Penjebol iPhone Buatan Pemerintah Kini Dipakai Bobol Dompet Kripto

by

Penjebol iPhone Buatan Pemerintah Kini Dipakai Bobol Dompet Kripto

Perkembangan teknologi keamanan digital sering kali berjalan beriringan dengan kemajuan teknik peretasan. Ketika perusahaan teknologi meningkatkan sistem perlindungan perangkat, para peretas juga terus mencari celah baru untuk menembusnya. Hal inilah yang terlihat dalam kasus terbaru yang melibatkan sebuah framework eksploitasi iOS bernama Coruna.

Framework ini awalnya diduga dikembangkan untuk kebutuhan operasi pengawasan pemerintah. Namun dalam perkembangan terbaru, alat tersebut justru muncul dalam berbagai kampanye kejahatan siber yang menargetkan pengguna iPhone biasa. Tujuan serangan tidak lagi terbatas pada aktivitas intelijen, tetapi telah bergeser menjadi pencurian data dan pembobolan dompet kripto.

Temuan mengenai aktivitas berbahaya ini diungkap oleh tim peneliti keamanan dari Google Threat Intelligence Group bersama perusahaan keamanan perangkat mobile iVerify. Analisis teknis mereka menunjukkan bahwa Coruna merupakan alat eksploitasi yang sangat kompleks dan mampu menembus berbagai lapisan keamanan sistem operasi iOS.

Kasus ini kembali mengingatkan bahwa bahkan perangkat dengan reputasi keamanan tinggi seperti iPhone tetap memiliki potensi kerentanan jika ditemukan teknik eksploitasi yang cukup canggih.

Awal Mula Framework Coruna

Coruna merupakan sebuah framework eksploitasi iOS yang dirancang untuk memanfaatkan berbagai celah keamanan dalam sistem operasi Apple. Dalam laporan teknis yang dirilis oleh para peneliti keamanan, Coruna diketahui memiliki kemampuan untuk menjalankan beberapa rantai eksploitasi yang berbeda.

Secara keseluruhan, framework ini disebut memiliki lima rantai eksploitasi lengkap yang memanfaatkan sekitar 23 kerentanan keamanan pada sistem iOS. Rantai eksploitasi tersebut memungkinkan penyerang untuk secara bertahap meningkatkan hak akses di dalam sistem hingga mencapai level tertinggi.

Kemampuan tersebut membuat Coruna menjadi alat yang sangat berbahaya karena mampu menembus berbagai mekanisme perlindungan yang dirancang Apple untuk menjaga keamanan perangkat.

Para peneliti menduga bahwa framework ini awalnya dikembangkan untuk digunakan dalam operasi pengawasan digital oleh lembaga pemerintah atau badan intelijen. Hal ini terlihat dari tingkat kompleksitas kode serta teknik eksploitasi yang sangat canggih.

Namun seperti banyak teknologi siber lainnya, alat ini tampaknya tidak lagi berada di tangan pihak yang sama seperti saat pertama kali dibuat.

Cara Kerja Serangan Coruna

Serangan menggunakan Coruna biasanya dimulai dari halaman web yang telah dimodifikasi secara khusus. Dalam skenario ini, situs web berbahaya berfungsi sebagai pintu masuk awal bagi malware.

Target utama eksploitasi adalah mesin browser WebKit yang digunakan oleh Apple dalam Safari dan berbagai aplikasi berbasis web di iOS.

Ketika korban mengunjungi halaman yang telah disusupi kode berbahaya, skrip JavaScript akan dijalankan secara otomatis. Skrip ini bertugas mengidentifikasi informasi penting tentang perangkat korban, seperti model iPhone dan versi sistem operasi yang digunakan.

Setelah mengetahui detail perangkat, sistem eksploitasi kemudian memilih rantai serangan yang paling sesuai untuk menembus perlindungan keamanan iOS.

Rantai eksploitasi tersebut bekerja secara bertahap. Awalnya, kode berbahaya memperoleh akses terbatas di tingkat aplikasi. Kemudian, melalui serangkaian kerentanan tambahan, akses tersebut ditingkatkan hingga mencapai level kernel, yaitu tingkat kontrol tertinggi dalam sistem operasi.

Pada tahap akhir, penyerang dapat memasang komponen loader dengan hak akses root. Dengan akses ini, penyerang memiliki kontrol hampir penuh terhadap perangkat korban.

Baca juga : 8 Teknologi yang Ternyata Berasal dari Indonesia

Dari Operasi Intelijen ke Kejahatan Siber

Menariknya, jejak penggunaan Coruna pertama kali ditemukan dalam konteks operasi pengawasan digital.

Peneliti keamanan dari Google menemukan fragmen kode framework ini pada Februari tahun lalu dalam aktivitas yang berkaitan dengan klien perusahaan penyedia teknologi surveillance.

Beberapa bulan kemudian, tepatnya pada bulan Juli, versi yang lebih lengkap dari framework tersebut kembali ditemukan dalam operasi spionase yang diduga berkaitan dengan kelompok intelijen Rusia.

Dalam kampanye tersebut, eksploitasi disisipkan ke dalam widget penghitung pengunjung yang ditempatkan di sejumlah situs web Ukraina. Teknik ini memungkinkan penyerang menargetkan korban tertentu berdasarkan lokasi geografis mereka.

