Jakarta (ANTARA News) - Para ahli keamanan komputer menemukan bahwa program jahat bernama "miniDuke" telah menyerang jaringan komputer pemerintahan sejumlah negara.

Sejumlah target berprofil tinggi telah menjadi korban serangan "miniDuke" termasuk badan pemerintahan di Ukraina, Belgia, Portugal, Rumania, Republik Ceko, dan Irlandia, kata perusahaan keamanan komputer Kaspersky Lab dalam keterangan persnya, Rabu.

Selain mereka, sebuah badan riset, dua think tank, provider kesehatan di Amerika Serikat dan sebuah yayasan riset terkemuka di Hungaria juga diketahui telah menjadi korban serangan.

Para pakar keamanan Kaspersky Lab bekerjasama dengan CrySys Lab telah menganalisa serangan itu secara detil dan mempublikasikan temuannya.

Eugene Kaspersky, Founder dan CEO Kaspersky Lab, mengatakan, "Ini adalah serangan cyber yang sangat tidak biasa. Saya ingat gaya programming jahat seperti ini ada pada akhir 90'an dan awal 2000'an. Saya bertanya-tanya apakah penulis malware seperti ini, yang telah menghilang lebih dari satu dekade, tiba-tiba bangkit lagi dan bergabung dengan grup pelaku ancaman canggih yang aktif di dunia cyber."

"Para penulis malware "old school" elit ini di masa lalu sangat efektif dalam menciptakan virus yang sangat kompleks dan sekarang mereka menggabungkan kemampuan penulisan malware mereka dengan eksploitasi sandbox-evading (penghindar sandbox) yang canggih demi menyasar badan pemerintahan atau institusi riset di berbagai negara."

Backdoor "miniDuke", menurut Eugene Kaspersky, sangat terkustomisasi, ditulis dalam bahasa program Assembler dan berukuran sangat kecil, hanya 20kb. Gabungan antara penulis malware 'old school' berpengalaman yang menggunakan ekploitasi yang baru ditemukan dan rekayasa sosial dengan cerdik untuk menyerang target berprofil tinggi sangat membahayakan.

Berdasarkan analisis Kaspersky Lab, serangan "miniDuke" saat ini masih aktif dan menciptakan malware pada 20 Februari 2013.

Untuk menyerang para korbannya, pelaku di balik "miniDuke" menggunakan teknik rekayasa sosial yang sangat efektif, yang melibatkan pengiriman dokumen PDF kepada calon korban.

File PDF yang dikirim memiliki konten yang relevan dan ditulis dengan sangat bagus yang berisi informasi seminar tentang hak asasi manusia, kebijakan luar negeri Ukraina dan rencana keanggotaan NATO.

File PDF berbahaya ini berisi eksploitasi yang menyerang Adober Reader versi 11 dan 10, mem-bypass sandbox-nya. Sebuah toolkit digunakan untuk membuat eksploitasi ini dan sepertinya merupakan toolkit yang sama dengan yang digunakan dalam serangan baru seperti yang dilaporkan FireEye.

Namun, eksploitasi yang digunakan dalam serangan "miniDuke" memiliki tujuan yang berbeda-beda dan memiliki malware kustomisasi sendiri.

Jika sistemnya memenuhi persyaratan yang telah ditentukan sebelumnya, malware akan menggunakan Twitter (belum diketahui oleh pengguna) dan mulai mencari tweet khusus dari akun yang belum dibuat.

Akun-akun twitter ini dibuat oleh operator Command and Control (C2) "miniDuke" dan tweetnya mempertahankan tag khusus dengan label URL terenkripsi untuk backdoor.

URL ini memberi akses kepada C2 yang kemudian akan memberikan perintah potensial dan transfer backdoor terenkripsi tambahan ke dalam sistem melalui file GIF.

Berdasarkan analisis sepertinya para pembuat malware memberikan sistem backup dinamis yang juga bisa beroperasi tanpa terdeteksi. Jika Twitter tidak bisa atau akun down, malware bisa menggunakan Google Search untuk menemukan string terenkripsi ke C2 berikutnya.

Model ini begitu fleksibel dan memungkinkan operator C2 untuk secara konstan mengubah bagaimana backdoor mereka menerima perintah selanjutnya atau malcode (kode jahat) jika dibutuhkan.

Backdoor malware terkoneksi ke dua server, satu di Panama dan satu lagi di Turki, untuk menerima instruksi dari para penyerang.

(*)

Pewarta: Suryanto
Editor: Suryanto
Copyright © ANTARA 2013