari ponsel saya,” ujarnya.
Pada saat itu Milanov “sangat terkejut dan sangat marah,” dan mempunyai “firasat tidak enak” karena privasinya dikompromikan. Dia menghubungi Amnesty untuk memeriksa teleponnya secara forensik.
Donncha Ó Cearbhaill, kepala Lab Keamanan Amnesty, menganalisis ponsel Milanov dan menemukan bahwa ponsel tersebut telah dibuka menggunakan Cellebrite dan telah menginstal spyware Android yang oleh Amnesty disebut NoviSpy, dari kata Serbia untuk “baru.”
Spyware kemungkinan 'banyak' digunakan pada masyarakat sipil
Analisis Amnesty terhadap spyware NoviSpy dan serangkaian kesalahan keamanan operasional, atau OPSEC, menunjukkan intelijen Serbia sebagai pengembang spyware.
Menurut laporan Amnesty, spyware digunakan untuk “secara sistematis dan diam-diam menginfeksi perangkat seluler selama penangkapan, penahanan, atau dalam beberapa kasus, wawancara informasi dengan anggota masyarakat sipil. Dalam beberapa kasus, penangkapan atau penahanan tampaknya diatur untuk memungkinkan akses rahasia ke perangkat seseorang sehingga memungkinkan ekstraksi data atau infeksi perangkat,” menurut Amnesty.
Amnesty yakin NoviSpy kemungkinan besar dikembangkan di negara tersebut, dilihat dari fakta bahwa terdapat komentar dan string berbahasa Serbia dalam kodenya, dan bahwa NoviSpy diprogram untuk berkomunikasi dengan server di Serbia.
Kesalahan yang dilakukan pihak berwenang Serbia memungkinkan peneliti Amnesty menghubungkan NoviSpy dengan Badan Informasi Keamanan Serbia, yang dikenal sebagai Bezbedonosno-informaciona Agencija, atau BIA, dan salah satu servernya.
Selama analisis mereka, para peneliti Amnesty menemukan bahwa NoviSpy dirancang untuk berkomunikasi dengan alamat IP tertentu: 195.178.51.251.
Pada tahun 2015, alamat IP yang sama ditautkan ke agen di BIA Serbia. Pada saat itu, Citizen Lab menemukan alamat IP spesifik itu mengidentifikasi dirinya sebagai “DPRODAN-PC” di Shodan, mesin pencari yang mencantumkan server dan komputer yang terpapar ke internet. Ternyata, seseorang dengan alamat email berisi “dprodan” telah berhubungan dengan pembuat spyware Tim Peretasan tentang demo pada bulan Februari 2012. Menurut email yang bocor dari Tim Peretasan, karyawan perusahaan memberikan demo di ibu kota Serbia, Beograd sekitar tanggal tersebut, yang membuat Citizen Lab menyimpulkan bahwa “dprodan” juga merupakan BIA Serbia karyawan.
Rentang alamat IP yang sama yang diidentifikasi oleh Citizen Lab pada tahun 2015 (195.178.51.xxx) masih dikaitkan dengan BIA, menurut Amnesty, yang menyatakan bahwa situs publik BIA baru-baru ini dihosting dalam rentang IP tersebut.
Amnesty mengatakan pihaknya melakukan analisis forensik terhadap dua lusin anggota masyarakat sipil Serbia, sebagian besar dari mereka adalah pengguna Android, dan menemukan orang lain terinfeksi NoviSpy. Beberapa petunjuk di dalam kode spyware menunjukkan bahwa BIA dan polisi Serbia telah menggunakannya secara luas, menurut Amnesty.
BIA dan Kementerian Dalam Negeri Serbia, yang mengawasi kepolisian Serbia, tidak menanggapi permintaan komentar dari TechCrunch.
Kode NoviSpy berisi apa yang diyakini oleh para peneliti Amnesty sebagai ID pengguna yang bertambah, yang dalam kasus satu korban adalah 621. Dalam kasus korban lain, yang terinfeksi sekitar sebulan kemudian, jumlah tersebut lebih tinggi dari 640, menunjukkan bahwa pihak berwenang telah menginfeksi lebih banyak lagi. dari dua puluh orang dalam rentang waktu itu. Para peneliti Amnesty mengatakan mereka menemukan NoviSpy versi tahun 2018 di VirusTotal, sebuah repositori pemindaian malware online, yang menunjukkan bahwa malware tersebut telah dikembangkan selama beberapa tahun.
Sebagai bagian dari penelitiannya terhadap spyware yang digunakan di Serbia, Amnesty juga mengidentifikasi eksploitasi zero-day pada chipset Qualcomm yang digunakan terhadap perangkat seorang aktivis Serbia, kemungkinan besar menggunakan Cellebrite. Qualcomm mengumumkan pada bulan Oktober bahwa mereka telah memperbaiki kerentanan setelah penemuan Amnesty.
Ketika dihubungi untuk memberikan komentar, juru bicara Cellebrite Victor Cooper mengatakan bahwa alat perusahaan tidak dapat digunakan untuk menginstal malware, “pihak ketiga harus melakukan itu.”
Juru bicara Cellebrite menolak memberikan rincian tentang pelanggannya, namun menambahkan bahwa perusahaan akan “menyelidiki lebih lanjut.” Perusahaan tersebut mengatakan jika Serbia melanggar perjanjian pengguna akhir, perusahaan akan “menilai kembali apakah mereka adalah salah satu dari 100 negara yang berbisnis dengan kami.”
