Zero-trust

Serangan tanpa klik dijelaskan, dan mengapa mereka sangat berbahaya

Definisi serangan tanpa klik

Serangan tanpa klik, tidak seperti kebanyakan serangan siber, tidak memerlukan interaksi apa pun dari pengguna yang mereka targetkan, seperti mengklik tautan, mengaktifkan makro, atau meluncurkan file yang dapat dieksekusi. Mereka canggih, sering digunakan dalam kampanye spionase siber, dan cenderung meninggalkan sangat sedikit jejak—yang membuatnya berbahaya.

Setelah perangkat disusupi, penyerang dapat memilih untuk menginstal perangkat lunak pengawasan, atau mereka dapat memilih untuk menerapkan strategi yang jauh lebih merusak dengan mengenkripsi file dan menahannya untuk tebusan. Umumnya, korban tidak dapat mengetahui kapan dan bagaimana mereka telah terinfeksi melalui serangan tanpa klik, yang berarti pengguna tidak dapat berbuat banyak untuk melindungi diri mereka sendiri.

Cara kerja serangan tanpa klik

Serangan tanpa klik menjadi semakin populer dalam beberapa tahun terakhir, didorong oleh industri pengawasan yang berkembang pesat. Salah satu spy ware paling populer adalah Pegasus dari NSO Group, yang telah digunakan untuk memantau jurnalis, aktivis, pemimpin dunia, dan eksekutif perusahaan. Meskipun tidak jelas bagaimana setiap korban menjadi sasaran, diyakini bahwa setidaknya beberapa dari mereka telah menerima Panggilan WhatsApp mereka bahkan tidak perlu menjawab.

Aplikasi perpesanan sering menjadi sasaran serangan tanpa klik karena menerima information dalam jumlah besar dari sumber yang tidak dikenal tanpa memerlukan tindakan apa pun dari pemilik perangkat. Paling sering, penyerang mengeksploitasi kelemahan dalam cara information divalidasi atau diproses.

Jenis serangan tanpa klik lainnya yang kurang dikenal tetap berada di bawah radar, kata Aamir Lakhani, peneliti keamanan siber di FortiGuard Labs Fortinet. Dia memberikan dua contoh: eksploitasi aplikasi parser (“sementara pengguna melihat gambar dalam PDF atau aplikasi e mail, penyerang diam-diam mengeksploitasi sistem tanpa klik pengguna atau interaksi yang diperlukan”) dan “Serangan kedekatan WiFi yang berusaha menemukan eksploitasi pada tumpukan WiFi dan unggah kode eksploit ke dalam [the] ruang pengguna [in the] kernel untuk mengambil alih sistem dari jarak jauh.”

Serangan tanpa klik sering mengandalkan hari nol, kerentanan yang tidak diketahui oleh pembuat perangkat lunak. Tidak mengetahui bahwa mereka ada, pembuat tidak dapat mengeluarkan tambalan untuk memperbaikinya, yang dapat membahayakan pengguna. “Bahkan pengguna yang sangat waspada dan sadar pun tidak dapat menghindari serangan zero-day dan zero-click double-whammy itu,” kata Lakhani.

Serangan ini sering digunakan terhadap goal bernilai tinggi karena harganya mahal. “Zerodium, yang membeli kerentanan di pasar terbuka, membayar hingga $2,5 juta untuk kerentanan tanpa klik terhadap Android,” kata Ryan Olson, wakil presiden intelijen ancaman, Unit 42 di Palo Alto Networks.

Contoh serangan tanpa klik

Goal serangan zero-click bisa berupa apa saja mulai dari smartphone hingga komputer desktop dan bahkan perangkat IoT. Salah satu momen menentukan pertama dalam sejarah mereka terjadi pada tahun 2010 ketika peneliti keamanan Chris Paget didemonstrasikan di DEFCON18 cara mencegat panggilan telepon dan pesan teks menggunakan kerentanan Sistem World untuk Komunikasi Seluler (GSM), menjelaskan bahwa protokol GSM rusak karena rancangan. Selama demo, ia menunjukkan betapa mudahnya bagi penangkap identitas pelanggan seluler internasional (IMSI) untuk mencegat lalu lintas ponsel penonton.

