Google mendesak para penggunanya untuk 'menerapkan perbaikan dengan cepat' dan 'menjaga perangkat lunak tetap mutakhir' setelah menemukan serangan siber selama sembilan bulan yang dikaitkan dengan mata-mata Rusia.
Lebih buruk lagi, kampanye mata-mata Rusia ini tampaknya telah memanfaatkan 'spyware' komersial yang dikembangkan oleh sebuah firma intelijen cyber Yunani — yang telah dikenai sanksi oleh pemerintah AS bulan Maret ini karena 'penyalahgunaan alat pengawasan.'
Spyware dibuat oleh perusahaan, Intelexayang bermarkas di pulau Siprus, telah terlibat dalam serangan di mana-mana mulai dari Irlandia ke Vietnam ke Amerika Serikat.
Untungnya, menurut Google, sebagian besar kerentanan yang dieksploitasi oleh operasi peretasan khusus ini telah ditambal bagi pengguna yang memasang pembaruan penting pada Apple iOS dan peramban Safari serta Google Chrome.
Google mendesak para penggunanya untuk “menerapkan patch dengan cepat” setelah menemukan serangan siber selama sembilan bulan yang dikaitkan dengan mata-mata Rusia. Raksasa teknologi itu mengatakan kerentanan ini telah ditambal bagi pengguna yang memasang pembaruan untuk Apple iOS, peramban Safari, dan Google Chrome.
Kelompok Analisis Ancaman Google menilai dengan 'cukup yakin' bahwa aksi peretasan yang mereka temukan terkait dengan Dinas Intelijen Luar Negeri (SVR) Rusia. Di atas, Vladimir Putin mengunjungi kantor pusat SVR di Moskow pada peringatan 100 tahun badan mata-mata tersebut
Dalam laporannya, Grup Analisis Ancaman Google mencatat bahwa kelemahan yang membuat pengguna iPhone atau iPad rentan terhadap serangan ini telah diperbaiki pada September 2023 bagi siapa saja yang telah memperbarui Apple iOS 16.7 dan Safari 16.6.1.
Demikian pula, bagi pemilik ponsel Android dan pengguna peramban Google Chrome, kerentanan mereka terhadap serangan ini telah diperbaiki pada Mei 2024 dengan Chrome versi 124.0.6367.201/.202 untuk Windows dan macOS, dan versi 124.0.6367.201 untuk Linux.
'Kami memberi tahu Apple dan mitra kami di Android dan Google Chrome tentang kampanye tersebut pada saat penemuan,' kata teknisi keamanan Google Clément Lecigne.
Lecigne, yang berkantor pusat di Swiss, menambahkan bahwa analisis ancaman Google menilai dengan 'keyakinan sedang' bahwa kampanye peretasan yang mereka temukan di alam liar itu 'terkait dengan aktor yang didukung pemerintah Rusia APT29.'
Terkadang dikenal sebagai Cozy Bear atau Group 100, APT29 adalah serangkaian alat peretasan dan spyware yang terus berkembang yang telah lama dituduh oleh intelijen Barat sebagai hasil karya tim peretas yang bertindak atas nama badan mata-mata asing Rusia, SVR.
Muatan peretasan APT29 ditemukan tersembunyi di situs web pemerintah kabinet Mongolia dan kementerian luar negeri — yang menunjukkan tujuan spionase.
'Kami juga memberi tahu CERT (Tim Tanggap Darurat Keamanan Siber) Mongolia untuk memperbaiki situs web yang terinfeksi,' kata Lecigne dalam laporannya.
Namun, peneliti keamanan siber Google menyarankan bahwa ada kekhawatiran yang lebih luas bahwa bentuk serangan ini kemungkinan akan ditiru, tidak hanya oleh peretas yang disponsori negara Rusia tetapi juga oleh tim terlatih yang menggunakan alat mata-mata yang sama.
Dalam garis waktu yang diterbitkan bersama laporan baru mereka mengenai kasus ini, Kelompok Analisis Ancaman Google mencatat bahwa 'eksploitasi' inti yang digunakan untuk mengubah dua situs web pemerintah Mongolia ini menjadi perangkap 'lubang berair' bagi pengunjung yang tidak menaruh curiga di web — kemungkinan pejabat negara Asia Tengah ini dan mungkin diplomat serta mata-mata AS di wilayah tersebut — berasal dari perusahaan spyware komersial.
'Dalam setiap iterasi kampanye tempat minum,' Laporan Lecigne mencatat'para penyerang menggunakan eksploitasi yang identik atau sangat mirip dengan eksploitasi dari CSV (vendor pengawasan komersial) Intellexa dan NSO Group.'
Sejak setidaknya November 2021, Pemerintahan Biden telah memasukkan perusahaan mata-mata bayaran NSO Group ke dalam daftar hitam dalam Daftar Entitas Departemen Perdagangan AS yang melarang perusahaan Amerika melakukan bisnis dengan perusahaan Israel.
Dalam sebuah kronologi yang dipublikasikan bersama laporan terbaru mereka, Kelompok Analisis Ancaman Google mencatat bahwa 'eksploitasi' inti yang digunakan untuk mengubah dua situs web pemerintah Mongolia menjadi perangkap 'lubang berair' bagi pengunjung yang tidak menaruh curiga di web berasal dari dua perusahaan spyware yang dikenai sanksi oleh AS.
Salah satu perusahaan tersebut, Intellexa, dijatuhi sanksi pada bulan Maret ini karena alat Predator miliknya, yang memungkinkan para peretas menyusup ke perangkat melalui serangan 'tanpa klik' yang tidak memerlukan interaksi pengguna.
Gedung Putih menuduh NSO membiarkan perangkat lunak miliknya, Pegasus, disalahgunakan 'di seluruh dunia untuk memungkinkan pelanggaran hak asasi manusia, termasuk untuk menargetkan jurnalis, aktivis hak asasi manusia, atau orang lain yang dianggap sebagai pembangkang dan kritikus.'
Intellexa juga dikenai sanksi serupa karena alat Predatornya, yang memungkinkan para peretas menyusup ke perangkat melalui serangan 'tanpa klik' yang menakjubkan yang tidak memerlukan interaksi pengguna.
Tim keamanan Google mencatat bahwa sangat mengkhawatirkan melihat tersangka aktor negara Rusia mengambil untung dari kelemahan keamanan yang telah ditambal melalui paket spyware komersial.
Kampanye tersebut secara jelas menyiratkan bahwa mata-mata berharap untuk menyusup ke sejumlah besar pejabat pemerintah Mongolia dan diplomat asing yang berkunjung, mengandalkan individu yang gagal memperbarui perangkat lunak penjelajahan web pribadi mereka.
Kelemahan keamanan lama yang telah ditambal, disebut eksploitasi n-hari, umumnya dianggap bukan merupakan masalah keamanan yang serius dibandingkan kelemahan baru yang belum ditambal, dikenal sebagai eksploitasi 0-hari.
“Kami tidak tahu bagaimana para penyerang memperoleh eksploitasi ini,” Lecigne memperingatkan.
'Yang jelas,' catatnya, 'adalah bahwa aktor APT menggunakan eksploitasi n-hari yang awalnya digunakan sebagai 0-hari oleh CSV.'
