ESET: Spyware Candiru Israel Disusupkan di Situs Berita untuk Meretas Pengunjung

Cyberthreat.id - Kelompok peretas menyusup ke sejumlah situs web menanam malware dengan tujuan menginfeksi perangkat pengunjung situs tersebut. Peretas diyakini menggunakan spyware Candiru asal Israel yang telah dimasukkan dalam daftar hitam bersama Pegasus oleh Amerika Serikat awal bulan ini.   

Hal itu terungkap dalam laporan peneliti ESET Matthieu Faou yang dirilis pada 16 November kemarin.

Dalam laporannya, Faou menyebut dalam kampanye peretasan yang berlangsung dari Maret 2020 hingga Agustus tahun ini, setidaknya ada 20 situs yang menjadi target penyusupan. Rata-rata terkait Timur Tengah. Salah satunya adalah Middle East Eye (middleeasteye[.]net), situs berita independen berbasis di London yang mengangkat isu-isu Timur Tengah.

Pola serangan yang menimpa Middle East Eye ini dalam dunia keamanan siber disebut watering hole attack, jenis serangan siber di mana peretas menggunakan situs web yang sah untuk menargetkan pengunjungnya. Dalam hal ini, peretas tidak menargetkan semua pengunjung situs web, tetapi hanya yang spesifik, menurut ESET.

“Kami tidak pernah bisa mendapatkan muatan akhir. Jadi ini menunjukkan bahwa penyerang sangat berhati-hati dalam memilih target,” kata  Matthieu Faou saat dikonfirmasi ulang oleh Motherboard.

Karena para peneliti tidak dapat mengambil malware tersebut, “kami tidak tahu siapa target akhirnya,” kata Faou.

Peneliti ESET menjelaskan dalam laporan bahwa para peretas juga menyusup ke beberapa situs web pemerintah di Iran, Suriah, dan Yaman, situs televisi Hezbullah, serta situs perusahaan kedirgantaraan Italia dan konglomerat pertahanan milik pemerintah Afrika Selatan.

Para peretas, menurut ESET, tampaknya adalah pelanggan vendor spyware Israel Candiru, sebuah perusahaan yang baru-baru ini dimasukkan ke dalam daftar penolakan oleh Pemerintah AS.

Candiru adalah salah satu penyedia spyware paling misterius. Perusahaan tidak memiliki situs web, dan diduga telah berganti nama beberapa kali. Candiru menawarkan “platform intelijen siber kelas atas yang didedikasikan untuk menyusup ke komputer PC, jaringan, handset seluler,” menurut dokumen yang dilihat oleh Haaretz, surat kabar Israel yang pertama melaporkan keberadaan Candiru pada 2019.

Sejak itu, beberapa perusahaan keamanan siber dan kelompok seperti Kaspersky Lab, Microsoft, Google, dan Citizen Lab, telah melacak malware-nya.

Faou mengatakan dia menghubungi beberapa situs web yang terdampak, tetapi tidak menerima jawaban dari salah satu dari mereka. Tak satu pun dari mereka saat ini dikompromikan, katanya. Tidak jelas apakah itu karena pemilik situs telah menghapus kode berbahaya yang disisipkan peretas di situsnya, atau peretas telah membersihkannya untuk menyembunyikan jejak mereka.

Pada hari Selasa, Middle East Eye mengeluarkan siaran pers yang mengutuk serangan terhadap situsnya.

“Middle East Eye tidak asing dengan upaya seperti itu untuk menurunkan situs web kami oleh aktor negara dan non-negara. Sejumlah besar uang telah dihabiskan untuk mencoba membawa kami keluar,” kata pemimpin redaksi Middle East Eye David Hearst dalam pernyataan yang dimuat di situs webnya.

“Ini tidak menghentikan kami untuk melaporkan apa yang terjadi di seluruh pelosok wilayah dan saya yakin mereka tidak akan menghentikan kami di masa depan. Terlepas dari upaya ini, jurnalisme kami telah menjangkau khalayak global,” tambah David.

Middle East Eye juga mengatakan bahwa situs tersebut sekarang aman.

“Middle East Eye terus-menerus meninjau pengaturan keamanannya dengan perusahaan keamanan perangkat lunak TI terkemuka. Seperti halnya upaya apa pun untuk mengganggu layanan kami, kami sedang membangun pertahanan siber untuk menghadapi ancaman ini,” kata David.

Dalam penyelidikan,  Faou dan rekan-rekannya menemukan peretas menggunakan beberapa domain untuk server perintah dan kontrol (command and control) yang terhubung ke malware. Dua dari domain tersebut (webfx[.]cc dan engagementbay[.]cc) terhubung ke server yang sebelumnya diidentifikasi sebagai milik Candiru oleh Citizen Lab, sebuah organisasi penelitian keamanan siber yang bertempat di Munk School University of Toronto, menurut ESET.

Bill Marczak, peneliti senior di Citizen Lab, mengonfirmasi ke Motherboard bahwa domain tersebut memang terhubung ke server Candiru.

Itu sebabnya ESET menyimpulkan dengan “keyakinan sedang” bahwa para peretas dalam kampanye ini adalah pelanggan Candiru.

Candiru tidak menanggapi permintaan komentar yang dikirim ke serangkaian alamat email milik perusahaan.

Ini bukan pertama kalinya Middle East Eye terjebak dalam bidikan peretas yang menggunakan alat spyware Israel. Pada tahun 2016, Citizen Lab melaporkan bahwa peretas pemerintah yang menggunakan spyware NSO Group telah berusaha meretas Rori Donaghy, yang saat itu adalah seorang reporter untuk Middle East Eye.

Peretasan situs web berita Inggris dapat memicu lebih banyak perdebatan di negara itu tentang peretasan dan spyware pemerintah. Pekan lalu, sepuluh anggota parlemen di Inggris menulis surat yang ditujukan kepada Perdana Menteri Boris Johnson mendesak dia dan pemerintahnya untuk menangguhkan “lisensi spyware dan kontrak keamanan siber ke negara-negara Teluk yang terlibat dalam serangan siber di Inggris, yaitu UEA, Arab Saudi, dan Bahrain. ”

Anggota parlemen berpendapat langkah ini diperlukan mengingat Pemerintah AS telah menempatkan NSO Group dan Candiru dalam daftar hitam yang melarang perusahaan AS menjual layanan atau perangkat lunak kepada perusahaan tersebut. []