Sebuah perusahaan pengawas swasta yang teduh menjual akses ke hampir setengah lusin kelemahan keamanan yang kuat di Chrome dan Android tahun lalu kepada peretas yang berafiliasi dengan pemerintah, Google mengungkapkan Senin.
Cytroxsebuah perusahaan rahasia yang berbasis di Makedonia Utara, diduga menjual akses ke empat kelemahan keamanan zero-day di browser Chrome, serta satu di sistem operasi Android. Klien mereka adalah “aktor ancaman” yang terhubung dengan pemerintah di berbagai negara asing yang menggunakan eksploitasi untuk melakukan kampanye peretasan dengan spyware “Predator” Cytrox yang invasif. Cytrox menjual akses ke kelemahan keamanan yang membutuhkan spyware mereka untuk dieksploitasi. Anda dapat menemukan daftar lengkap kerentanan di blog google.
“Kami menilai dengan keyakinan tinggi bahwa eksploitasi ini dikemas oleh satu perusahaan pengawasan komersial, Cytrox, dan dijual ke beberapa aktor yang didukung pemerintah yang menggunakannya setidaknya dalam tiga kampanye yang dibahas di bawah ini,” jelas peneliti Analisis Ancaman. Group (TAG) dari Google di posting blog.
Cytrox juga dikatakan telah memberi pelanggannya akses ke sejumlah kerentanan “n-days”, yang sudah memiliki tambalan yang dikeluarkan untuk mereka. Dalam kasus ini, mungkin pengguna yang ditargetkan belum memperbarui perangkat atau aplikasi mereka.
Peretas yang membeli layanan dan spyware Cytrox berada di seluruh dunia: Yunani, Serbia, Mesir, Armenia, Spanyol, Indonesia, Madagaskar, dan Pantai Gading, tulis para peneliti. Tim TAG Google juga menulis tentang tren baru yang mengganggu: Sebagian besar kerentanan zero-day yang mereka temukan tahun lalu sengaja “dikembangkan” oleh perusahaan pengawasan swasta seperti Cytrox.
G/O Media mungkin mendapat komisi
“Tujuh dari sembilan TAG yang ditemukan pada tahun 2021 termasuk dalam kategori ini: dikembangkan oleh vendor komersial dan dijual serta digunakan oleh aktor yang didukung pemerintah,” tulis para peneliti. “TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah.”
Skandal peretasan yang terkait dengan industri pengawasan swasta telah menimbulkan banyak kontroversi dalam beberapa tahun terakhir. Secara khusus, perusahaan spyware terkenal Grup NSO telah dituduh menjual alat intrusi digital canggihnya kepada pemerintah di seluruh dunia, termasuk Amerika Serikat.
