Beberapa waktu belakangan ini, Duqu Trojan semakin populer sebagai malware yang berbahaya pengincar data intelijen. Duqu ditemukan pertama kali pada September 2011. Namun menurut Kaspersky Lab, jejak Duqu sudah terlacak sejak Agustus 2007.
Para ahli anti-malware Kaspersky Lab menemukan bahwa Duqu Trojan ditulis dalam bahasa pemrogaman yang tidak dikenal. Duqu merupakan Trojan canggih yang diciptakan oleh orang yang sama yang membuat Stuxnet. Malware ini memiliki tujuan sebagai backdoor sebuah sistem dan memfasilitasi pencurian data rahasia.
Para ahli Kaspersky mencatat korban terbesar berada di Iran. Duqu umumnya mencari informasi mengenai sistem manajemen produksi di berbagai sektor industri, juga informasi mengenai hubungan dagang antara beberapa perusahaan di Iran.
Misteri terbesar Duqu Trojan yang belum terpecahkan adalah bagaimana program ini berkomunikasi dengan server Command and Control (C&C) saat berhasil menginfeksi korban. Modul Duqu yang berperan untuk berinteraksi dengan C&C adalah bagian dari Payload DLL Duqu.
Peneliti Kaspersky Lab menemukan ada bagian khusus di dalam Payload DLL yang khusus berkomunikasi dengan C&C, ditulis dalam bahasa pemrograman yang tidak dikenal. Bagian yang tidak dikenal itu mereka namai Duqu Framework.
Tidak seperti bagian Duqu lainnya, Duqu Framework tidak ditulis dengan C++ dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft.
Kemungkinan pembuatnya menggunakan framework in-house untuk menghasilkan intermediary C code, atau menggunakan bahasa pemrograman yang sama sekali berbeda.
Tidak seperti bagian Duqu lainnya, Duqu Framework tidak ditulis dengan C++ dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft.
Kemungkinan pembuatnya menggunakan framework in-house untuk menghasilkan intermediary C code, atau menggunakan bahasa pemrograman yang sama sekali berbeda.
Bahasa Framework Duqu sangat spesial dan memungkinkan Payload DLL untuk beroperasi secara independen dengan modul Duqu lainnya dan menghubungkannya dengan C&C melalui beberapa jalur seperti Windows HTTP, network sockets dan proxy server.
Ia juga memungkinkan Payload DLL memproses permintaan server HTTP langsung dari C&C, secara diam-diam memindahkan duplikat informasi yang dicuri dari perangkat yang terinfeksi ke C&C, bahkan bisa mendistribusikan payload berbahaya lain ke dalam perangkat lain dalam jaringan, dan menciptakan bentuk terkontrol dan laten yang menyebarkan infeksi ke komputer lain.
“Melihat besarnya Duqu project, mungkin yang membuat framework Duqu adalah tim tersendiri yang berbeda dari grup yang menciptakan driver dan yang menulis sistem infeksi yang dieksploitasi,” ujar Alexander Gostev, Chief Security Expert Kaspersky Lab.
“Melihat tingginya tingkat kustomisasi dan ekslusivitas pada bahasa pemrograman yang diciptakan, sangat mungkin program ini diciptakan tidak hanya untuk mencegah pihak luar mengetahui operasi mata-mata cyber ini dan interaksinya dengan C&C, namun juga untuk membedakannya dari kelompok internal Duqu lainnya yang bertanggungjawab menulis bagian lain dari program ini.”
Menurut Gostev, bahasa pemrograman dalam Duqu menunjukkan betapa tingginya kemampuan para pengemang dalam proyek itu dan menunjukkan sumber daya keuangan serta SDM yang dimobilisasi untuk memastikan proyek berjalan.
Selain Duqu, Kaspersky juga mengaku mendeteksi pembuat virus di China mampu membuat mobile botnet RootSmart dengan 10.000 sampai 30.000 perangkat aktif yang terinfeksi.
Jumlah total perangkat yang terinfeksi sejak kemunculan botnet tersebut sudah mencapai ratusan ribu. Semua perangkat yang terinfeksi RootSmart bisa menerima dan melakukan perintah server C&C secara remote.
“Peretas yang mengontrol botnet RootSmart dapat mengatur frekuensi pengiriman sms berbiaya tinggi dan kapan sms itu akan dikirimkan, juga nomor pendek yang akan dikirimi pesan,” terang Denis Maslennikov, Senior Malware Analyst Kaspersky Lab.
Tidak seperti SMS Trojan, pendekatan ini memungkinkan penjahat cyber mendapatkan aliran uang yang stabil dan besar dalam jangka waktu yang panjang.
Selain Duqu, Kaspersky juga mengaku mendeteksi pembuat virus di China mampu membuat mobile botnet RootSmart dengan 10.000 sampai 30.000 perangkat aktif yang terinfeksi.
Jumlah total perangkat yang terinfeksi sejak kemunculan botnet tersebut sudah mencapai ratusan ribu. Semua perangkat yang terinfeksi RootSmart bisa menerima dan melakukan perintah server C&C secara remote.
“Peretas yang mengontrol botnet RootSmart dapat mengatur frekuensi pengiriman sms berbiaya tinggi dan kapan sms itu akan dikirimkan, juga nomor pendek yang akan dikirimi pesan,” terang Denis Maslennikov, Senior Malware Analyst Kaspersky Lab.
Tidak seperti SMS Trojan, pendekatan ini memungkinkan penjahat cyber mendapatkan aliran uang yang stabil dan besar dalam jangka waktu yang panjang.
Posting Komentar
Terima kasih atas kunjungan anda, Sebagai pengunjung yang baik silahkan BERIKAN KOMENTAR sebagai bentuk apresiasi terhadap blog ini.Tolong beritahu kami bila terdapat LINK yang tidak berfungsi/DEAD LINK