Candiru Spyware, Mata-mata Produksi Israel yang Menyasar Masyarakat Sipil

Salah satu media alternatif Indonesia, Indoprogress.com, disebut menjadi target serangan spyware buatan Israel. Perusahaan rahasia bernama Candiru menjual perangkat lunak untuk memata-matai ini pada kalangan pemerintah.

Demikian temuan lembaga riset Citizen Lab yang dipublikasikan pada 15 Juli 2021. Citizen Lab adalah laboratorium interdisipliner yang berbasis di Munk School of Global Affairs & Public Policy, University of Toronto. Citizen Lab telah merilis hasil investigasi adanya spyware yang dikembangkan perusahaan rahasia berbasis di Israel bernama Candiru. Perusahaan ini disebut membuat mesin spyware yang dijual khusus pada kalangan pemerintah. Spyware ini bisa menginfeksi dan memonitor iPhone, Android, Macbook, PC dan akun Cloud yang menggunakan sistem operasi Windows.

Hasil pemindaian oleh Citizen Lab menunjukan ada lebih dari 750 website yang memiliki infrastuktur spyware Candiru. Mereka menyamar atau menyerupai domain milik grup advokasi seperti Amnesty International, gerakan Black Lives Matter, serta media dan NGO.

Kategori domain yang ditiru (impersonasi) itu meliputi media-media terkemuka internasional, organisasi advokasi, kelompok gender, perusahaan teknologi, media sosial, situs populer, organisasi internasional, dan lembaga pemerintah. Sejumlah nama penting yang dibuat tiruan situs webnya tersebut termasuk CNN, Google, Apple, PBB, Wikipedia, dan kontraktor pertahanan Turki.

Ada juga kemungkinan penargetan khusus untuk negara tertentu, salah satunya adalah Indonesia. Situs web yang ditiru adalah indoprogress[.]co yang memiliki domain resmi indoprogress[.]com. Media ini menyajikan analisis-analisis mendalam bertema kiri progresif.

Selain Indonesia, negara lain yang kemungkinan menjadi target dengan penargetan berbasis penyamaran domain khusus negara tertentu adalah Russia, Czechia, Armenia, Iran, Turkey, Cyprus, Austria, Palestine, Saudi Arabia, dan Slovenia.

Citizen Lab menggarisbawahi bahwa meskipun ada kemungkinan penargetan terhadap negara tertentu, tetapi belum tentu negara itu sebagai operator sendiri.

Meskipun demikian, berhubung bahwa spyware ini dijual khusus pada pemerintah, Citizen Lab melaporkan bahwa ada kemungkinan beberapa instansi dari negara tertentu sudah membeli spyware ini. Misalnya Uzbekistan, Saudi Arabia, Uni Emirat Arab, Singapura, dan Qatar.

Salah satu korban dari spyware Candiru terdeteksi di Eropa Barat, dimana ia menginfeksi Windows. Citizen Lab kemudian bekerjasama dengan Microsoft Threat Intelligence Center (MSTIC) untuk menganalisis spayware tersebut. Mereka menemukan dua kerentanan Windows yaitu CVE-2021-31979 dan CVE-2021-33771 yang dieksploitasi oleh Spyware Candiru.

Namun, Microsoft sudah menambal kerentanan tersebut per 13 Juli 2021.

Sampai laporan Citizen Lab ini dirilis per 15 Juli 2021, Microsoft mengamati setidaknya sudah ada 100 korban yang terinfeksi spyware ini di Palestina, Israel, Iran, Lebanon, Yaman, Spanyol, Inggris, Turki, Armenia, dan Singapura. Korban termasuk pembela hak asasi manusia yang tidak setuju dengan pemerintah, jurnalis, aktivis, dan politisi.

Supriyono, anggota SAFEnet, pengamat dan praktisi di bidang keamanan digital.