Surviving Cyber War 2/3

16 September 2013
Surviving Cyber War 2/3
Duqu, mata-mata pendahulu Stuxnet penggemar Serial TV
Pengantar :
Vaksincom akan mempublikasikan 3 artikel sehubungan dengan maraknya perang digital antar negara yang sering terjadi belakangan ini, baik sepengetahuan kita maupun tidak. Artikel yang dipublikasikan adalah artikel Vaksincom yang diterbitkan oleh majalah Info Komputer tahun 2013. Guna memberikan informasi lebih luas kepada para pengguna internet Vaksincom mempublikasikan artikel ini. Artikel pertama berjudul Surviving Cyber War akan diikuti dengan artikel kedua Duqu, mata-mata penggemar serial TV dan artikel terakhir Bertahan di era perang digital.

Timur tengah dapat dikatakan sebagai wilayah yang paling bergejolak di dunia dan terkadang konflik yang timbul di antara negara-negara Timur tengah terbawa ke seluruh dunia. Dari perang Sinai sampai krisis di Terusan Suez, dari serangan Black September di Munich yang mengakibatkan tewasnya 11 tim Olimpiade Israel, yang kemudian dibalas oleh Mossad dengan membunuh orang-orang yang diyakini bertanggungjawab atas insiden Black September. Tindakan yang dilakukan Mossad meskipun memberikan hasil yang mengejutkan, namun mengandung resiko sangat tinggi bagi agen rahasia dan tim yang terlibat dan dibutuhkan sumberdaya, biaya serta usaha yang luarbiasa untuk memiliki jaringan sehebat Mossad. Apalagi dengan tertangkapnya banyak mata-matanya Mossad makin sulit mengembangkan jaringannya dan musuh-musuhnya makin waspada terhadap penyusupan melalui jaringan mata-mata Mossad yang meskipun hanya dimiliki oleh negara kecil tetapi tidak kalah pamornya dengan dinas rahasia negara besar seperti CIA, KGB atau MI6. Tetapi rupanya hal ini sudah menjadi cerita masa lalu dan kegiatan mata-mata tetap dilakukan namun dengan dukungan teknologi yang lebih canggih. Dari sisi strategis dan efisiensi, pemanfaatan teknologi merupakan pilihan yang sangat logis. Kalau kita bisa mendapatkan apa yang kita inginkan tanpa perlu berkelahi dan mengorbankan prajurit atau mata-mata kita di medan tempur, untuk apa menghabiskan sumberdaya dan energi seperti mengirimkan mata-mata yang jelas-jelas berisiko tinggi kalau tertangkap. Karena itulah kelihatannya dinas rahasia secara diam-diam mulai menggunakan mata-mata digital untuk mengumpulkan informasi atas kegiatan negara musuhnya dan bahkan dalam beberapa kasus mata-mata digital yang berbentuk malware ini difungsikan ibaratnya sebagai prajurit tempur yang memberikan hantaman langsung pada aktivitas yang akan menimbulkan kerugian besar pada negara musuhnya. Meskipun dibandingkan kegiatan yang melibatkan mata-mata secara langsung lebih tidak beresiko, tetapi daya rusak dari mata-mata digital ini tidak kalah maut dibandingkan aksi 007 minus wanita cantik saja dengan resiko yang jauh lebih rendah. Hal ini juga terlihat dari perkembangan teknologi pertempuran dengan pesawat terbang “predator” yang memiliki kemampuan jauh lebih tinggi dibandingkan pesawat konvensional yang dikendalikan pilot karena mampu mendeteksi dan menyerang sasarannya dengan biaya dan resiko yang jauh lebih rendah karena tidak melibatkan pilot manusia yang memiliki keterbatasan dibandingkan mesin.

Aksi Stuxnet memperlambat program nuklir Iran contoh dari aktivitas mata-mata digital yang paling berhasil, tentunya negara korbannya akan menyangkal. Jika Stuxnet diluncurkan untuk memperlambat program nuklir Iran, tentu timbul pertanyaan dari mana pengumpulan data atas aktivitas tersebut ? Tidak mungkin Stuxnet dapat sedemikian terarah menjalankan aksinya tanpa data yang akurat. Adalah malware Duqu yang rupanya merupakan pendahulu Stuxnet menjalankan aksinya mengumpulkan data komputer-komputer sasarannya untuk dianalisa, lalu berdasarkan data yang didapatkan dari Duqu, Stuxnet diluncurkan untuk menjalankan aksinya menghambatprogram nuklir Iran dengan mengacaukan pemutar sentrifugal yang dikontrol oleh SCADA.

Bagaimana proses Duqu mengirimkan data sangat menarik untuk disimak. Jika anda mengira bahwa Duqu akan menginfeksi komputer korbannya secara diam-diam lalu mengirimkan data yang didapatkannya ke pusat komandonya. Anda sudah berada dalam arah yang benar. Tetapi yang menarik untuk kita telaah adalah teknik Duqu mengumpulkan datanya dan mengirimkannya kepada pusat komandonya.

