>>
you're reading...
Internet, News, Software

Kaspersky Ungkap Tiga Program Berbahaya Terkait Flame

Kaspersky Lab mengumumkan hasil penelitian terbaru yang berhubungan dengan ditemukannya kegiatan mata-mata cyber Flame yang dibiayai suatu negara tertentu. Pada saat melakukan penelitian ini, Kaspersky Lab yang bekerjasama dengan badan keamanan cyber International Telecommunication Union (ITU), IMPACT, CERT-Bund/BSI dan Symantec, meneliti secara detail beberapa server Command and Control (C&C) yang digunakan oleh pembuat Flame.

Hasil analisis atas server C&C ini menemukan fakta baru yang mencengangkan tentang Flame. Salah satunya adalah adanya jejak tiga program berbahaya yang belum ditemukan, dan bahwa pengembangan platform Flame sudah dimulai sejak 2006.

Temuan-temuan utama dari penelitian ini antara lain:

  • Pengembangan platform C&C Flame telah dimulai sejak Desember 2006.
  • Server C&C disamarkan agar terlihat mirip Content Management System biasa dan untuk menyembunyikan sifat asli proyek ini dari provider hosting atau investigasi acak.
  • Server ini mampu menerima data dari mesin atau komputer yang terinfeksi menggunakan empat protokol berbeda; hanya satu dari empat protokol ini yang melayani komputer yang diserang oleh Flame.
  • Keberadaan tiga protokol lainnya yang tidak digunakan oleh Flame membuktikan bahwa setidaknya ada tiga program jahat lainnya yang terkait dengan Flame; sifat atau perilaku mereka sampai saat ini belum diketahui.
  • Salah satu dari obyek berbahaya yang terkait dengan Flame ini saat ini masih menyebar ‘di luar sana’.
  • Ada tanda-tanda bahwa platform C&C masih dalam pengembangan; satu skema komunikasi yang bernama “Red Protocol” terlihat disebutkan tetapi belum diimplementasikan.
  • Tidak ada tanda bahwa C&C Flame digunakan untuk mengontrol malware terkenal lainnya seperti Stuxnet atau Gauss.

Kegiatan mata-mata cyber Flame pertamakali ditemukan pada Mei 2012 oleh Kaspersky Lab saat melakukan investigasi yang digagas oleh International Communication Union. Menindaklanjuti penemuan ini, ITU-IMPACT bergerak cepat mengeluarkan peringatan ke 144 negara anggotanya berikut prosedur perbaikan dan pembersihan yang tepat.

Kompleksitas kode ini dan konfirmasi adanya hubungan atau link ke pengembang Stuxnet mengindikasikan bahwa Flame merupakan salah satu contoh kegiatan cyber canggih yang disponsori oleh suatu negara. Awalnya Flame diperkirakan mulai beroperasi pada tahun 2010 namun analisis awal terhadap infrastruktur C&C Flame (mencakup setidaknya 80 nama domain yang diketahui) menyatakan Flame mulai beroperasi dua tahun sebelumnya.

Temuan dalam investigasi ini didasarkan pada analisis atas konten yang diambil dari beberapa server C&C yang digunakan oleh Flame. Informasi ini berhasil didapatkan meskipun infrastruktur kontrol Flame langsung offline begitu Kaspersky menyebutkan keberadaan malware ini. Seluruh servernya beroperasi menggunakan operating system Debian versi 64-bit, divirtualisasi menggunakan kontainer OpenVZ. Hampir seluruh kode dalam server ini ditulis menggunakan bahasa pemrograman PHP. Pembuat Flame menggunakan ukuran tertentu untuk membuat server C&C terlihat seperti Content Management System biasa untuk menghindari kecurigaan provider hosting.

Mereka juga menggunakan metode enkripsi canggih sehingga tidak ada ada orang lain, kecuali pembuatnya, yang bisa mengambil data yang diunggah dari komputer yang terinfeksi. Analisis atas skrip yang digunakan untuk menangani transmisi data ke para korban mengungkapkan adanya empat protokol komunikasi, dan hanya satu yang kompatibel dengan Flame. Ini berarti bahwa setidaknya ada tiga jenis malware lain yang menggunakan server C&C ini. Ada cukup bukti untuk memperlihatkan bahwa setidaknya satu malware yang terkait dengan Flame masih beroperasi ‘di luar sana’ atau belum ditemukan. Program-program berbahaya ini belum ditemukan.

Hasil penting lain dari analisis yang dilakukan adalah bahwa pengembangan platform C&C Flame telah dimulai sejak Desember 2006. Ada tanda-tanda bahwa paltform ini masih dalam proses pengembangan, karena ada protokol baru bernama “Red Protocol”, yang meski belum diimplementasikan  namun ada di server C&C Flame. Modifikasi terbaru terhadap kode server dilakukan oleh salah satu programmer-nya pada 18 Mei, 2012.

“Kami belum bisa mengestimasi jumlah data yang dicuri oleh Flame, meskipun kami telah menganalisis server C&C-nya. Pembuat Flame sangat lihai dalam menutupi jejak mereka. Namun satu kesalahan dari para pembuat Flame membantu kami menemukan data lebih yaitu bahwa satu server dimaksudkan untuk disimpan. Berdasarkan hal ini, kami melihat lebih dari lima gigabyte data diunggah ke server tertentu dalam satu minggu, dari lebih dari 5 ribu komputer yang terinfeksi. Ini jelas merupakan contoh kegiatan mata-mata cyber yang dilakukan dalam skala besar,” ujar Alexander Gostev, Chief Security Expert, Kaspersky Lab.

Sumber : Chip

About Gootekno

Write to share, to increase knowledge and friendship

Discussion

No comments yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: