Surviving Cyber War 1/3

12 September 2013
Surviving Cyber War 1/3
Dua Gajah Bertarung, Pelanduk Mati di Tengah-Tengah
Pengantar :
Vaksincom akan mempublikasikan 3 artikel sehubungan dengan maraknya perang digital antar negara yang sering terjadi belakangan ini, baik sepengetahuan kita maupun tidak. Artikel yang dipublikasikan adalah artikel Vaksincom yang diterbitkan oleh majalah Info Komputer tahun 2013. Guna memberikan informasi lebih luas kepada para pengguna internet Vaksincom mempublikasikan artikel ini. Artikel pertama berjudul Surviving Cyber War akan diikuti dengan artikel kedua Duqu, mata-mata penggemar serial TV dan artikel terakhir Bertahan di era perang digital.


Dua gajah bertempur, pelanduk mati di tengah-tengah. Begitulah kemungkinan nasib yang akan dialami oleh para pengguna internet jika terjebak dalam pertempuran serangan malware antara negara-negara yang sedang bertikai.

Pada mulanya, pembuat malware adalah mahasiswa / remaja yang mencari identitas diri dan kebanyakan membuat malware untuk menunjukkan eksistensi diri dan menjadi terkenal karena bisa membuat malware. Di tahun 2000-an pembuat malware bermetamorfosis menjadi lebih terorganisir dan hasilnya adalah malware menjadi lebih canggih lagi karena dikerjakan oleh sekelompok orang dengan tujuan utama mendapatkan keuntungan finansial. Hal ini terlihat dari maraknya spyware, adware, rogue antivirus (antivirus palsu) dan di negara tertentu beredar ransomware yang menyandera data / sistem komputer korbannya dengan tuntutan mengirimkan uang untuk mengembalikan data yang dienkrip. Industri antivirus dalam menghadapi ancaman terakhir sebenarnya dapat dikatakan mendapatkan lawan yang seimbang dimana pembuat malware terorganisir harus melawan perusahaan antivirus yang juga terorganisir. Jika pembuat malware di tahun 1990-an dapat dikatakan sebagai petinju kelas bulu, maka perusahaan antivirus dapat diumpamakan sebagai petinju kelas welter dan jelas perusahaan antivirus tidak khawatir menghadapi pembuat malware perorangan. Namun menghadapi pembuat spyware, rogue antivirus dan ransomware perusahaan antivirus mendapatkan lawan yang seimbang dan kelihatannya pertempuran akan berlangsung panjang karena masing-masing berada di kelas yang sama dan memiliki stamina yang tinggi. Pembuat antivirus di dukung oleh penghasilan dari menjual antivirus dan pembuat malware / antivirus palsu mendapatkan uang dari kegiatan kriminal yang dilakukannya dan sampai saat ini masih tetap bertahan. Jika anda berpikir ini merupakan akhir cerita, anda salah besar. Justru hal ini merupakan awal cerita baru munculnya malware kelas berat dimana jika perusahaan antivirus yang terbaik sekalipun saat ini tidak dapat dibandingkan dengan beberapa malware elit yang baru terdeteksi di tahun 2010 meskipun sudah menjalankan aksinya bertahun-tahun sebelumnya. Mengapa malware ini dikategorikan sebagai malware kelas berat ? Apakah perusahaan antivirus kesulitan mendeteksinya ? Siapa yang berada di balik semua ini ?

Pada pertengahan tahun 2010, PT. Vaksincom menghadapi kasus aneh dimana banyak komputer di Indonesia yang mendadak mendapatkan pesan “low disk space” karena ukuran harddisknya membengkak (lihat gambar 1)
20130912I_cyberwar
Gambar 1, Pesan low disk space yang ternyata merupakan akibat sampingan dari Stuxnet 
Pada awalnya PT. Vaksincom mengira hal itu merupakan varian malware baru dan memang sempat terdeteksi dengan nama Winsta. Namun, tidak disadari ternyata hal itu merupakan awal dari peperangan cyber dengan beredarnya malware kelas berat yang kemudian di identifikasi oleh perusahaan antivirus sebagai Stuxnet. Stuxnet bukan malware buatan mahasiswa putus cinta atau perusahaan kriminal Rusia yang ingin mendapatkan uang dari para pengguna komputer. Tetapi Stuxnet adalah malware yangdiduga secara diam-diam dikembangkan oleh Amerika Serikat dan Israel yang disebarkan secara diam-diam dengan satu tujuan utama, menghambat pengembangan program nuklir negara musuhnya Iran. Stuxnet mengeksploitasi 4 celah keamanan dan mampu menyebarkan dirinya secara efektif ke komputer-komputer yang tidak terhubung ke jaringan sekalipun. Teknik yang digunakan sangat simple, yaitu dengan memanfaatkan pertukaran data melalui UFD (USB Flash Disk). Walaupun kelihatannya simple dan tidak memerlukan teknologi rumit, rupanya penyebaran melalui UFD memang disengaja karena rupanya Stuxnet mengincar komputer-komputer yang menjalankan SCADA (Supervisory Control And Data Acquisition), piranti (keras dan lunak) keluaran Siemens yang digunakan oleh Iran dalam proses pengayaan uranium Iran. Stuxnet dengan cerdiknya mengelabui administrator SCADA dengan memberikan layar tampilan palsu bahwa semua proses SCADA yang berjalan normal. Padahal dalam kenyataannya SCADA sedang diperintahkan untuk melakukan aktivitas yang merusak perangkat keras dan proses yang sedang dijalankan. Stuxnet juga berjalan dalam mode user dan kernel dimana ia menggunakan driver yang disertifikasi menggunakan sertifikat curian dari Jmicron dan Realtek (Hsinchu, Taiwan), hal inilah salah satu faktor utama yang menyebabkan mengapa proses Stuxnet tidak teridentifikasi. Ini juga menunjukkan bahwa sumberdaya untuk membuat malware ini tidak main-main karena harus memiliki akses untuk mencuri sertifikat terlegitimasi milik dua perusahaan hardware ternama di Taiwan yang jelas jauh sekali dari negara sasarannya Iran.

