Penemuan malware Flame pada Mei 2012 mengungkap senjata cyber paling kompleks saat ini. Pada saat ditemukan, tidak ada bukti kuat bahwa Flame dikembangkan oleh tim yang sama yang membuat Stuxnet dan Duqu. Pendekatan yang dilakukan untuk mengembangkan Flame tidak sama dengan Stuxnet/Duqu, hingga disimpulkan bahwa proyek ini dibuat oleh tim yang berbeda.
Namun, riset mendalam berikut, yang dilakukan oleh para pakar Kaspersky Lab, tim-tim ini (Flame dan Stuxnet/Duqu) nyatanya bekerjasama setidaknya satu kali yaitu saat pengembangan awal Flame.
· Kaspersky Lab menemukan modul dari Stuxnet versi 2009 yang dikenal sebagai “Resource 207”, menjadi plugin Flame.
· Ini artinya saat worm Stuxnet diciptakan awal tahun 2009, platform Flame sudah ada, dan bahwa di tahun 2009 itu, kode sumber (source code) dari setidaknya satu modul Flame digunakan di Stuxnet.
· Modul ini digunakan untuk menyebarkan infeksi via USB. Kode mekanisme penginfeksian melalui USB pada Flame sama dengan Stuxnet.
· Modul Flame di Stuxnet juga mengeksploitasi kerentanan yang pada saat itu tidak diketahui dan memungkinkan eskalasi kebebasan menginfeksi, kemungkinan MS09-025.
· Lalu, modul plugin Flame dihilangkan dari Stuxnet pada 2010 dan diganti dengan beberapa modul berbeda yang memanfaatkan kerentanan baru.
· Mulai 2010, dua tim pengembang ini bekerja secara independen, dengan satu-satunya kerjasama yang dicurigai terjadi adalah dalam hal pertukaran pengetahuan mengenai kerentanan “zero-day”
Stuxnet adalah senjata cyber pertama yang menyasar fasilitas industri. Kenyataan bahwa Stuxnet juga menginfeksi PC biasa di seluruh dunia akhirnya membuatnya ditemukan pada Juni 2010, meskipun versi awal yang diketahui dari program jahat ini diciptakan setahun sebelumnya. Senjata cyber berikutnya, yaitu Duqu, ditemukan September 2011. Tidak seperti Stuxnet, tugas utama Trojan Duqu adalah sebagai backdoor dari sistem yang terinfeksi dan mencuri informasi pribadi (mata-mata cyber).
Pada saat menganalisa Duqu, ada kesamaan yang besar dengan Stuxnet, yang mengungkap bahwa keduanya diciptakan menggunakan platform serangan yang sama yang dikenal sebagai “Tilded Platform”. Nama tilded berasal dari preferensi pengembang malware tersebut untuk nama-nama file dengan form “~d*.*”, maka muncul nama “Tilde-d”.
Malware Flame, ditemukan Mei 2012 melalui penyelidikan yang digagas oleh International Communications Union (ITU) dan dilakukan oleh Kaspersky Lab, awalnya terlihat sangat berbeda. Beberapa fitur, seperti ukuran program, penggunaan bahasa pemrograman LUA dan fungsionalitas yang beragam, semuanya mengindikasikan bahwa Flame tidak terkait dengan pencipta Duqu atau Stuxnet.
Namun, fakta baru yang muncul mengubah sejarah Stuxnet dan membuktikan dengan jelas bahwa platform “Tilded” memang terkait dengan platform Flame.
Temuan Baru
Versi terawal yang diketahu dari Stuxnet, diciptakan sekitar Juni 2009, berisi modul spesial bernama “Resource 207”. Pada Stuxnet versi 2010 modul ini dihilangkan. Modul “Resource 207” adalah file DLL terenkripsi dan berisi executable file berukuran 351,768 bit dengan nama “atmpsvcn.ocx”. File ini, yang terungkap dari hasil penyelidikan Kaspersky Lab, memiliki banyak kesamaan dengan kode yang digunakan pada Flame. Kesamaan yang terlihat mencolok termasuk nama obyek eksklusif mutual, algoritma yang digunakan untuk mendekripsi string, dan pendekatan yang sama untuk penamaan file.
Selain itu, sebagian besar bagian kode pada modul Stuxnet dan Flame sepertinya sama, yang menuju pada kesimpulan bahwa pertukaran antara tim Flame dan tim Stuxnet/Duqu dilakukan dalam bentuk source code (tidak dalam bentuk biner). Fungsi utama modul “Resource 207” Stuxnet adalah mendistribusikan infeksi dari satu mesin ke yang lainnya, menggunakan USB drive dan mengeksploitasi kerentanan di kernel Windows untuk semakin mendapat kebebasan pada sistem. Kode yang bertanggung jawab untuk mendistribusikan malware Stuxnet menggunakan USB drive benar-benar sama dengan yang digunakan pada Flame.
Alexander Gostev, Chief Security Expert, Kaspersky Lab, mengatakan, “Terlepas dari fakta yang baru ditemukan, kami yakin Flame dan Tilded merupakan platform yang berbeda, yang digunakan untuk mengembangkan berbagai senjata cyber. Masing-masing memiliki arsitektur berbeda dengan trik sendiri-sendiri yang digunakan untuk menginfeksi sistem dan menjalankan tugas primer. Kedua proyek ini memang berbeda dan independen. Namun, temuan baru yang mengungkap bagaimana kedua tim berbagai source code dari setidaknya satu modul pada awal pengembangan program membuktikan mereka bekerjasama setidaknya satu kali. Apa yang kami temukan adalah bukti kuat bahwa senjata cyber Stuxnet/Duqu dan Flame saling terkait.”
0 Comments