Perusahaan keamanan siber Rusia Kaspersky mengatakan bahwa peretas yang bekerja untuk pemerintah menargetkan beberapa lusin iPhone karyawan dengan malware yang tidak diketahui.

Pada hari Kamis, Kaspersky mengumumkan dugaan serangan siber dan menerbitkan laporan teknis yang menganalisisnya, di mana perusahaan mengakui analisisnya belum selesai. Perusahaan mengatakan bahwa para peretas, yang pada saat ini tidak diketahui, mengirimkan malware dengan eksploitasi tanpa klik melalui lampiran iMessage, dan bahwa semua peristiwa terjadi dalam jangka waktu satu hingga tiga menit.

Juru bicara Kaspersky Sawyer Van Horn mengatakan dalam email ke TechCrunch bahwa perusahaan menetapkan bahwa salah satu kerentanan yang digunakan dalam operasi diketahui dan diperbaiki oleh Apple pada Desember 2022, tetapi mungkin telah dieksploitasi sebelum ditambal, bersama dengan kerentanan lainnya. “Meskipun tidak ada indikasi yang jelas, kerentanan yang sama telah dieksploitasi sebelumnya, tetapi sangat mungkin terjadi,” kata juru bicara itu.

Peneliti Kaspersky mengatakan bahwa mereka menemukan serangan tersebut ketika mereka melihat “aktivitas mencurigakan yang berasal dari beberapa ponsel berbasis iOS,” saat memantau jaringan Wi-Fi perusahaan mereka sendiri. Van Horn mengatakan serangan siber ditemukan “pada awal tahun ini.”

Perusahaan menyebut dugaan peretasan ini terhadap karyawannya sendiri “Operasi Triangulasi” dan membuat logo untuk itu.

Peneliti Kaspersky mengatakan mereka membuat cadangan offline dari iPhone yang ditargetkan dan memeriksanya dengan alat yang dikembangkan oleh Amnesty International yang disebut Perangkat Verifikasi Seluler, atau MVT, yang memungkinkan mereka menemukan “jejak kompromi”. Para peneliti tidak mengatakan kapan mereka menemukan serangan itu, dan mengatakan bahwa mereka menemukan jejaknya sejauh 2019 dan bahwa “serangan sedang berlangsung, dan versi terbaru dari perangkat yang berhasil ditargetkan adalah iOS 15.7.”

Sementara malware dirancang untuk membersihkan perangkat yang terinfeksi dan menghapus jejaknya sendiri, “adalah mungkin untuk mengidentifikasi dengan andal jika perangkat itu disusupi,” tulis para peneliti.

Dalam laporan tersebut, para peneliti menjelaskan langkah demi langkah bagaimana mereka menganalisis perangkat yang disusupi, menguraikan bagaimana orang lain dapat melakukan hal yang sama. Namun, mereka tidak memasukkan banyak detail dari apa yang mereka temukan menggunakan proses ini.

Para peneliti mengatakan bahwa keberadaan “garis penggunaan data yang menyebutkan proses bernama ‘BackupAgent’,” adalah tanda yang paling dapat diandalkan bahwa iPhone diretas, dan salah satu tanda lainnya adalah bahwa iPhone yang dikompromikan tidak dapat menginstal pembaruan iOS.

“Kami mengamati upaya pembaruan untuk diakhiri dengan pesan kesalahan ‘Pembaruan Perangkat Lunak Gagal. Terjadi kesalahan saat mengunduh iOS,’” tulis para peneliti.

Perusahaan juga menerbitkan serangkaian URL yang digunakan dalam operasi tersebut, termasuk beberapa dengan nama seperti Cangkir Teh Tak Terbatas dan Kelinci Cadangan.

Tim Tanggap Darurat Komputer Rusia (CERT), sebuah organisasi pemerintah yang berbagi informasi tentang serangan dunia maya, menerbitkan penasehat tentang serangan dunia maya, bersama dengan domain yang sama yang disebutkan oleh Kaspersky.

Dalam pernyataan terpisah, Dinas Keamanan Federal Rusia (FSB) menuduh intelijen AS — menyebut NSA secara khusus — meretas “ribuan” ponsel Apple dengan tujuan memata-matai diplomat Rusia, menurut terjemahan online. FSB juga menuduh Apple bekerja sama dengan intelijen Amerika. FSB tidak memberikan bukti atas klaimnya.

NSA tidak segera menanggapi permintaan komentar.

Deskripsi FSB tentang serangan tersebut menggemakan apa yang ditulis Kaspersky dalam laporannya, tetapi tidak jelas apakah kedua operasi tersebut terhubung.

“Meskipun kami tidak memiliki detail teknis tentang apa yang telah dilaporkan oleh FSB sejauh ini, Pusat Koordinasi Nasional Rusia untuk Insiden Komputer (NCCCI) telah menyatakan dalam peringatan publik bahwa indikator kompromi adalah sama,” Van Horn dikatakan.

Juga, perusahaan menolak untuk mengaitkan operasi tersebut dengan pemerintah atau kelompok peretas mana pun, dengan mengatakan “Kaspersky tidak melakukan atribusi politik.”

“Kami tidak memiliki detail teknis tentang apa yang telah dilaporkan oleh FSB sejauh ini, sehingga kami juga tidak dapat melakukan atribusi teknis. Dilihat dari karakteristik serangan siber, kami tidak dapat menghubungkan kampanye spionase siber ini dengan aktor ancaman yang ada,” tulis Van Horn.

Juru bicara itu juga mengatakan bahwa perusahaan menghubungi Apple pada Kamis pagi, “sebelum mengirimkan laporan ke CERT nasional.”

Pendiri perusahaan, Eugene Kaspersky, menulis di Twitter bahwa mereka “cukup yakin bahwa Kaspersky bukanlah target utama serangan siber ini,” sambil menjanjikan “lebih banyak kejelasan dan detail lebih lanjut” dalam beberapa hari mendatang.

Ini bukan pertama kalinya peretas menargetkan Kaspersky. Pada 2015, perusahaan mengumumkan bahwa grup peretas negara-bangsa, menggunakan malware yang diyakini dikembangkan oleh mata-mata Israel, telah meretas jaringannya.

Diperbarui dengan detail tambahan dari Kaspersky dan menyertakan pernyataan Apple.

Koreksi tanggal di paragraf kedua dan paragraf kedua puluh.

Apakah Anda memiliki informasi lebih lanjut tentang serangan siber ini? Kami akan senang mendengar dari Anda. Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Wickr, Telegram dan Wire @lorenzofb, atau email lorenzo@techcrunch.com. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.