Dua kampanye pengawasan komunikasi canggih terungkap lewat investigasi

 (techcrunch.com)
1 poin oleh GN⁺ 6 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Dua kampanye pengawasan berbeda yang melacak data lokasi ponsel dengan mengeksploitasi kerentanan yang sudah lama dikenal di jaringan telepon global telah teridentifikasi
  • Vendor pengawasan memperoleh hak akses jaringan dengan menyamar sebagai operator seluler legal dalam bentuk perusahaan bayangan, lalu melacak target menggunakan SS7 dan Diameter
  • Kedua kampanye sama-sama memanfaatkan hak akses terkait 019Mobile, Tango Networks U.K., dan Airtel Jersey sebagai titik transit, bergerak dengan bersembunyi di balik infrastruktur operator
  • Kampanye pertama beralih ke Diameter jika serangan SS7 gagal, sedangkan kampanye kedua berkomunikasi langsung dengan kartu SIM lewat SMS khusus yang tidak meninggalkan jejak, membuat ponsel berfungsi seperti alat pelacak lokasi
  • Ribuan serangan telah diamati selama beberapa tahun, dan investigasi kali ini hanya mengungkap sebagian dari jutaan serangan di seluruh dunia, menunjukkan bahwa penyalahgunaan infrastruktur telekomunikasi masih sangat luas

Gambaran investigasi

  • Laporan Citizen Lab menelusuri dua kampanye pengawasan berbeda yang melacak lokasi ponsel orang dengan mengeksploitasi kerentanan yang sudah lama dikenal pada infrastruktur telekomunikasi global
  • Vendor pengawasan beroperasi dalam bentuk perusahaan bayangan yang menyamar sebagai operator seluler legal, lalu menggunakan hak akses jaringan yang mereka peroleh untuk meminta data lokasi target
  • Temuan ini menunjukkan bahwa eksploitasi kerentanan mendasar masih terus berlanjut di berbagai teknologi yang menopang jaringan telepon global
  • Meski cakupan investigasi berfokus pada dua kasus, para peneliti melihatnya sebagai cuplikan kecil dari penyalahgunaan yang lebih luas oleh vendor pengawasan yang memburu akses ke jaringan telepon global

Penyalahgunaan SS7 dan Diameter

  • SS7 adalah kumpulan protokol untuk jaringan 2G dan 3G, yang sejak lama menjadi fondasi penghubung jaringan seluler di seluruh dunia serta perutean panggilan dan pesan teks pelanggan
    • Dalam laporan sebelumnya, sudah ada peringatan berulang bahwa pemerintah dan perusahaan teknologi pengawasan dapat memakai kelemahan SS7 untuk mengetahui lokasi geografis ponsel seseorang
    • SS7 tidak memerlukan autentikasi maupun enkripsi, sehingga masih memberi celah untuk disalahgunakan oleh operator yang tidak semestinya
  • Diameter dirancang untuk komunikasi 4G dan 5G, dan merupakan protokol penerus yang mencakup fitur keamanan yang tidak ada di SS7
    • Citizen Lab menyoroti bahwa Diameter juga bisa disalahgunakan karena operator tidak selalu menerapkan perlindungan baru tersebut
    • Dalam beberapa kasus, penyerang bahkan kembali mengeksploitasi protokol SS7 lama

Operator yang dipakai sebagai titik masuk bersama

  • Kedua kampanye pengawasan sama-sama menyalahgunakan hak akses milik tiga operator telekomunikasi tertentu, yang berulang kali berfungsi sebagai titik masuk dan titik transit pengawasan di dalam ekosistem telekomunikasi
  • Berkat hak akses ini, vendor pengawasan dan pelanggan pemerintah di belakang mereka dapat beroperasi sambil bersembunyi di balik infrastruktur operator tersebut
  • Menurut laporan, operator pertama adalah operator Israel 019Mobile, yang diketahui digunakan dalam berbagai upaya pengawasan
  • Tango Networks U.K. juga dimanfaatkan dalam aktivitas pengawasan selama beberapa tahun
  • Operator ketiga adalah Airtel Jersey di Channel Island of Jersey, yang kini dimiliki oleh Sure

