Jakarta, 12 Juni 2012 - Pada 28 Mei 2012, Kaspersky Lab mengumumkan penemuan program jahat yang sangat canggih, bernama Flame, yang secara aktif digunakan sebagai senjata cyber yang menargetkan entitas di beberapa negara. Flame ditemukan oleh para pakar Kaspersky Lab saat mengadakan penelitian yang diusung oleh International Telecommunication Union (ITU). Hasil analisa memperlihatkan bahwa Flame merupakan attack toolkit terbesar dan paling kompleks yang ada saat ini.
Hasil analisa Kaspersky lab juga memperlihatkan bahwa program ini digunakan sebagai alat mata-mata cyber dan menginfeksi komputer untuk mencuri data dan informasi sensitif. Data curian ini kemudian dikirim ke salah satu server command & control (C&C) Flame.
Kaspersky Lab mengawasi secara cermat infrastruktur C&C& Flame dan menyebarluaskan posting riset mendetail atas temuan dari hasil pengawasan ini.
Bekerjasama dengan GoDaddy dan OpenDNS, Kaspersky Lab berhasil men-sinkholing sebagian besar domain yang digunakan oleh infrastruktur C&C& Flame. Dibawah ini merupakan rangkuman detail dari hasil analisa yang dilakukan:
- Infrastruktur C&C Flame, yang telah beroperasi selama bertahun-tahun, langsung offline segera setelah Kaspersky Lab mengumumkan penemuan keberadaannya minggu lalu.
- Saat ini terdapat lebih dari 80 domain yang diketahui digunakan oleh Flame sebagai server C&C&-nya dan domain terkait lainnya, yang diregistrasi antara tahun 2008 dan 2012.
- Dalam 4 tahun terakhir, server yang menjadi hosting infrastruktur C&C& Flame berpindah ke berbagai lokasi termasuk Hong Kong, Turki, Jerman, Polandia, Malaysia, Latvia, Inggris dan Swiss.
- Domain C&C Flame diregistrasi dengan identitas palsu yang mengesankan dan berbagai peregister, dengan waktu registrasi mulai 2008.
- Berdasarkan sinkhole Kaspersky Lab, komputer yang terinfeksi teregistrasi di berbagai wilayah termasuk Timur Tengah, Eropa, Amerika Utara dan Asia Pasifik.
- Penyebar Flame sepertinya memiliki minat yang tinggi terhadap penggunaan Autocad, selain PDF dan file teks.
- Data yang diunggah ke C&C Flame dienkripsi menggunakan algoritma yang relatif sederhana. Dokumen yang dicuri di-compress menggunakan open source Zlib dan modifikasi PPDM.
Kaspersky Lab menyatakan terima kasihnya kepada William MacArthur dan “GoDaddy Network Abuse Department” atas reaksi cepat mereka dan dukungan yang luar biasa terkait penelitian ini. Selain itu, Kaspersky Lab juga mengucapkan terima kasih kepada “OpenDNS Security Research Team”, yang telah memberikan bantuan tak ternilai selama penelitian ini.
Dalam beberapa minggu terakhir, Kaspersky Lab mengontak CERT di berbagai negara untuk memberitahukan kepada mereka informasi mengenai domain C&C Flame dan IP adress server jahat ini. Kaspersky Lab mengucapkan banyak terima kasih kepada semua pihak yang telah berpartisipasi dan memberi dukungan dalam penelitian ini.
Jika Anda adalah anggota GovCERT dan ingin menerima informasi lebih jauh mengenai domain C&C, silakan hubungi kami di stopduqu@kaspersky.com.
Untuk analisa lengkap mengenai infrastruktur C&C Flame dan detail teknis, silakan kunjungi www.securelist.com.
