Trojan Nuklir "Duqu" Diprogram dengan Bahasa Misterius
Trojan Duqu yang berhasil mensabotase fasilitas
nuklir milik Iran ditulis dalam bahasa pemrogaman yang tidak dikenal. Hal ini
ditemukan oleh para ahli anti-malware Kaspersky Lab dalam sebuah penelitan.
Duqu merupakan trojan canggih yang diciptakan oleh orang
yang sama yang membuat Stuxnet. Malware ini memiliki tujuan sebagai backdoor
sebuah sistem dan memfasilitasi pencurian data rahasia.
Misteri terbesar Duqu Trojan yang belum terpecahkan adalah
bagaimana program ini berkomunikasi dengan server Command and Control (C&C)
saat berhasil menginfeksi korban.
Modul Duqu yang berperan untuk berinteraksi dengan C&C
adalah bagian dari Payload DLL Duqu. Setelah analisis komprehensif atas Payload
DLL, peneliti Kaspersky Lab menemukan ada bagian khusus di dalam Payload DLL,
yang khusus berkomunikasi dengan C&C, ditulis dalam bahasa pemrograman yang
tak dikenal.
Peneliti Kaspersky Lab menamakan bagian yang tak dikenal ini
sebagai “Duqu Framework”.
Tidak seperti Duqu lainnya, Duqu Framework tidak ditulis
dengan C++ dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft.
Kemungkinan pembuatnya menggunakan framework in-house untuk
menghasilkan intermediary C code, atau menggunakan bahasa pemrograman yang sama
sekali berbeda.
Namun, peneliti Kaspersky Lab telah menyatakan bahwa bahasa
tersebut adalah object-oriented dan melakukan sejumlah kegiatan yang sesuai
dengan aplikasi network.
Bahasa Framework Duqu sangat spesial dan memungkinkan
Payload DLL untuk beroperasi secara independen dengan modul Duqu lainnya dan
menghubungkannya dengan C&C melalui beberapa jalur seperti Windows HTTP,
network sockets dan proxy server.
Ia juga memungkinkan Payload DLL memproses permintaan server
HTTP langsung dari C&C, secara diam-diam memindahkan duplikat informasi
yang dicuri dari perangkat yang terinfeksi ke C&C, bahkan bisa mendistribusikan
payload berbahaya lain ke dalam perangkat lain dalam jaringan, dan menciptakan bentuk terkontrol
dan laten yang menyebarkan infeksi ke komputer lain.
“Melihat besarnya Duqu project, mungkin yang membuat
framework Duqu adalah tim tersendiri yang berbeda dari grup yang menciptakan
driver dan yang menulis sistem infeksi yang dieksploitasi,” ujar Alexander
Gostev, Chief Security Expert Kaspersky Lab.
“Melihat tingginya tingkat kustomisasi dan ekslusivitas pada
bahasa pemrograman yang diciptakan, sangat mungkin program ini diciptakan tidak
hanya untuk mencegah pihak luar mengetahui operasi mata-mata cyber ini dan
interaksinya dengan C&C, namun juga untuk membedakannya dari kelompok
internal Duqu lainnya yang bertanggungjawab menulis bagian lain dari program
ini.”
Menurut Alexander Gostev, pembuatan bahasa pemrograman
tersendiri menunjukkan betapa tingginya kemampuan para pengembang program dalam
mengerjakan proyek ini, dan menunjukkan kemampuan sumber daya keuangan dan SDM
yang dimobilisasi untuk memastikan proyek ini berjalan.
Para ahli Kaspersky mencatat korban terbesar berada di Iran.
Duqu umumnya mencari informasi mengenai sistem manajemen produksi di berbagai
sektor industri, juga informasi mengenai hubungan dagang antara beberapa
perusahaan di Iran.
Kaspersky Lab mengajak komunitas programer atau siapapun
yang mengenali framework, toolkit atau bahasa pemrograman tak dikenal Duqu
Trojan untuk menghubungi stopduqu@kaspersky.com.
Duqu ditemukan pertama kali pada September 2011. Namun
menurut Kaspersky Lab, jejak Duqu sudah terlacak sejak Agustus 2007.
0 komentar:
Posting Komentar