Tanggapan para operator

  • Sure menyatakan bahwa mereka tidak secara langsung maupun dengan sepengetahuan mereka menyewakan akses ke jaringan pensinyalan kepada organisasi yang bertujuan melacak lokasi individu atau menyadap isi komunikasi
  • Sure mengakui bahwa layanan digital dapat disalahgunakan, dan menyatakan telah menerapkan sejumlah langkah perlindungan, termasuk pemantauan dan pemblokiran lalu lintas pensinyalan yang tidak semestinya
  • Sure juga mengatakan bahwa jika ada bukti atau laporan valid terkait penyalahgunaan jaringan, layanan akan segera dihentikan, lalu setelah investigasi akan diterminasi permanen bila terbukti ada aktivitas berbahaya atau tidak pantas
  • Tango Networks dan 019Mobile tidak menanggapi permintaan komentar dari TechCrunch
  • Dalam surat kepada Citizen Lab, kepala IT dan keamanan 019Mobile, Gil Nagar, mengatakan bahwa ia tidak dapat memastikan apakah infrastruktur yang disebut Citizen Lab digunakan oleh vendor pengawasan memang dimiliki perusahaannya

Kampanye pengawasan pertama

  • Vendor pengawasan pertama memungkinkan kampanye pengawasan terhadap berbagai target berbeda di seluruh dunia selama beberapa tahun, dengan memanfaatkan infrastruktur milik sejumlah operator seluler sekaligus
  • Berdasarkan pola ini, para peneliti menilai bahwa ada pelanggan pemerintah yang berbeda-beda di balik kampanye-kampanye tersebut
  • Dalam proses investigasi, ditemukan indikasi operasi yang disengaja, didanai dengan baik, dan terintegrasi sangat dalam ke ekosistem pensinyalan seluler
  • Peneliti yang terlibat mengatakan beberapa petunjuk mengarah ke perusahaan geo-intelligence komersial berbasis Israel dengan kemampuan telekomunikasi tingkat lanjut, tetapi nama perusahaannya tidak diungkap
    • Perusahaan Israel yang menyediakan layanan serupa dan ikut disebut antara lain Circles, Cognyte, dan Rayzone
  • Kampanye ini mula-mula mencoba mengeksploitasi kelemahan SS7, lalu beralih ke eksploitasi Diameter jika gagal

Kampanye pengawasan kedua

  • Kampanye pengawasan kedua memakai metode yang berbeda dari kampanye pertama, dan berada di baliknya adalah vendor pengawasan lain yang namanya tidak diungkap Citizen Lab
  • Vendor ini menargetkan satu target tingkat tinggi tertentu dengan mengirim bentuk khusus pesan SMS
  • Pesan ini dirancang untuk berkomunikasi langsung dengan kartu SIM target tanpa meninggalkan jejak bagi pengguna
    • Dalam kondisi normal, operator memakai mekanisme ini untuk mengirim perintah yang tidak berbahaya ke SIM pelanggan agar perangkat tetap terhubung ke jaringan
    • Dalam kasus ini, vendor pengawasan mengirim perintah yang pada dasarnya mengubah ponsel target menjadi alat pelacak lokasi
  • Jenis serangan ini diberi nama SIMjacker oleh perusahaan keamanan seluler Enea pada 2019

Skala serangan dan sulitnya deteksi

  • Peneliti yang ikut dalam investigasi mengatakan bahwa mereka telah mengamati ribuan serangan seperti ini selama beberapa tahun, dan menilainya sebagai bentuk penyalahgunaan yang cukup umum tetapi sulit dideteksi
  • Namun, serangan keluarga SIMjacker kali ini tampak memiliki pola penargetan geografis, sehingga pelakunya kemungkinan mengetahui negara dan jaringan mana yang lebih rentan
  • Para peneliti menilai dua kampanye ini hanya sebagian sangat kecil dari keseluruhan
    • Hasil ini berasal dari penyelidikan yang hanya berfokus pada dua kampanye pengawasan di antara jutaan serangan di seluruh dunia

Bacaan terkait

1 komentar

 
GN⁺ 6 hari lalu
Komentar Hacker News

  • Dulu saat mengikuti pelatihan dispatcher 911, kalau pencarian lokasi tidak bisa dilakukan lewat info otomatis e911, kami harus menulis surat pernyataan keadaan darurat ke operator seluler, mengirimkannya lewat faks, lalu menunggu berjam-jam sampai tinjauan legal selesai
    Kalau salah menilai, kami bahkan bisa dibawa ke pengadilan, jadi prosedurnya sangat ketat, dan kalau itu dianggap sebagai harga privasi, ya masih bisa dimengerti
    Tapi perusahaan-perusahaan seperti ini mengambil lokasi kapan saja demi keuntungan dengan memanfaatkan celah seperti SS7, dan itu benar-benar terdengar gila