Ancaman zero-click awal lainnya ditemukan pada tahun 2015 ketika keluarga malware Android Shedun memanfaatkan fungsi sah Layanan Aksesibilitas Android untuk menginstal adware tanpa pengguna melakukan apa pun. “Dengan mendapatkan izin untuk menggunakan layanan aksesibilitas, Shedun dapat membaca teks yang muncul di layar, menentukan apakah permintaan penginstalan aplikasi ditampilkan, menggulir daftar izin, dan terakhir, menekan tombol instal tanpa interaksi fisik dari pengguna,” menurut Mencari.

Setahun kemudian, pada 2016, segalanya menjadi lebih rumit. Serangan zero-click diimplementasikan ke dalam alat pengawasan Uni Emirat Arab Karma, yang memanfaatkan zero-day yang ditemukan di iMessage. Karma hanya membutuhkan nomor telepon atau alamat e mail pengguna. Kemudian, pesan teks dikirim ke korban, yang bahkan tidak perlu mengklik tautan untuk terinfeksi.

Setelah teks itu tiba di iPhone, penyerang dapat melihat foto, e mail, dan information lokasi, di antara merchandise lainnya. Unit peretasan yang menggunakan alat ini, dijuluki Proyek Gagaktermasuk peretas intelijen AS yang membantu Uni Emirat Arab memantau pemerintah dan aktivis hak asasi manusia.

Pada akhir dekade itu, serangan zero-click lebih sering diperhatikan, karena perusahaan pengawasan dan aktor negara-bangsa mulai mengembangkan alat yang tidak memerlukan tindakan apa pun dari pengguna. “Serangan yang sebelumnya kami lihat melalui tautan di SMS, beralih ke serangan tanpa klik dengan suntikan jaringan,” kata Etienne Maynier, teknolog di Amnesty Worldwide.

Amnesty dan Citizen Lab menangani beberapa kasus yang melibatkan spy ware Pegasus NSO Group, yang terkait dengan beberapa pembunuhan, termasuk pembunuhan terhadap jurnalis Washington Submit Jamal Khashoggi. Setelah dipasang di ponsel, Pegasus dapat membaca pesan teks, melacak panggilan, memantau lokasi korban, mengakses mikrofon dan kamera perangkat, mengumpulkan kata sandi, dan mengumpulkan informasi dari aplikasi.

Khashoggi dan orang-orang dekatnya bukan satu-satunya korban. Di tahun 2019, kelemahan di WhatsApp telah dieksploitasi untuk menargetkan masyarakat sipil dan tokoh politik di Catalonia. Penyerangan tersebut bermula dari video name yang dilakukan di WhatsApp kepada korban. Menjawab panggilan tidak diperlukan, karena information yang dikirim ke aplikasi obrolan tidak dibersihkan dengan benar. Ini memungkinkan kode Pegasus untuk dieksekusi pada perangkat goal, menginstal perangkat lunak spy ware secara efektif. WhatsApp telah menambal kerentanan ini dan telah memberi tahu 1.400 pengguna yang menjadi sasaran.

Serangan zero-click canggih lainnya yang terkait dengan Pegasus NSO Group didasarkan pada kerentanan di iMessage Apple. Pada tahun 2021, Citizen Lab menemukan jejak eksploitasi ini yang digunakan untuk menargetkan seorang aktivis Saudi. Serangan ini bergantung pada kesalahan dalam cara GIF diuraikan di iMessage dan menyamarkan dokumen PDF yang berisi kode berbahaya sebagai GIF. di dalamnya analisis dari eksploitasi tersebut, Google Undertaking Zero menyatakan, “Pengambilan yang paling mencolok adalah kedalaman permukaan serangan yang dapat dijangkau dari apa yang diharapkan menjadi kotak pasir yang cukup terbatas.” Kerentanan iMessage telah diperbaiki pada 13 September 2021, di iOS 14.8.

Serangan tanpa klik tidak hanya menargetkan ponsel. Pada tahun 2021, kerentanan tanpa klik memberi penyerang yang tidak diautentikasi kontrol penuh atas kamera keamanan Hikvision. Belakangan pada tahun yang sama, kelemahan di Microsoft Groups terbukti dapat dieksploitasi melalui serangan tanpa klik yang memberi peretas akses ke perangkat goal di seluruh sistem operasi utama (Home windows, MacOS, Linux).

