Penjabaran lebih detail mengenai proses deteksi Pegasus
Berikut ini adalah penjabaran lebih detail mengenai proses deteksi Pegasus berdasarkan data kasus nyata yang telah diselidiki oleh Citizen Lab, Amnesty International, dan dokumen hukum dari gugatan WhatsApp dan Apple:
A. Ciri-ciri Umum Infeksi Pegasus
Ciri-ciri berikut muncul dalam berbagai investigasi, terutama pada perangkat iPhone, sebagai gejala dari aktivitas spyware tingkat lanjut:
1. Baterai cepat habis
Pegasus terus-menerus mengakses sensor perangkat, seperti GPS, kamera, dan mikrofon, serta mengirim data ke server NSO sehingga mempercepat pengurasan baterai.
Aktivis Meksiko melaporkan penurunan drastis daya tahan baterai pada hari yang sama saat terjadi pembobolan melalui exploit FINDMYPWN.
2. Perangkat menjadi panas tanpa sebab
Aktivitas latar belakang dari spyware memicu peningkatan suhu CPU meski tidak ada aplikasi terbuka.
Jurnalis di Maroko melaporkan iPhone yang panas meski tidak sedang digunakan, ternyata pada saat itu Pegasus sedang aktif.
3. Aktivitas internet tinggi tanpa penggunaan
Pegasus mengirim data sensitif ke server C&C (Command and Control) milik operator.
Log dari korban Pegasus di Bahrain menunjukkan lonjakan data upload walaupun tidak sedang online.
4. Notifikasi dari Apple
Apple mengirim peringatan ke pengguna yang diyakini menjadi target spyware bersponsor negara.
Pada akhir 2021 dan 2022, Apple mengirim peringatan kepada aktivis di Thailand dan El Salvador yang menjadi target Pegasus.
B. Deteksi Dini dan Aplikasi Pendukung
Beberapa alat dan metode telah dikembangkan dan digunakan dalam berbagai penyelidikan untuk mendeteksi keberadaan Pegasus di perangkat:
Mobile Verification Toolkit (MVT) oleh Amnesty International
Melakukan analisis forensik file log dan backup perangkat iOS dan Android.
Digunakan dalam proyek Pegasus Project untuk mendeteksi ratusan korban dengan pola eksploitasi tertentu. MVT mencari artefak, crash log, dan domain NSO.
iMazing
Backup lengkap data iPhone, termasuk crash log dan profil konfigurasi.
Banyak peneliti menggunakan iMazing untuk mengambil salinan log dan sistem file sebelum dianalisis oleh MVT.
Notifikasi Apple
Memberikan peringatan langsung ke akun iCloud pengguna jika perangkat terindikasi disusupi spyware.
Apple memberikan peringatan kepada aktivis Serbia (BIRN) dan pembela HAM Meksiko setelah mereka teridentifikasi sebagai target.
Pemeriksaan log crash
Melihat pola crash pada proses sistem yang sering diserang Pegasus.
Pegasus versi PWNYOURHOME menyebabkan crash pada homed dan MessagesBlastDoorService—informasi ini diperoleh melalui forensik log.
C. Petunjuk Khas Pegasus (Forensik Teknis)
Laporan Citizen Lab dan Apple mengungkap jejak digital khas yang dapat dijadikan bukti kuat infeksi Pegasus:
1. Crash pada proses homed dan MessagesBlastDoorService
Pegasus versi PWNYOURHOME memanfaatkan bug di HomeKit dan iMessage. Hal ini menyebabkan proses homed crash saat decoding NSKeyedUnArchiver dan MessagesBlastDoorService crash saat membaca metadata gambar PNG.
Dua aktivis di Meksiko (Centro PRODH) mengalami crash log serupa pada waktu yang berdekatan dengan kampanye Pegasus di 2022.
2. Email asing terdaftar di HomeKit
PWNYOURHOME mengeksploitasi HomeKit dengan menambahkan akun email palsu ke sistem Home meski pengguna tidak pernah menggunakan fitur ini.
Log menunjukkan email [REDACTED]@gmail.com ditambahkan ke HomeKit 8 menit sebelum Pegasus aktif.
3. Koneksi ke domain NSO
Pegasus berkomunikasi dengan server C&C yang menggunakan domain tiruan seperti operator telekomunikasi atau situs berita palsu.
Amnesty dan Citizen Lab memverifikasi domain Pegasus seperti politicoportales[.]org, animal-politico[.]com, dan shia-voice[.]com. DNS Cache Probing mengungkap domain tersebut diakses oleh perangkat target.
Last updated