    • Prosedur surat pernyataan + faks + persetujuan legal yang kamu sebut justru menurutku adalah struktur yang benar
      Gesekan seperti itu seharusnya bukan bug, melainkan fitur
      Masalahnya, perusahaan-perusahaan ini melewati seluruh prosedur itu dengan cara seperti operator hantu SS7, dan ini bukan cuma kegagalan kebijakan, tapi juga kegagalan arsitektur
      Ekosistem telekomunikasi sejak awal tidak dirancang dengan asumsi bahwa peserta jaringan yang "normal" bisa saja bersifat bermusuhan
    • Kalau harus menunggu berjam-jam, orangnya mungkin sudah meninggal, jadi prosedur seperti itu juga terdengar terlalu tidak berguna
    • Kalau alur tulisan ini mulai mengangkat kritik terhadap kerakusan, reaksinya di sini rasanya sudah cukup bisa ditebak
    • Ini juga tidak semata-mata karena motif laba; dari artikelnya sendiri, ini tampak lebih seperti ada perusahaan mencurigakan yang menyalahgunakan protokol rentan
      Mirip dengan fakta bahwa keberadaan penyedia Bulletproof hosting untuk spammer tidak otomatis berarti semuanya bisa disalahkan pada "kerakusan yang dinormalisasi"

  • Salah satu kebohongan terbesar soal negara pengawas adalah keyakinan bahwa semua itu akan dijalankan secara profesional
    Pegawai NSA pun pernah mengintip perempuan yang mereka sukai memakai aset pengawasan bernilai miliaran dolar, sampai-sampai itu disebut LOVEINT
    https://www.nbcnews.com/news/world/loveint-nsa-letter-discloses-employee-eavesdropping-girlfriends-spouses-flna8C11271620
    https://www.yahoo.com/news/nsa-staff-used-spy-tools-spouses-ex-lovers-193227203.html
    Ada juga kasus antara 1998 sampai 2003 ketika mereka menyelidiki nomor telepon 9 perempuan asing dan komunikasi 1 warga AS
    Dalam sejarah, manusia belum pernah benar-benar mengalami pengawasan total seperti ini, jadi kita bahkan belum bisa membayangkan dampaknya dengan tepat, dan kalau ditambah LLM, situasinya jadi lebih parah
    Kalau kita gagal mempertahankan batas yang sangat tegas soal privasi, rasanya kita akan masuk ke dunia tempat tak terhitung banyaknya neraka yang dipersonalisasi tumbuh di atas infrastruktur pengawasan negara dan korporasi

    • Kalau di dalam pemerintah sendiri tidak ada orang yang bisa diberi laporan, lalu harus bagaimana?
      Laporan seperti itu bisa dengan mudah dikubur
    • Pasar gelap di masa depan rasanya akan penuh dengan peralatan komunikasi pribadi ilegal untuk merebut kembali privasi
      Sepertinya pasti sudah ada fiksi ilmiah dengan latar seperti ini di suatu tempat
    • Pengawasan teknologi seperti ini seharusnya langsung dilarang lewat hukum
      Sekalipun ada sedikit tambahan manfaat keamanan, biayanya dalam bentuk pelanggaran privasi dan efek samping tak terduga jauh lebih besar
    • Menurutku kita sudah hidup di dunia seperti itu
      Diskusi di sini cenderung berpusat pada AS, tapi sebagian besar orang di dunia mengalami kenyataan yang jauh lebih keras
      Permintaan bantuan sering disebarkan mati-matian lewat WhatsApp, sambil berharap ada orang yang dikenal di dalam platform itu
      Jika menjadi korban penyebaran gambar intim tanpa persetujuan, terutama di masyarakat yang lebih konservatif, hidup seseorang bisa praktis hancur
      Penipuan seperti Pig butchering jelas merupakan kejahatan terang-terangan, dan melihat betapa sulitnya memulihkan akun atau sekadar tersambung ke agen manusia, aku jadi merasa nilai platform tech itu pada akhirnya dimungkinkan karena mereka tidak benar-benar menanggung biaya dukungan yang mereka ciptakan sendiri