Cara mendeteksi dan mengurangi serangan tanpa klik

Secara realistis, mengetahui apakah korban terinfeksi cukup rumit, dan melindungi dari serangan tanpa klik hampir tidak mungkin. “Serangan zero-click jauh lebih umum daripada yang kita duga,” kata Maynier. Dia merekomendasikan goal potensial mengenkripsi semua information mereka, memperbarui perangkat mereka, memiliki kata sandi yang kuat, dan melakukan segala daya mereka untuk melindungi kehidupan digital mereka. Ada juga hal lain yang dia katakan kepada mereka: “Pertimbangkan bahwa mereka mungkin dikompromikan dan beradaptasi dengan itu.”

Namun, pengguna dapat melakukan beberapa hal untuk meminimalkan risiko dimata-matai. Yang paling sederhana adalah me-restart telepon secara berkala jika mereka memiliki iPhone. Para ahli di Amnesty telah menunjukkan bahwa ini berpotensi menghentikan Pegasus bekerja di iOS—setidaknya untuk sementara. Ini memiliki keuntungan menonaktifkan kode apa pun yang berjalan yang belum mencapai kegigihan. Namun, kelemahannya adalah me-reboot perangkat dapat menghapus tanda-tanda bahwa infeksi telah terjadi, sehingga lebih sulit bagi peneliti keamanan untuk menentukan apakah perangkat telah ditargetkan dengan Pegasus.

Pengguna juga harus menghindari jailbreaking perangkat mereka, karena menghapus beberapa kontrol keamanan yang ada di dalam firmware. Selain itu, karena mereka dapat menginstal perangkat lunak yang belum diverifikasi pada perangkat yang di-jailbreak, ini membuka mereka untuk menginstal kode rentan yang mungkin menjadi goal utama serangan tanpa klik.

Seperti biasa, menjaga kebersihan keamanan yang baik dapat membantu. “Segmentasi jaringan, aplikasi, dan pengguna, penggunaan otentikasi multifaktor, penggunaan pemantauan lalu lintas yang kuat, kebersihan keamanan siber yang baik, dan analitik keamanan tingkat lanjut dapat terbukti memperlambat atau mengurangi risiko dalam situasi tertentu,” kata Lakhani. “[These] juga akan membuat aktivitas pasca-eksploitasi menjadi sulit bagi penyerang, bahkan jika mereka melakukan kompromi [the] sistem.”

Maynier menambahkan bahwa goal profil tinggi harus memisahkan information dan memiliki perangkat hanya untuk komunikasi sensitif. Dia menyarankan pengguna menyimpan “sesedikit mungkin informasi di ponsel mereka (menghilangkan pesan adalah alat yang sangat baik untuk itu)” dan meninggalkannya di luar ruangan saat mereka melakukan percakapan tatap muka yang penting.

Organisasi seperti Amnesty dan Citizen Lab telah menerbitkan panduan yang menginstruksikan pengguna untuk menghubungkan ponsel cerdas mereka ke PC dan periksa untuk melihat apakah mereka telah terinfeksi Pegasus. Perangkat lunak yang digunakan untuk ini, Perangkat Verifikasi Seluler, bergantung pada Indikator Kompromi seperti favicon yang di-cache dan URL yang ada dalam pesan SMS. Pengguna tidak perlu melakukan jailbreak pada perangkat mereka untuk menjalankan alat ini.

Selain itu, Apple dan WhatsApp sama-sama mengirim pesan ke orang-orang yang mungkin menjadi sasaran serangan tanpa klik yang bertujuan untuk menginstal Pegasus. Setelah itu, beberapa dari mereka menghubungi organisasi seperti Citizen Lab untuk menganalisis perangkat mereka lebih lanjut.

Namun teknologi saja tidak akan menyelesaikan masalah, kata Maynier dari Amnesty. “Ini pada akhirnya masalah kebijakan dan regulasi,” tambahnya. “Amnesty, EDRi dan banyak organisasi lainnya menyerukan moratorium international pada penggunaan, penjualan, dan switch teknologi pengawasan sampai ada kerangka peraturan hak asasi manusia yang tepat yang melindungi pembela hak asasi manusia dan masyarakat sipil dari penyalahgunaan alat-alat ini.”

Jawaban kebijakan harus mencakup aspek yang berbeda dari masalah ini, katanya, dari kontrol ekspor hingga uji tuntas hak asasi manusia wajib bagi perusahaan. “Kita harus menghentikan pelanggaran yang meluas ini terlebih dahulu,” tambah Maynier.

Hak Cipta © 2022 IDG Communications, Inc.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts