NSA menyamar sebagai Facebook untuk menginfeksi jutaan komputer

Sebagai bagian dari upayanya untuk memasang malware di “jutaan” komputer di seluruh dunia, Badan Keamanan Nasional menyamar sebagai Facebook untuk mengelabui target agar mengunduh kode berbahaya.

“Dalam beberapa kasus, NSA menyamar sebagai server Facebook palsu dan menggunakan situs media sosial tersebut sebagai landasan peluncuran untuk menginfeksi komputer target dan mengambil file dari hard drive,” lapor Intercept dalam wahyu terbarunya berdasarkan dokumen rahasia yang diperoleh Edward Snowden.

“(NSA) mengirimkan email spam yang berisi malware, yang dapat dimodifikasi untuk merekam audio secara diam-diam dari mikrofon komputer dan mengambil gambar dengan webcamnya. Sistem peretasan juga memungkinkan NSA melancarkan serangan dunia maya dengan merusak dan mengganggu pengunduhan file atau menolak akses ke situs web.”

Dijuluki QUANTUMHAND oleh NSA, trik Facebook ini awalnya diuji pada “sekitar selusin target” sebelum diluncurkan pada skala yang lebih besar pada tahun 2010, menurut dokumen tersebut.

Apa yang dimulai sebagai cara untuk mencapai target “yang menyentuh hati” — sekitar 100 hingga 150 di antaranya, pada tahun 2004 — upaya distribusi malware NSA telah menyebar ke jutaan komputer di seluruh dunia dengan menggunakan ‘ sistem otomatis yang dikenal secara internal. sebagai TURBIN. Dokumen menunjukkan bahwa penggunaan TURBINE memberikan anggota unit Tailored Access Operations (TAO) NSA kemampuan untuk mengeksploitasi atau menghancurkan komputer dalam skala besar.

Berikut cara Ryan Gallagher dan Glenn Greenwald dari The Intercept mendeskripsikan beberapa malware khusus yang berbeda yang disebarkan NSA pada mesin yang ditargetkan:

Satu implan, dengan nama kode UNITEDRAKE, dapat digunakan dengan berbagai “plug-in” yang memungkinkan lembaga tersebut mendapatkan kendali penuh atas komputer yang terinfeksi.

Misalnya, plugin implan yang disebut CAPTIVATEDAUDIENCE digunakan untuk mengambil alih mikrofon komputer target dan merekam percakapan yang terjadi di dekat perangkat. Lainnya, GUMFISH, diam-diam dapat mengambil alih webcam komputer dan mengambil gambar. FOGGYBOTTOM mencatat log riwayat penelusuran Internet dan mengumpulkan detail login dan kata sandi yang digunakan untuk mengakses situs web dan akun email. GROK digunakan untuk merekam penekanan tombol. Dan SALVAGERABBIT mengekstrak data dari flash drive yang dapat dilepas yang terhubung ke komputer yang terinfeksi.

Dokumen tersebut juga menunjukkan bahwa beberapa virus ini menonaktifkan kemampuan target untuk menggunakan perangkat lunak enkripsi untuk menutupi aktivitas Internet atau mengirim email secara pribadi. Upaya ini dan malware lainnya merupakan bagian dari apa yang dokumen NSA sebut sebagai program “Memiliki Internet”.