  • Seseorang yang aku kenal pernah dilacak oleh mantan pacar penguntit yang bekerja di operator seluler
    Dia tampaknya bisa mencari SIM berdasarkan nama dan terus mengetahui lokasinya, jadi bahkan setelah ganti SIM baru dan memakai ponsel baru pun sangat sulit untuk menghindarinya
    Kalau kejadian seperti ini dilaporkan ke polisi, sering kali justru dianggap terdengar tidak rasional lalu diabaikan

    • Di operator seluler, kasus pegawai yang diam-diam mengakses informasi orang lain memang cukup dikenal
      Katanya, baru setelah ada pengaduan bahwa seseorang telah melihat dataku, mereka akan mengecek dan menanganinya
      Dulu aku pernah bertanya kepada seseorang di bidang keamanan/investigasi, bukankah semua log tercatat sehingga akses di luar pekerjaan bisa dengan mudah dideteksi, lalu dia bilang kalau begitu mereka harus memecat lebih dari setengah pegawai
      Katanya mereka terus melihat PII selebritas, teman, musuh, siapa pun, dan itu hampir dianggap sebagai tunjangan tidak resmi; ini cerita tentang operator besar di AS sekitar tahun 2010
    • Setidaknya di Australia, tindakan seperti itu adalah kejahatan, jadi layak untuk dilaporkan
      Kalau buktinya cukup, polisi bisa menyelidiki dan bahkan menuntut
    • Operator seluler mencurigakan di negara miskin kadang juga menjual data SS7 kalau dibayar sedikit, dan dari situ semua informasi lokasi yang dibutuhkan bisa didapat
    • Kalau orang itu punya akses ke basis data pemetaan lintang-bujur dan SIM, maka walaupun kamu memakai ponsel baru, dia tetap bisa menemukan SIM barumu lagi melalui titik-titik yang pola lokasinya tumpang tindih dengan SIM lama
      Kecuali saat ganti ke ponsel baru kamu sekaligus pindah rumah, dan benar-benar tidak pernah membawa ponsel baru ke tempat-tempat sepi yang dulu pernah kamu datangi dengan ponsel lama, rasanya hampir mustahil untuk menghindarinya
    • Karena itu aku membawa ponsel tanpa SIM dan selalu membiarkannya dalam mode pesawat
      SIM-nya kutaruh di feature phone di rumah dan hanya dinyalakan saat perlu; memang tidak sempurna, tapi jauh lebih baik daripada pelacakan lewat jaringan seluler

  • Di Rusia, hal seperti ini nyaris sehari-hari
    Pemerintah melacak orang lewat operator seluler, dan data itu kadang bocor sehingga bisa dibeli di pasar gelap dengan bayaran yang tidak terlalu besar
    Belakangan pemerintah juga berusaha menghentikan kebocoran itu, tapi tidak jelas seberapa berhasil, dan salah satu alasannya adalah karena data tersebut sering dipakai oleh jurnalis oposisi atau penyelidik untuk mengusut tindakan mencurigakan rezim
    Informasi ini juga dikorelasikan dengan berbagai basis data lain seperti operator lain, SIM lain, hotspot Wi‑Fi, kamera jalan, dan sebagainya, sehingga pada praktiknya hampir mustahil menghindari pelacakan
    Pada akhirnya ini juga tampak punya peluang besar untuk menyebar menjadi standar global

    • Benar bahwa pemerintah melacak orang lewat operator seluler, tapi basis data pasar gelap itu kemungkinan besar palsu
    • Hal seperti ini bukan cuma terjadi di Rusia, tapi juga mirip di Inggris, Israel, dan Australia
    • Sekarang aku jadi merasa sebaiknya memang mulai meninggalkan ponsel di rumah saja
    • Mengalihkannya menjadi cerita soal Rusia agak terdengar seperti pengalihan isu
      Topik artikelnya adalah Inggris, dan di sana perusahaan telekomunikasi serta pengawasan bergerak asal Israel juga tampaknya menjadi elemen inti

  • Hanya dari petunjuk yang muncul dalam investigasi itu saja, kemungkinan besar dalangnya adalah perusahaan geo-intelligence komersial berbasis Israel
    Perusahaan seperti Circles, Cognyte, dan Rayzone langsung terlintas

  • Aku penasaran kenapa negara-negara seperti ini begitu kuat dalam keamanan, peretasan, pengawasan, dan 0-day