Pembuat Duqu rupanya memanfaatkan CentOS (salah satu varian Linux yang sangat populer dan sempat mengalahkan popularitas Ubuntu) untuk menjadi server pusat komandonya dan langsung menghapus jejaknya saat publikasi tentang Duqu diumumkan. Dari analisa terhadap server-server tersebut ternyata semua server yang menjalankan CentOS dimana beberapa server tersebut bahkan sudah dikuasai sejak tahun 2009 atau 2 tahun sebelum Duqu terdeteksi. Bahkan ditemukan fakta yang mengejutkan bahwa teknik mereka menggunakan zero day eksploit OpenSSH 4.3 untuk menguasai server-server tersebut. Setelah server pusat komando yang menggunakan OS CentOS siap, tentunya sekarang diperlukan komputer sasaran yang ingin dicuri datanya dan salah satu cara yang paling logis adalah menggunakan program trojan horse. Namun bagaimana menanamkan program trojan ini dan menghindari deteksi program antivirus karena sudah hampir pasti sasaran komputer yang ingin diserang pasti setidaknya sudah dilindungi dengan program antivirus yang terupdate. Karena itu, metode yang paling efektif untuk bypass deteksi antivirus adalah mengeksploitasi celah keamanan software, dimana pada komputer yang mengandung celah keamanan belum ditutup malware akan mampu melewati deteksi antivirus dan menjalankan aksi jahatnya. Namun di komputer yang melakukan automatic update rentang waktu tersebut sangat tipis dan pembuat Duqu harus memilih eksploitasi celah keamanan program yang populer (digunakan banyak orang) dan menggunakan zero days exploit, dimana sebelum celah keamanan ini ditambal ia sudah harus melakukan penyerangan. Pilihan dijatuhkan pada celah keamanan Microsoft Word CVE-2011-3402 dimana ada kerentanan pada proses Windows memproses TrueType font dimana dengan font yang dirancang khusus akan mampu mengeksploitasi celah keamanan tersebut dan memberikan akses untuk menjalankan kode program pada mode kernel seperti membuat user account baru dengan hak akses penuh. Hal ini akan mendukung aksi Duqu yang secara diam-diam akan menjalankan aksi mata-mata mengumpulkan data dari komputer korbannya.

Lalu, bagaimana Duqu mengirimkan datanya ? Apakah dengan melakukan upload data ke database server untuk kemudian diunduh dan dianalisa oleh pusat komandonya ? Anda sudah 70 % benar, dan hal ini kelihatannya juga sudah diperhitungkan pembuat Duqu karena jika anda menjadi administrator ISP dan mengawasi lalu lintas data dimana Duqu menjalankan aksinya, besar kemungkinan anda tidak akan bisa menduga kalau aktivitas data yang lewat di depan mata anda adalah aktivitas Duqu. Mengapa ?? Karena Duqu tidak melakukan upload data dalam bentuk database konvensional yang pasti akan menimbulkan kecurigaan. Adapun trik yang dilakukan oleh Duqu adalah mengirimkan datanya sebagai file JPEG terenkripsi dengan ukuran 54 X 54 pixel. Jadi, data yang dikirimkan selain disamarkan sebagai file JPEG lalu dilindungi dengan enkripsi untuk kemudian digabungkan oleh komputer pusat komando.


Komponen Duqu yang paling utama yang dinamakan “infostealer” dirancang sedemikian rupa supaya tidak meninggalkan jejak filenya di harddisk korban atau file temporari komputer dan modul ini di unduh dan disimpan pada memori sementara dan dijalankan dengan teknik injeksi yang mirip dengan yang digunakan oleh Stuxnet guna menghindari disimpan di “temporary files” harddisk. Namun hal ini juga berarti proses pencurian data Duqu memiliki tenggang waktu terbatas, sampai dengan saat komputer mengalami reboot. Karena itu, setiap infeksi Duqu dijalankan secara independen secara remote melalui komputer pusat komando dan tidak menyebarkan dirinya secara otomatis seperti Stuxnet. Selain itu, guna memastikan jejaknya tidak mudah terdeteksi, setiap 36 hari Duqu akan menghapus dirinya dan menghilangkan semua jejak kegiatannya dari komputer korbannya.

Dexter Regular

Pembuat Duqu juga tidak mau kalah nyentrik dalam memunculkan keunikan seperti Stuxnet yang mengirimkan email dari Jason B (Jason Bourne). Dalam mengeksploitasi celah keamanan MS Word, ia membuat font baru dengan nama “Dexter Regular” buatan “Showtime Inc, 2003”. Sebenarnya “Dexter Regular” adalah program TV serial yang cukup populer yang disiarkan oleh TV kabel Showtime Inc.

Duqu pertama kali terdeteksi pada pertengahan April 2011, namun sejak publikasi keberadaannya mendadak ia menghilangkan diri pada pertengahan Oktober 2011. Meskipun Duqu sudah menghilangkan jejaknya dan kita tidak tahu kapan ia akan menjalankan aksinya lagi, jika anda ingin memastikan komputer anda tidak terinfeksi oleh Duqu anda dapat menggunakan tools Duqu Detector yang dikeluarkan oleh Crysys dan dapat diunduh di http://www.crysys.hu/duqudetector.html. Sebagai catatan, pada bulan September 2011, 2 bulan sebelum keberadaan Duqu diumumkan, teknologi Sandbox Norman sudah mampu mendeteksi keberadaan Duqu dengan nama malware Generic. Adapun aksi Duqu yang disinyalir sebagai Stuxnet versi lite ini dapat dilihat dalam call diagram pada driver Duqu gambar 1 di bawah ini.
20130916I_cyberwarpart2
Gambar 1, Call Diagram driver Duqu

Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: