Kaspersky Lab Ungkap Aksi Mata-mata Cyber Flame
Jumat, 28 September 2012, 21:33 WIB
Laman Kaspersky Lab
Kaspersky Lab, menemukan kegiatan mata-mata cyber Flame yang dibiayai suatu negara tertentu.
Dalam penelitian Kaspersky bersama badan keamanan cyber International Telecommunication Union (ITU), IMPACT, CERT-Bund/BSI, dan Symantec, diteliti secara detail beberapa server Command and Control (C&C) yang digunakan oleh pembuat Flame.
Hasil analisis atas server C&C itu menemukan fakta baru yang mencengangkan tentang Flame. Salah satunya adalah adanya jejak tiga program berbahaya yang belum ditemukan, dan bahwa pengembangan platform Flame sudah dimulai sejak 2006, kata Kaspeersky Lab dalam siaran pers, Kamis.
Temuan-temuan utama dari penelitian ini antara lain bahwa server C&C disamarkan agar terlihat mirip *Content Management System* biasa untuk menyembunyikan sifat asli proyek ini dari provider hosting atau investigasi acak.
Server itu mampu menerima data dari mesin atau komputer yang terinfeksi menggunakan empat protokol berbeda; hanya satu dari empat protokol ini yang melayani komputer yang diserang oleh Flame.
Keberadaan tiga protokol lainnya yang tidak digunakan oleh Flame membuktikan bahwa setidaknya ada tiga program jahat lainnya yang terkait dengan Flame; sifat atau perilaku mereka sampai saat ini belum diketahui.
Salah satu dari obyek berbahaya yang terkait dengan Flame itu saat ini masih menyebar ‘di luar sana’. Dan, ada tanda-tanda bahwa platform C&C masih dalam pengembangan; satu skema komunikasi yang bernama “Red Protocol” terlihat disebutkan tetapi belum diimplementasikan.
Tidak ada tanda bahwa C&C Flame digunakan untuk mengontrol malware terkenal lainnya seperti Stuxnet atau Gauss, meskipun ada "link" di antara pengembangnya.
Kegiatan mata-mata cyber Flame pertamakali ditemukan pada Mei 2012 oleh Kaspersky Lab saat melakukan investigasi yang digagas oleh International Communication Union.
Menindaklanjuti penemuannya, ITU-IMPACT bergerak cepat mengeluarkan peringatan ke 144 negara anggotanya berikut prosedur perbaikan dan pembersihan yang tepat.
Kompleksitas kode dan konfirmasi adanya hubungan atau *link* ke pengembang Stuxnet mengindikasikan bahwa Flame merupakan salah satu contoh kegiatan cyber canggih yang disponsori oleh suatu negara.
Awalnya Flame diperkirakan mulai beroperasi pada 2010 namun analisis awal terhadap infrastruktur C&C Flame (mencakup setidaknya 80 nama domain yang diketahui) menyatakan Flame mulai beroperasi dua tahun sebelumnya.
Temuan dalam investigasi ini didasarkan pada analisis atas konten yang diambil dari beberapa server C&C yang digunakan oleh Flame. Informasi ini berhasil didapatkan meskipun infrastruktur kontrol Flame langsung *offline* begitu Kaspersky menyebutkan keberadaan malware ini.
Seluruh servernya beroperasi menggunakan *operating system* Debian versi 64-bit, divirtualisasi menggunakan kontainer OpenVZ. Hampir seluruh kode dalam server ini ditulis menggunakan bahasa pemrograman PHP.
Pembuat Flame menggunakan ukuran tertentu untuk membuat server C&C terlihat seperti *Content Management System* biasa untuk menghindari kecurigaan provider hosting.
Mereka juga menggunakan metode enkripsi canggih sehingga tidak ada ada orang lain, kecuali pembuatnya, yang bisa mengambil data yang diunggah dari komputer yang terinfeksi.
Analisis atas skrip yang digunakan untuk menangani transmisi data ke para korban mengungkapkan adanya empat protokol komunikasi, dan hanya satu yang kompatibel dengan Flame.
Ini berarti bahwa setidaknya ada tiga jenis malware lain yang menggunakan server C&C ini. Ada cukup bukti untuk memperlihatkan bahwa setidaknya satu malware yang terkait dengan Flame masih beroperasi ‘di luar sana’ atau belum ditemukan.
“Kami belum bisa mengestimasi jumlah data yang dicuri oleh Flame, meskipun kami telah menganalisis server C&C-nya. Pembuat Flame sangat lihai dalam menutupi jejak mereka. Namun satu kesalahan dari para pembuat Flame membantu kami menemukan data lebih yaitu bahwa satu server dimaksudkan untuk disimpan.
Berdasarkan hal ini, kami melihat lebih dari lima gigabyte data diunggah ke server tertentu dalam satu minggu, dari lebih dari 5 ribu komputer yang terinfeksi. Ini jelas merupakan contoh kegiatan mata-mata cyber yang dilakukan dalam skala besar,” ujar Alexander Gostev, Chief Security Expert, Kaspersky Lab.
Sumber: Republika
0 komentar:
Posting Komentar