Tidak hanya itu, setelah berhasil menjalankan misinya menghambat program nuklir Iran di tahun 2010, Stuxnet dilaporkan kembali menyerang Iran dengan target pembangkit listrik dan industri perminyakan Iran dua tahun kemudian atau persisnya di bulan Desember 2012. Motivasi penyerangan kali ini diperkirakan adalah untuk mengganggu ekonomi Iran yang 80 % menggantungkan diri pada penghasilan dari minyak. Kembali hal ini merupakan pukulan telak kepada industri antivirus yang gagal mendeteksi aksi Stuxnet di tahun 2010. Bagaimana satu malware yang jelas-jelas telah terdeteksi oleh program antivirus dan berhasil menjalankan aksinya secara menggemparkan di tahun 2010 kembali berhasil menginfeksi dan menjalankan aksinya 2 tahun kemudian di negara yang sama ?

Jika dalam peperangan konvensional, suatu pertempuran terjadi di Timur Tengah yang secara geografis sangat jauh dari Indonesia tentu dampak langsung dari peperangan ini akan kurang terasa. Apalagi malware Stuxnet yang digunakan ini termasuk golongan targeted malware dimana sasaran yang diserang hanya tertentu saja dalam hal ini adalah pengguna SCADA yang notabene perusahaan eksplorasi minyak dan gas dan administrator SCADA di seluruh dunia memang sudah sangat berhati-hati terhadap serangan Stuxnet. Tetapi dalam kenyataannya, ternyata Stuxnet tidak hanya merepotkan administrator SCADA saja dan Indonesia yang “kebetulan” menjadi negara nomor 2 paling banyak di infeksi oleh Stuxnet setelah Iran mendapatkan efek samping dari maraknya penyebaran Stuxnet dimana mayoritas komputer korban akan mengalami “low disk space” karena proses Stuxnet (Winsta) yang menggelembungkan dirinya (lihat gambar 2). Hal ini diperkirakan karena maraknya penggunaan USB Flash Disk di Indonesia yang ternyata digunakan sebagai sarana utama Stuxnet untuk menyebarkan dirinya ke komputer-komputer SCADA standalone atau terpisah dari jaringan / network.

Gambar 2, Indonesia menempati peringkat kedua setelah Iran dalam infeksi Stuxnet

Menurut catatan Vaksincom, pada saat penyebaran Stuxnet terjadi di bulan Juli 2010 http://vaksin.com/2010/0710/Stuxnet%20winsta%20virus/Stuxnet%20winsta%20virus.htm, ada fenomena yang menarik yang melanda para pengguna komputer Indonesia dimana mendadak banyak sekali komputer baik Windows Vista maupun Windows 7 (yang sempat digembar-gemborkan seperti biasanya akan lebih aman dari serangan malware karena adanya perlindungan tambahan UAC (User Access Control)) yang mengalami gejala aneh yaitu harddisknya mendadak menggelembung dan menjadi penuh / low disk space (lihat gambar 1), print sharing mendadak mati, crash pada banyak aplikasi internal karena dll yang korup, putusnya koneksi jaringan dan pada akhirnya membuat komputer korbannya menjadi hang yang ternyata semuanya merupakan efek samping dari Stuxnet. Tanpa disadari rupanya dunia internet telah memasuki era awal perang cyber yang kemudian diikuti dengan penemuan-penemuan malware lain yang lebih mengejutkan seperti Duqu, Flame, Shamoon yang disinyalir merupakan serangan balik Iran dan memakan korban puluhan ribu komputer perusahaan minyak Arab Saudi (Aramco) dan Qatar (Rasgas) dan pada pertengahan Januari 2013 kembali muncul satu malware kelas berat yang memata-matai kedutaan besar di seluruh dunia dan dikenal dengan nama Rocra atau Red October.

Melihat sepak terjang malware kelas berat di atas yang dihasilkan dari negara-negara yang saling menyerang, tentunya kita tidak mau menjadi pelanduk yang mati di tengah-tengah. Namanya juga pelanduk tentu harus cerdik dan menyingkir saat dua gajah bertarung. Namun bagaimana menjadi pengguna internet yang cerdik dan meminimalisir kerugian dari serangan malware kelas berat ini ?

Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: