Pegasus & MVT 2021: Bagaimana Citizen Lab Membongkar Spyware Tier-1
PELAKU
Tidak diatribusikan
METODE
Influencer memamerkan profit ratusan juta lewat screenshot withdrawal yang sebenarnya hasil edit DOM browser, akun demo, atau kickback afiliasi dari broker offshore. Dipakai untuk recruit member kelas mentoring berbayar.
Pada Juli 2021, Amnesty Tech merilis MVT (Mobile Verification Toolkit) bersama dataset Pegasus Project — 50.000 nomor target potensial. Metodologi: ekstraksi backup iTunes terenkripsi → parsing DataUsage.sqlite + shutdown.log → cross-reference dengan IOC publik. Bukti forensik teknis (process com.apple.WebKit.Networking yang crash berurutan, lookup ke domain pegasus seperti opposedarrangement.net) menjadi standar emas untuk litigasi spyware setelahnya. WhatsApp v NSO 2025 mengandalkan teknik yang sama.
Konteks Operasional
Operasi Pegasus 2021 menargetkan individu high-profile dengan tingkat kerahasiaan tinggi. Target utama adalah wartawan, aktivis, dan kepala negara yang mayoritas menggunakan perangkat iOS. Spyware ini termasuk dalam kategori Tier-1 dengan kemampuan zero-click exploit yang memungkinkan infiltrasi tanpa interaksi pengguna. Citizen Lab dan Amnesty International berkolaborasi dalam membongkar operasi ini menggunakan toolkit forensik khusus, MVT (Mobile Verification Toolkit).
Vektor Awal & Lateral Movement
Vektor awal yang digunakan adalah exploit zero-click melalui aplikasi seperti WhatsApp dan iMessage. Setelah mendapatkan akses awal, spyware melakukan lateral movement dengan memanfaatkan kerentanan pada WebKit dan komponen iOS lainnya. Proses ini melibatkan ekstraksi backup iTunes terenkripsi untuk mendapatkan akses ke file sistem seperti DataUsage.sqlite dan shutdown.log. File-file ini kemudian dianalisis untuk menemukan indikator kompromi (IOC) yang terkait dengan domain Pegasus.
Pivot Yang Sering Diabaikan Defender
Salah satu pivot yang sering diabaikan oleh defender adalah penggunaan process com.apple.WebKit.Networking yang crash secara berurutan. Crash ini seringkali dianggap sebagai bug biasa, namun dalam konteks Pegasus, ini merupakan indikator kuat dari aktivitas spyware. Selain itu, lookup ke domain yang tidak biasa seperti opposedarrangement.net juga sering diabaikan karena tidak langsung terlihat sebagai ancaman. Defender perlu lebih memperhatikan pola-pola anomali seperti ini untuk mendeteksi aktivitas spyware lebih dini.
Pelajaran untuk Tim Indonesia
- Peningkatan Kapasitas Forensik: Tim forensik perlu dilengkapi dengan toolkit seperti MVT untuk melakukan analisis mendalam terhadap perangkat mobile.
- Pelatihan Khusus: Pelatihan khusus diperlukan untuk mengenali indikator kompromi (IOC) yang terkait dengan spyware Tier-1.
- Kolaborasi Internasional: Kerjasama dengan organisasi seperti Citizen Lab dan Amnesty International dapat meningkatkan kemampuan deteksi dan respons.
Indikator Detection Yang Bisa Dipasang Besok
- Monitoring Process Crash: Pasang monitoring untuk process com.apple.WebKit.Networking yang crash secara berurutan.
- Domain Lookup Analysis: Implementasikan analisis lookup ke domain yang tidak biasa atau mencurigakan.
- Backup Encryption Check: Lakukan pemeriksaan rutin terhadap backup iTunes terenkripsi untuk mencari aktivitas mencurigakan.
Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.
TIMELINE
PELAJARAN UNTUK TIM ANDA
- Backup iPhone terenkripsi adalah goldmine forensik — selalu set password backup yang kuat tapi diketahui IR team
- Lockdown Mode (iOS 16+) wajib untuk wartawan, aktivis, eksekutif high-value
- Audit MDM Anda — pastikan tidak silent-installing profile yang tidak Anda kontrol
- Subscribe IOC feed Citizen Lab, Amnesty Tech, dan Lookout
- DFIR mobile butuh tool spesialis (Cellebrite, GrayKey, MVT) + chain-of-custody yang ketat
SUMBER
JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI
Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.
DISKUSI (0)
Belum ada komentar. Jadi yang pertama bagikan analisis Anda.