[PR] Riset Kaspersky Lab: Ternyata Developer Stuxnet dan Flame Berkaitan

Jakarta, 19 Juni 2012 – Penemuan malware Flame pada Mei 2012 mengungkap senjata cyber paling kompleks saat ini. Pada saat ditemukan, tidak ada bukti kuat bahwa Flame dikembangkan oleh tim yang sama yang membuat Stuxnet dan Duqu. Pendekatan yang dilakukan untuk mengembangkan Flame tidak sama dengan Stuxnet/Duqu, hingga disimpulkan bahwa proyek ini dibuat oleh tim yang berbeda.

Namun, riset mendalam berikut, yang dilakukan oleh para pakar Kaspersky Lab, tim-tim ini (Flame dan Stuxnet/Duqu) nyatanya bekerjasama setidaknya satu kali yaitu saat pengembangan awal Flame.

Fakta Singkat

• Kaspersky Lab menemukan modul dari Stuxnet versi 2009 yang dikenal sebagai “Resource 207”,  menjadi plugin Flame.
• Ini artinya saat worm Stuxnet diciptakan awal tahun 2009, platform Flame sudah ada, dan bahwa di tahun 2009 itu, kode sumber (source code) dari setidaknya satu modul Flame digunakan di Stuxnet.
• Modul ini digunakan untuk menyebarkan infeksi via USB. Kode mekanisme penginfeksian melalui USB pada Flame sama dengan Stuxnet.
• Modul Flame di Stuxnet juga mengeksploitasi kerentanan yang pada saat itu tidak diketahui dan memungkinkan eskalasi kebebasan menginfeksi, kemungkinan MS09-025.
• Lalu, modul plugin Flame dihilangkan dari Stuxnet pada 2010 dan diganti dengan beberapa modul berbeda yang memanfaatkan kerentanan baru.
• Mulai 2010, dua tim pengembang ini bekerja secara independen, dengan satu-satunya kerjasama yang dicurigai terjadi adalah dalam hal pertukaran pengetahuan mengenai kerentanan “zero-day”

Stuxnet adalah senjata cyber pertama yang menyasar fasilitas industri. Kenyataan bahwa Stuxnet juga menginfeksi PC biasa di seluruh dunia akhirnya membuatnya ditemukan pada Juni 2010, meskipun versi awal yang diketahui dari program jahat ini diciptakan setahun sebelumnya. Senjata cyber berikutnya, yaitu Duqu, ditemukan September 2011. Tidak seperti Stuxnet, tugas utama Trojan Duqu adalah sebagai backdoor dari sistem yang terinfeksi dan mencuri informasi pribadi (mata-mata cyber).

Pada saat menganalisa Duqu, ada kesamaan yang besar dengan Stuxnet, yang mengungkap bahwa keduanya diciptakan menggunakan platform serangan yang sama yang dikenal sebagai “Tilded Platform”. Nama tilded berasal dari preferensi pengembang malware tersebut untuk nama-nama file dengan form “~d*.*”, maka muncul nama “Tilde-d”.

Malware Flame, ditemukan Mei 2012 melalui penyelidikan yang digagas oleh International Communications Union (ITU) dan dilakukan oleh Kaspersky Lab, awalnya terlihat sangat berbeda. Beberapa fitur, seperti ukuran program, penggunaan bahasa pemrograman LUA dan fungsionalitas yang beragam, semuanya mengindikasikan bahwa Flame tidak terkait dengan pencipta Duqu atau Stuxnet.

Namun, fakta baru yang muncul mengubah sejarah Stuxnet dan membuktikan dengan jelas bahwa platform “Tilded” memang terkait dengan platform Flame.