Serangan Survei Komersial Manfaatkan Kerentanan Jaringan Telekomunikasi Global

Serangan Menggunakan Alat Survei Komersial

Dua kampanye surveilans komersial yang tidak diketahui identitasnya memanfaatkan kerentanan jaringan telekomunikasi untuk melacak target. Menurut peneliti dari Citizen Lab Universitas Toronto, serangan ini merupakan pertama kalinya lalu lintas serangan dunia nyata dikaitkan dengan infrastruktur sinyal operator seluler.

Para penyerang menyamar sebagai operator seluler menggunakan alat surveilans khusus. Mereka memanipulasi protokol sinyal dan mengarahkan lalu lintas melalui jalur jaringan untuk menyembunyikan aktivitas jahat. Temuan ini dipublikasikan dalam laporan yang dirilis pada Kamis (12/9).

"Temuan kami menyoroti masalah sistemik dalam telekomunikasi global: infrastruktur operator yang dirancang untuk konektivitas internasional dimanfaatkan untuk mendukung operasi surveilans rahasia yang sulit dipantau, diatribusi, dan diatur," demikian bunyi laporan tersebut.

"Meskipun telah dilaporkan berulang kali, aktivitas ini terus berlanjut tanpa hambatan dan tanpa konsekuensi," tulis Gary Miller dan Swantje Lange dari Citizen Lab.

Kerentanan Infrastruktur Telekomunikasi

Para penyerang memanfaatkan identifikasi dan infrastruktur yang terkait dengan operator di berbagai negara, termasuk jaringan di Kamboja, China, Jersey, Israel, Italia, Lesotho, Liechtenstein, Maroko, Mozambik, Namibia, Polandia, Rwanda, Swedia, Swiss, Thailand, Uganda, dan Inggris.

Mereka menggunakan protokol SS7 dan Diameter—protokol sinyal yang digunakan dalam jaringan 3G serta sebagian besar 4G dan 5G. Meskipun Diameter dirancang lebih aman daripada SS7, FCC pada 2024 membuka investigasi terhadap kerentanannya, termasuk SS7. Senator AS Ron Wyden juga meminta laporan dari CISA mengenai kerentanan protokol telekomunikasi ini.

Kesulitan Mengidentifikasi Pelaku

Peneliti Citizen Lab tidak dapat mengidentifikasi vendor atau pihak di balik kedua kampanye surveilans tersebut. Ron Deibert, Direktur Citizen Lab, menyebut para pelaku sebagai "operator hantu" dalam ekosistem telekomunikasi global.

"Banyak vendor surveilans dan aktor jahat beroperasi di ruang ini, tetapi karena sifat protokol sinyal telekomunikasi yang tidak transparan, mereka dapat beroperasi tanpa mengungkap identitas asli mereka," tulis Deibert dalam buletinnya.

"Banyak aktivitas jahat mereka menyatu dengan arus normal miliaran pesan dan sinyal roaming. Mereka adalah 'operator hantu' dalam ekosistem telekomunikasi global."

Respons Operator Telekomunikasi

Laporan Citizen Lab juga menyebutkan beberapa operator yang dikaitkan dengan serangan, seperti 019 Mobile asal Israel. Operator tersebut membantah keterlibatannya dan menyatakan tidak mengenali hostname yang disebutkan dalam laporan.

Operator lain, Sure, menyatakan tidak menyewakan akses sinyal kepada organisasi yang menggunakan layanan untuk melacak individu. Sure juga telah mengambil langkah pencegahan untuk mencegah penyalahgunaan.

Sementara itu, operator ketiga, Tango Networks UK, tidak memberikan tanggapan atas permintaan komentar dari CyberScoop.

Laporan Citizen Lab menekankan bahwa alamat sinyal operator yang terlihat dalam serangan tidak serta-merta menunjukkan keterlibatan langsung operator.