Namun seiring berjalannya waktu, penggunaan Coruna tidak lagi terbatas pada operasi intelijen negara. Framework ini mulai muncul dalam berbagai kampanye kejahatan siber berskala besar.

Target Baru: Dompet Kripto

Perubahan paling mencolok adalah ketika Coruna mulai digunakan untuk membobol dompet kripto milik pengguna iPhone.

Dalam beberapa kampanye terbaru, eksploitasi ditemukan di berbagai situs yang berkaitan dengan perdagangan kripto dan perjudian online yang menggunakan bahasa Mandarin.

Setelah perangkat berhasil disusupi, malware dapat mengakses berbagai informasi sensitif, termasuk data aplikasi keuangan dan dompet digital.

Tujuan utama serangan ini adalah menguras aset kripto korban, yang sering kali tidak dapat dilacak kembali setelah dicuri.

Menurut analisis iVerify, sekitar 42.000 perangkat iPhone diperkirakan terinfeksi dalam salah satu kampanye kriminal tersebut. Angka ini diperoleh dari pemantauan koneksi perangkat yang terhubung dengan server command-and-control milik penyerang.

Hubungan dengan Operasi Triangulation

Dalam analisis kode yang lebih mendalam, para peneliti juga menemukan kemiripan antara Coruna dengan sebuah operasi spionase terkenal bernama Triangulation.

Operasi tersebut terungkap pada tahun 2023 dan sempat menjadi perhatian komunitas keamanan siber global.

Beberapa otoritas Rusia pada saat itu mengklaim bahwa operasi Triangulation berkaitan dengan Badan Keamanan Nasional Amerika Serikat (NSA). Namun hingga kini pemerintah Amerika Serikat tidak pernah memberikan konfirmasi resmi mengenai tuduhan tersebut.

Kesamaan struktur kode antara Coruna dan operasi tersebut menimbulkan spekulasi bahwa framework ini mungkin berasal dari lingkungan pengembangan yang sama atau memiliki hubungan teknis tertentu.

Namun tanpa bukti yang jelas, asal-usul sebenarnya dari Coruna masih menjadi misteri.

Dugaan Perpindahan Melalui Pasar Zero-Day

Para peneliti dari iVerify juga menemukan fakta menarik mengenai struktur kode Coruna.

Framework utama terlihat sangat rapi, kompleks, dan terorganisir dengan baik. Hal ini menunjukkan bahwa alat tersebut kemungkinan dikembangkan oleh tim yang memiliki sumber daya besar dan keahlian tinggi.

Sebaliknya, modul yang digunakan untuk mencuri kripto tampak jauh lebih sederhana dan kurang terstruktur.

Perbedaan kualitas ini memunculkan dugaan bahwa framework eksploitasi tersebut kemungkinan telah berpindah tangan dari pengembang awalnya.

Salah satu kemungkinan adalah melalui pasar broker zero-day, yaitu pasar gelap tempat kerentanan perangkat lunak dijual kepada berbagai pihak.

Di pasar ini, celah keamanan bernilai tinggi dapat dibeli oleh lembaga intelijen, perusahaan keamanan, hingga kelompok kejahatan siber.

Jika benar demikian, Coruna mungkin telah berpindah dari tangan aktor negara ke tangan kelompok kriminal yang memanfaatkannya untuk tujuan finansial.

Respons Apple dan Ancaman di Masa Depan

Apple diketahui telah menambal sejumlah celah keamanan yang dimanfaatkan oleh Coruna dalam pembaruan iOS terbaru.

Namun para peneliti keamanan memperingatkan bahwa teknik dasar yang digunakan framework ini dapat dengan mudah diadaptasi untuk mengeksploitasi bug baru di masa depan.

Hal ini berarti meskipun versi spesifik dari eksploitasi tersebut telah diperbaiki, konsep serangannya masih berpotensi digunakan kembali oleh berbagai pihak.

Karena itu, pengguna iPhone tetap disarankan untuk selalu memperbarui sistem operasi perangkat mereka ke versi terbaru agar terlindungi dari kerentanan yang telah diketahui.

Selain itu, menghindari mengunjungi situs web yang mencurigakan juga menjadi langkah penting untuk mengurangi risiko infeksi.

Kesimpulan

Kasus Coruna menunjukkan bagaimana alat siber canggih yang awalnya dibuat untuk operasi intelijen dapat berakhir di tangan pelaku kejahatan.

Framework eksploitasi ini memiliki kemampuan luar biasa untuk menembus keamanan iOS melalui serangkaian kerentanan kompleks. Ketika teknologi tersebut digunakan oleh kelompok kriminal, dampaknya dapat sangat merugikan pengguna biasa.

Perubahan target dari operasi pengawasan menjadi pencurian kripto juga menggambarkan bagaimana ekosistem kejahatan siber terus berkembang mengikuti tren teknologi.

Dengan semakin banyaknya aset digital seperti cryptocurrency, perangkat pribadi seperti smartphone kini menjadi target utama para peretas.

Kasus ini sekaligus menjadi pengingat bahwa keamanan digital bukan hanya tanggung jawab perusahaan teknologi, tetapi juga pengguna. Memperbarui sistem operasi secara rutin, berhati-hati saat menjelajah internet, serta menjaga keamanan akun digital menjadi langkah penting untuk menghindari ancaman siber yang semakin kompleks.