    • Kalau tujuannya adalah mengguncang dan mengendalikan negara lain secara diam-diam, teknologi seperti itu memang sangat berguna
    • Karena di sekelilingnya ada banyak negara yang memusuhinya, cukup wajar jika badan intelijen dan industri spionase berkembang sangat kuat
      Tapi melihat pembantaian yang terjadi sekarang, aku jadi memandang industri itu dengan cara yang sama sekali berbeda
    • Menurutku ini hasil dari gabungan dukungan negara dan sistem berbagi intelijen dengan AS
      Di poros yang lebih besar ada juga AMDOCS, yang menjalankan sistem billing operator global, dan itu berarti pada praktiknya bisa memberi akses ke hampir semua aktivitas billing
      Menurutku UE perlu membereskan struktur seperti ini
    • Karena mereka menjalankan sistem pengawasan skala besar, pada akhirnya target tingkat individu pun jadi mungkin, sampai ke hal-hal seperti pager yang meledak
      Ini tampak seperti salah satu sisi dari perang panjang yang melibatkan Iran, Israel, dan Hezbollah

  • Di negara tempat aku tinggal, mungkin sekitar 95% orang tidak terlalu peduli kalau Meta melacak lokasi mereka lewat WhatsApp, jadi rasanya minat publik soal ini sudah lama hilang
    Aku sendiri pengecualian karena sangat mementingkan privasi, dan sekitar 2010 aku sempat mencoba Facebook dan WhatsApp lalu segera menghapusnya
    Aku tidak ingin profil digital untuk para pengiklan dibangun berdasarkan diriku, dan aku juga tidak ingin memberikan informasi pribadi ke Google
    Yang lebih mengkhawatirkan bagiku, perusahaan pengawasan mungkin justru jauh lebih mudah membeli data lokasi dari Meta atau Google dibanding mengumpulkan data yang terpecah-pecah di tiap ISP

    • Aku penasaran apakah benar ada dasar untuk mengatakan 95% memang tidak peduli
      Android dan iOS mengelola izin lokasi secara terpisah dan juga meninggalkan jejak penggunaan, jadi pelacakan tanpa persetujuan kemungkinan akan menjadi bencana publisitas besar jika ketahuan
    • Kalau teman atau keluarga yang tidak terlalu paham teknologi bertanya, salah satu saran pertama yang selalu kuberikan adalah mematikan akses lokasi di latar belakang untuk semua aplikasi
      Tapi bahkan di antara orang yang paham teknologi pun banyak yang tidak terlalu memedulikannya

  • Bahkan kalau ponselmu disetel agar hanya memakai 5G, lokasi tetap bisa bocor
    Karena seluruh jaringan seluler masih mempertahankan kompatibilitas berbasis SS7 dari 2G/3G, jalur itu tetap ada saat seseorang mencoba terhubung ke kamu lewat jaringan lama
    Karena itu serangan penurunan protokol juga dimungkinkan
    Kalau ingin tetap memakai jaringan seluler sambil mengisolasi diri, satu-satunya cara adalah memakai SIM khusus data, lalu menangani panggilan dan pesan hanya lewat aplikasi internet dengan keamanan end-to-end, sehingga nomor telepon pada dasarnya ditinggalkan
    Kontrasnya jelas: jaringan seluler berevolusi sebagai taman dalam pagar yang dipercaya dan sangat mementingkan kompatibilitas ke belakang, sedangkan internet berevolusi untuk lingkungan yang tidak dipercaya dan keamanan end-to-end

    • Sangat menarik, aku penasaran apakah ada bacaan lanjutan yang layak direkomendasikan

  • SS7 benar-benar terlihat seperti contoh klasik masalah yang sudah diketahui tapi tidak pernah diperbaiki
    Industri telekomunikasi sudah tahu selama puluhan tahun bahwa ini rusak, tapi praktis tidak punya insentif untuk memperbaikinya
    Bahkan saat disalahgunakan pun operator tidak menanggung tanggung jawab, serangannya hampir tidak terlihat oleh pengguna akhir, dan untuk benar-benar keluar dari SS7 dibutuhkan koordinasi global antar ratusan operator, jadi akhirnya tidak ada apa-apa yang terjadi
    Ini lebih mendekati kegagalan koordinasi tanpa daya paksa ketimbang kegagalan teknis
    Diameter seharusnya menjadi solusi, tapi melihat operator bahkan tidak menerapkan fitur keamanannya dengan benar, inti masalahnya tampaknya bukan ketiadaan protokol yang lebih baik, melainkan struktur di mana tidak ada pihak yang perlu benar-benar peduli

  • Saat membuka laporan Citizen Lab, yang muncul justru 404
    https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/