Trojan Duqu yang berhasil mensabotase fasilitas nuklir milik Iran
ditulis dalam bahasa pemrogaman yang tidak dikenal. Hal ini ditemukan
oleh para ahli anti-malware Kaspersky Lab dalam sebuah penelitan. Duqu merupakan trojan canggih yang diciptakan oleh orang yang sama yang membuat Stuxnet. Malware ini memiliki tujuan sebagai backdoor sebuah sistem dan memfasilitasi pencurian data rahasia.
Misteri terbesar Duqu Trojan yang belum terpecahkan adalah bagaimana program ini berkomunikasi dengan server Command and Control (C&C) saat berhasil menginfeksi korban. Modul Duqu yang berperan untuk berinteraksi dengan C&C adalah bagian dari Payload DLL Duqu. Setelah analisis komprehensif atas Payload DLL, peneliti Kaspersky Lab menemukan ada bagian khusus di dalam Payload DLL, yang khusus berkomunikasi dengan C&C, ditulis dalam bahasa pemrograman yang tak dikenal. Peneliti Kaspersky Lab menamakan bagian yang tak dikenal ini sebagai “Duqu Framework”. Tidak seperti Duqu lainnya, Duqu Framework tidak ditulis dengan C++ dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft. Kemungkinan pembuatnya menggunakan framework in-house untuk menghasilkan intermediary C code, atau menggunakan bahasa pemrograman yang sama sekali berbeda.
Namun, peneliti Kaspersky Lab telah menyatakan bahwa bahasa tersebut adalah object-oriented dan melakukan sejumlah kegiatan yang sesuai dengan aplikasi network. Bahasa Framework Duqu sangat spesial dan memungkinkan Payload DLL untuk beroperasi secara independen dengan modul Duqu lainnya dan menghubungkannya dengan C&C melalui beberapa jalur seperti Windows HTTP, network sockets dan proxy server.
Ia juga memungkinkan Payload DLL memproses permintaan server HTTP langsung dari C&C, secara diam-diam memindahkan duplikat informasi yang dicuri dari perangkat yang terinfeksi ke C&C, bahkan bisa mendistribusikan payload berbahaya lain ke dalam perangkat lain dalam jaringan, dan menciptakan bentuk terkontrol dan laten yang menyebarkan infeksi ke komputer lain.
“Melihat besarnya Duqu project, mungkin yang membuat framework Duqu adalah tim tersendiri yang berbeda dari grup yang menciptakan driver dan yang menulis sistem infeksi yang dieksploitasi,” ujar Alexander Gostev, Chief Security Expert Kaspersky Lab.
“Melihat tingginya tingkat kustomisasi dan ekslusivitas pada bahasa pemrograman yang diciptakan, sangat mungkin program ini diciptakan tidak hanya untuk mencegah pihak luar mengetahui operasi mata-mata cyber ini dan interaksinya dengan C&C, namun juga untuk membedakannya dari kelompok internal Duqu lainnya yang bertanggungjawab menulis bagian lain dari program ini.”
Menurut Alexander Gostev, pembuatan bahasa pemrograman tersendiri menunjukkan betapa tingginya kemampuan para pengembang program dalam mengerjakan proyek ini, dan menunjukkan kemampuan sumber daya keuangan dan SDM yang dimobilisasi untuk memastikan proyek ini berjalan.
Para ahli Kaspersky mencatat korban terbesar berada di Iran. Duqu umumnya mencari informasi mengenai sistem manajemen produksi di berbagai sektor industri, juga informasi mengenai hubungan dagang antara beberapa perusahaan di Iran.
Kaspersky Lab mengajak komunitas programer atau siapapun yang mengenali framework, toolkit atau bahasa pemrograman tak dikenal Duqu Trojan untuk menghubungi stopduqu@kaspersky.com. Duqu ditemukan pertama kali pada September 2011. Namun menurut Kaspersky Lab, jejak Duqu sudah terlacak sejak Agustus 2007
Sumber: Kompas.com
Tidak ada komentar:
Posting Komentar