REPUBLIKA.CO.ID, WASHINGTON -- NSO Group telah ditangguhkan akunnya oleh penyedia komputasi awan Amazon Web Services (AWS). Penangguhan ini disebabkan adanya tuduhan luas bahwa perangkat lunak NSO Group digunakan untuk memata-matai pengguna di seluruh dunia.

Perusahaan Israel telah dituduh menjual layanan spyware Pegasus kepada pemerintah otoriter di seluruh dunia. Layanan ini kemudian digunakan untuk memantau tokoh-tokoh seperti jurnalis, aktivis dan politisi oposisi.

Analisis awal kampanye oleh LSM Forbidden Stories yang berbasis di Paris dan kelompok hak asasi manusia Amnesty International memperkirakan puluhan ribu orang mungkin telah menjadi sasaran malware.

Larangan AWS

“Ketika kami mengetahui aktivitas ini, kami bertindak cepat untuk menutup infrastruktur dan akun yang relevan,” kata juru bicara AWS kepada Motherboard, yang pertama kali melaporkan larangan tersebut, dilansir dari Tech Radar, Rabu (21/7).

Penelitian Amnesty menemukan malware Pegasus mengirimkan informasi ke layanan yang dihadapi oleh layanan CDN yang tersedia secara komersial Amazon CloudFront. Motherboard mencatat bahwa laporan 2020 menyarankan NSO adalah pelanggan AWS yang sudah ada sebelumnya, meskipun temuan Amnesty menunjukkan NSO Group telah beralih menggunakan layanan AWS dalam beberapa bulan terakhir.

Penyelidikan lebih lanjut atas temuan Amnesty oleh Citizen Lab mendukung temuan ini, dengan mencatat bahwa pihaknya telah secara independen mengamati NSO Group mulai menggunakan layanan Amazon secara ekstensif termasuk CloudFront pada 2021.

CloudFront adalah penawaran CDN dari Amazon yang memungkinkan pelanggan mendistribusikan konten dengan cepat dan aman kepada pengguna, dengan laporan yang mengklaim bahwa NSO diduga lebih suka menggunakan pusat data Eropa yang dijalankan oleh perusahaan hosting Amerika.

Amnesty menambahkan bahwa pindah ke layanan seperti CloudFront akan menyarankan NSO berusaha untuk menjaga beberapa operasinya tetap tersembunyi. Sebab, hal itu akan melindungi perusahaan dari teknik pemindaian online tertentu oleh peneliti keamanan atau pihak ketiga lainnya.

Kelompok itu menambahkan bahwa mereka telah mendeteksi NSO juga menggunakan layanan dari Digital Ocean, OVH dan Linode-meskipun belum ada yang mengomentari laporan tersebut. Pegasus dilaporkan dikerahkan oleh NSO untuk menginfeksi perangkat Android dan iPhone, memberikan operator akses ke pesan, foto dan email, serta kemampuan untuk merekam panggilan dan mengaktifkan mikrofon tanpa sepengetahuan korban.

Spyware tersebut dilaporkan membutuhkan sedikit aktivitas untuk menginstal dirinya sendiri di ponsel korban-yang sebenarnya dapat dilakukan melalui panggilan WhatsApp sederhana, atau dengan memanfaatkan kelemahan keamanan yang ada pada layanan seperti iMessage.

Dengan menggunakan ini, paket data diubah dalam panggilan suara yang dikirim ke target/korban, menyebabkan buffer internal di aplikasi WhatsApp meluap, yang pada gilirannya akan menimpa bagian memori yang mengarah ke melewati keamanan aplikasi, memungkinkan lebih lanjut kontrol seluruh perangkat dan data didalamnya.