Informasi ini saya awali dengan adanya pelaku ancaman (Threat Actor) yang menggunakan hacking tools yang dibuat oleh vendor yang berasal dari Israel bernama QuaDream menargetkan setidaknya lima sasaran spyware Amerika Utara, Asia Tengah, Asia Tenggara, Eropa, dan Timur Tengah. Sasarannya adalah para jurnalis, tokoh oposisi politik, dan pekerja LSM .
Diduga juga bahwa mereka menggunakan exploit yang dijuluki ENDOFDAYS di iOS 14 untuk menyebarkan spyware sebagai zero-day di versi 14.4 dan 14.4.2. Mekanisme nya ENDOFDAYS tampaknya menggunakan undangan kalender iCloud yang tidak terlihat yang dikirim dari operator spyware ke korban.
Sementara itu Tim Intelijen Ancaman Microsoft melacak QuaDream sebagai tim DEV-0196, mereka ini adalah semacam tentara bayaran dunia maya sebagai aktor ofensif sektor swasta (PSOA). Meskipun QuaDream tidak terlibat langsung dalam penargetan, ia diketahui menjual layanan eksploitasi dan malware kepada pelanggan pemerintah, raksasa raksasa teknologi lainnya.
Ini yang menegaskan bahwa trend kejahatan cyber meningkat seiring munculnya layanan SAAS di bidang kejahatan siber, jadi tinggal subscribe saja dan tanpa repot repot sudah tersedia aplikasi yang tinggal disebarkan untuk menjadi korban.
Dan Malware, bernama KingsPawn, berisi agen monitor dan agen malware utama, keduanya adalah file Mach-O yang masing-masing ditulis dalam Objective-C dan Go. Agen monitor dari malware ini bertanggung jawab untuk mengurangi jejak forensik malware untuk menghindari deteksi, sedangkan induknya (agen utama) dilengkapi dengan kemampuan untuk mengumpulkan informasi perangkat, data seluler dan Wi-Fi, memanen file, mengakses kamera di latar belakang, mengakses lokasi, log panggilan , dan Rantai Kunci iOS, dan bahkan membuat kata sandi satu kali berbasis waktu (TOTP) iCloud.
Di sample malware jenis lain juga mendukung perekaman audio dari panggilan telepon dan mikrofon, menjalankan kueri dalam database SQL, dan membersihkan jejak forensik, seperti menghapus semua acara kalender dari dua tahun sebelum waktu saat ini. Data diekstraksi melalui permintaan HTTPS POST.
Dari perusahaan keamanan siber Citizen Lab mengungkapkan bahwa pelanggan QuaDream mengoperasikan 600 server dari beberapa negara di seluruh dunia termasuk Bulgaria, Republik Ceko, Hongaria, Rumania, Ghana, Israel, Meksiko, Singapura, UEA, dan Uzbekistan.
Akhir dari artikel ini, saya ingin kembali mengingatkan bahwa tidak ada satu perangkat pun yang aman, karena teknologi selalu berkembang. Cepat atau lambat akan ditemukan celah keamanan yang bisa di exploit, tidak peduli operating sistem apapun entah itu Windows, Android, IOS, Linux akan selalu terbuka potensi kelemahannya. Jadi tetap waspada, tetap kontrol sebisa mungkin apa yang bisa kita kontrol didomain kita.
Salam Cyber Security
Keep Safe dan Stay Connected
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H