Jakarta, CNN Indonesia -- Sejumlah pejabat Indonesia antara lain Menteri Koordinator Bidang Ekonomi Airlangga Hartarto diduga mendapat serangan spyware ForcedEntry. Serangan itu diduga berasal dari NSO Group, perusahaan asal Israel.
Lantas, apa ForcedEntry sebenarnya?

Penggunaan ForcedEntry untuk menyerang target pertama kali diungkap Citizen Lab, sebuah laboratorium interdisiplin yang berbasis di Munk School of Global Affairs, University of Toronto, Kanada.

Citizen Lab menemukan ForcedEntry ketika menganalisis ponsel aktivis Arab Saudi yang terkena serangan spyware Pegasus, yang juga berasal dari NSO.

"Ketika menganalisa ponsel dari aktivis Saudi yang terinfeksi spyware Pegasus dari NSO Group, kami menemukan eksploitasi nir-klik terhadap iMesage. Eksploitasi itu, yang kami sebut ForcedEntry, menargetkan image rendering library Apple, dan sangat efektif terhadap iOS, MacOS, dan perangkat WatchOS," tulis Citizen Lab.

Pratama Persadha, Chairman Communication & Information System Security Research Center (CISSReC), mengungkapkan software ini tetap menginfeksi meski pemilik gawai tak mengklik apapun.

"ForcedEntry adalah salah satu peretasan dengan metode serangan Zero-click. Serangan ini relatif canggih karena tidak memerlukan tekniksocial engineering, seperti menggiring korban untuk mengklik tautan atau lampiran berbahaya. Metode ini juga tidak menuntut interaksi dengan korban, sehingga sulit untuk dilacak sumbernya," jelasnya, dalam keterangan via pesan singkat, Jumat (30/9).

Menurut Citizen Lab, ForcedEntry sudah digunakan paling tidak sejak Februari 2021. Citizen Lab mengungkapkan kerentanan dan kode ke Apple, yang telah menetapkan kerentanan ForcedEntry CVE-2021-30860 dan menggambarkan kerentanan sebagai "memproses PDF yang dibuat dengan jahat dapat menyebabkan eksekusi kode arbitrer."

ForcedEntry ditemukan Citizen Lab dalam file berekstensi '.gif' dalam ponsel aktivis tersebut yang dihack menggunakan spyware Pegasus. Terdapat 27 kopi dari file .gif tersebut yang sebetulnya merupakan file Adobe PSD dengan ukuran 748 byte.

"Setiap kopi dari file ini menyebabkan IMTranscoderAgent crash pada perangkat. File-file itu juga memiliki 10 karakter nama yang terlihat acak," tulis Citizen Lab.

"Empat file berbeda dengan ekstensi .gif yang sebetulnya file Adobe PDF, berisikan sebuah aliran JBIG2-encoded. Dua dari file ini punya 34 nama karakter dan dua punya 97 karakter nama," tulis mereka lagi.

Citizen Lab lalu meneruskan artifak tersebut ke Apple pada Selasa (7/9/2021). Enam hari setelahnya, Apple mengonfirmasi bahwa file itu berisi eksploitasi terhadap iOS dan MacOS. Mereka mendesain ForcedEnry untuk mengeksploitasi CVE-2021-30860 dan menggambarkannya sebagai "pemrosesan kreasi PDF yang mungkin menyebabkan eksekusi kode yang acak"

Menurut Citizen Lab, ForcedEntry bekerja dengan mengekspolitasi kerentanan image rendering dari integer overflow Apple (CoreGraphics). Tak hanya itu, ada dua indikasi yang membuat Citizen Lab mengidentifikasi ForcedEntry dengan NSO Group.

Pertama adalah spyware yang dipasang oleh ForcedEntry mengeksploitasi artifak forensik yang disebut Cascadefail, sebuah bug di mana buktinya dihapus tidak tuntas dari file di ponsel bernama DataUsage.sqlite.

"Kami hanya menemukan tipe penghapusan yang tak tuntas seperti itu, terasosiasi dengan spyware Pegasus milik NSO. Kami percaya, bug itu cukup khas untuk diidentikan dengan NSO," tulis Citizen Lab.

Kedua, spyware yang dipasang oleh ForcedEntry mengeksploitasi berbagai process names seperti 'setframed'. Itu digunakan dalam serangan spyware Pegasus dari NSO Group kepada wartawan Al Jazeera pada Juli 2020.

Bisakah dilawan?
Periset dari Google menyebut ForcedEntry sebagai senjata siber luar biasa. Pasalnya, serangan ini bisa berlangsung tanpa campur tangan pemilik iPhone.

"NSO menawarkan klien mereka teknologi eksploitasi nir-klik, di mana bahkan para target yang sangat ahli soal teknis, dan tidak mengklik link mencurigakan, benar-benar tak waspada bahwa mereka sedang menjadi target," tulis periset Google dalam Project Zero seperti dikutip dari Bit Defender.

"Dalam skenario nir-klik, tidak dibutuhkan adanya interaksi dengan pengguna. Itu artinya, penyerang tidak perlu mengirim pesan phising. Proses eksploitasi berlangsung dalam diam di belakang. Tidak ada cara mencegah eksploitasi dengan cara nir-klik seperti ini. Inilah senjata di mana tak ada pertahanan yang mampu menahannya," tulis mereka.

Menurut tim Google, pintu masuk serangan ini berasal dari iMessage. Siapa pun bisa menjadi target asalkan penyerang memiliki nomor ponsel atau Apple ID mereka.

Pratama pun menyarankan pembaruan secara rutin iOS gawai meski belum diketahui efektivitasnya.

"Untuk menghindari serangan semacam itu seperti agak susah, namun minimal pengguna wajib selalu mengupdate sesegera mungkin jika pengembang sistem operasi iOS memberikan pembaharuan," ungkap dia.

"Namun, serangan peretasan akan selalu berkembang. sehingga apakah serangan berikutnya berhasil menjebol tambalan baru Apple tersebut, kita belum mengetahuinya dengan pasti.

Apple sendiri telah membawa NSO Group ke pengadilan pada Desember 2021 terkait spyware Pegasus. Apple menuduh NSO melakukan serangan terhadap perangkat iOS yang disponsori negara.

Namun, Apple mengklaim, meski Pegasus terus berevolusi, tidak ada bukti yang menyebut serangan itu sukses melawan iOS 15 atau versi terbaru OS di iPhone.

https://www.cnnindonesia.com/teknolo...a-hartarto-dkk

Ngeri bre...

BTW Airlangga Hartarto bisa jadi kuda hitam di pilpres lho..