Senin, 09 April 2012

Misteri Duqu Trojan




Pihak peneliti pengembang perangkat lunak antivirus terkemuka, Kaspersky Lab, masih belum bisa memecakan misteri mallware Duku Trojan. Perlu diketahui, Duqu Trojan merupakan "peretas yang mengontrol botnet RootSmart dapat mengatur frekuensi pengiriman sms berbiaya tinggi dan kapan sms itu akan dikirimkan, juga nomor pendek yang akan dikirimi pesan,” terang Denis Maslennikov, Senior Malware Analyst Kaspersky Lab. Tidak seperti SMS Trojan, pendekatan ini memungkinkan penjahat cyber mendapatkan aliran uang yang stabil dan besar dalam jangka waktu yang panjang.


Kaspersky Lab menyatakan bahwa malware berbahaya, Duqu Trojan, ditulis dalam bahasa pemrograman yang tidak dikenal dan diciptakan oleh orang yang sama yang membuat Stuxnet.

Misteri terbesar Duqu Trojan yang belum terpecahkan, menurut Kaspersky Lab, bagaimana program itu berkomunikasi dengan server Command and Control (C&C) ketika berhasil menginfeksi korban.

Modul Duqu yang berperan untuk berinteraksi dengan C&C adalah bagian dari Playload.DLL Duqu, kata Kaspersky Lab dalam pernyataan persnya belum lama ini.

Peneliti Kaspersky Lab menemukan ada bagian khusus di dalam Payload DLL yang khusus berkomunikasi dengan C&C, ditulis dalam bahasa pemrograman yang tidak dikenal. Bagian yang tidak dikenal itu mereka namai Duqu Framework.

Tidak seperti bagian Duqu lainnya, Duqu Framework tidak ditulis dengan C++ dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft.

Kemungkinan pembuatnya menggunakan framework in-house untuk menghasilkan intermediary C code, atau menggunakan bahasa pemrograman yang sama sekali berbeda.

Namun, peneliti Kaspersky Lab menyatakan, bahasa tersebut adalah object-oriented dan melakukan sejumlah kegiatan yang sesuai dengan aplikasi network.

Bahasa Framework Duqu sangat spesial dan memungkinkan Payload DLL untuk beroperasi secara independen dengan modul Duqu lainnya dan menghubungkannya dengan C&C melalui beberapa jalur seperti Windows HTTP, network sockets dan proxy server.

Itu juga memungkinkan Payload DLL memproses permintaan server HTTP langsung dari C&C, secara diam-diam memindahkan duplikat informasi yang dicuri dari perangkat yang terinfeksi ke C&C, bahkan bisa mendistribusikan payload berbahaya lain ke perangkat lain dalam jaringan.

Beberapa waktu belakangan, menurut Kaspersky, Duqu Trojan semakin populer sebagai malware berbahaya yang mengincar data intelijen.

Para ahli Kaspersky mencatat korban terbesar berada di Iran. Duqu umumnya mencari informasi mengenai sistem manajemen produksi di berbagai sektor industri, juga informasi mengenai hubungan dagang antara beberapa perusahaan di Iran.

“Melihat besarnya Duqu project, mungkin yang membuat framework Duqu adalah tim tersendiri yang berbeda dari grup yang menciptakan driver dan yang menulis sistem infeksi yang dieksploitasi,” ujar Alexander Gostev, Chief Security Expert Kaspersky Lab.

Menurut Gostev, bahasa pemrograman dalam Duqu menunjukkan betapa tingginya kemampuan para pengemang dalam proyek itu dan menunjukkan sumber daya keuangan serta SDM yang dimobilisasi untuk memastikan proyek berjalan.

Selain Duqu, Kaspersky juga mengaku mendeteksi pembuat virus di China mampu membuat mobile botnet RootSmart dengan 10.000 sampai 30.000 perangkat aktif yang terinfeksi.

Jumlah total perangkat yang terinfeksi sejak kemunculan botnet tersebut sudah mencapai ratusan ribu. Semua perangkat yang terinfeksi RootSmart bisa menerima dan melakukan perintah server C&C secara remote.

“Peretas yang mengontrol botnet RootSmart dapat mengatur frekuensi pengiriman sms berbiaya tinggi dan kapan sms itu akan dikirimkan, juga nomor pendek yang akan dikirimi pesan,” terang Denis Maslennikov, Senior Malware Analyst Kaspersky Lab.

Tidak seperti SMS Trojan, pendekatan ini memungkinkan penjahat cyber mendapatkan aliran uang yang stabil dan besar dalam jangka waktu yang panjang.

Tidak ada komentar:

Posting Komentar