Jakarta, 4 April 2012 – Beberapa waktu belakangan ini, Duqu Trojan semakin populer sebagai malware yang berbahaya pengincar data intelijen. Duqu ditemukan pertama kali pada September 2011. Namun menurut Kaspersky Lab, jejak Duqu sudah terlacak sejak Agustus 2007. Para ahli­ anti-malware Kaspersky Lab menemukan bahwa Duqu Trojan ditulis dalam bahasa pemrogaman yang tidak dikenal. Duqu merupakan Trojan canggih yang diciptakan oleh orang yang sama yang membuat Stuxnet. Malware ini memiliki tujuan sebagai backdoorsebuah sistem dan memfasilitasi pencurian data rahasia.

Para ahli Kaspersky mencatat korban terbesar berada di Iran. Duqu umumnya mencari informasi mengenai sistem manajemen produksi di berbagai sektor industri, juga informasi mengenai hubungan dagang antara beberapa perusahaan di Iran.

Misteri terbesar Duqu Trojan yang belum terpecahkan adalah bagaimana program ini berkomunikasi dengan server Command and Control(C&C) saat berhasil menginfeksi korban. Modul Duqu yang berperan untuk berinteraksi dengan C&C adalah bagian dari Payload DLL Duqu. Setelah analisis komprehensif atas Payload DLL, peneliti Kaspersky Lab menemukan ada bagian khusus di dalam Payload DLL, yang khusus berkomunikasi dengan C&C, ditulis dalam bahasa pemrograman yang tak dikenal. Peneliti Kaspersky Lab menamakan bagian yang tak dikenal ini sebagai “Duqu Framework”.

Tidak seperti Duqu lainnya, Duqu Framework tidak ditulis dengan C++ dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft.Kemungkinan pembuatnya menggunakan framework in-house untuk menghasilkan intermediary C code, atau menggunakan bahasa pemrograman yang sama sekali berbeda. Namun, peneliti Kaspersky Lab telah menyatakan bahwa bahasa tersebut adalah object-orienteddan melakukan sejumlah kegiatan yang sesuai dengan aplikasi network.

Bahasa Framework Duqu sangat spesial dan memungkinkan Payload DLL untuk beroperasi secara independen dengan modul Duqu lainnya dan menghubungkannya dengan C&C melalui beberapa jalur seperti Windows HTTP, network sockets dan proxy server. Ia juga memungkinkan Payload DLL memproses permintaan server HTTP langsung dari C&C, secara diam-diam memindahkan duplikat informasi yang dicuri dari perangkat yang terinfeksi ke C&C, bahkan bisa mendistribusikan payload berbahaya lain ke dalam perangkat lain dalam  jaringan, dan menciptakan bentuk terkontrol dan laten yang menyebarkan infeksi ke komputer lain.

“Melihat besarnya Duqu project, mungkin yang membuat framework Duqu adalah tim tersendiri yang berbeda dari grup yang menciptakan driver dan yang menulis sistem infeksi yang dieksploitasi,” ujar Alexander Gostev, Chief Security Expert Kaspersky Lab. “Melihat tingginya tingkat kustomisasi dan ekslusivitas pada bahasa pemrograman yang diciptakan, sangat mungkin program ini diciptakan tidak hanya untuk mencegah pihak luar mengetahui operasi mata-mata cyber ini dan interaksinya dengan C&C, namun juga untuk membedakannya dari kelompok internal Duqu lainnya yang bertanggungjawab menulis bagian lain dari program ini.”

Menurut Alexander Gostev, pembuatan bahasa pemrograman tersendiri menunjukkan betapa tingginya kemampuan para pengembang program dalam mengerjakan proyek ini, dan menunjukkan kemampuan sumber daya keuangan dan SDM yang dimobilisasi untuk memastikan proyek ini berjalan.

Kaspersky Lab mengajak komunitas programer atau siapapun yang mengenali framework, toolkit atau bahasa pemrograman tak dikenal Duqu Trojan untuk menghubungi stopduqu@kaspersky.com.

Serangan terhadap pengguna Google Wallet

Selain Duqu Trojan, dalam laporan malware Kaspersky bulan Februari lalu, Google juga menjadi sorotan para spesialis keamanan IT karenadua alasan. Yang pertama, Kaspersky Lab mendeteksi gelombang infeksi yang melibatkan pengembangan dini kode berbahaya dan disamarkan sebagai kode Google Analytics. Mereka yang mengunjungi situs yang diretas akan dibawa ke beberapa tautan sebelum akhirnya masuk ke server hosting BlackHole Exploit Kit. Jika exploit diluncurkan dengan sukses, komputer akan terinfeksi malware. Yang kedua, Kaspersky juga mendeteksi dua metode meretas Google Wallet, yaitu sistem e-payment yang memungkinkan pengguna membayar barang dan jasa menggunakan HP Android dengan Near Field Communication (NFC) yaitu transaksi tanpa kontak.

Sebelumnya diketahui bahwa dengan root access pada telepon tidak butuh waktu lama bagi peretas untuk mendapatkan empat digit kodePIN aplikasi Google Wallet. Sehari kemudian, kerentanan aplikasi Google Wallet mulai terdeteksi dimana seseorang bisa mengakses akun Google Wallet melalui HP yang hilang atau dicuri tanpa perlu meretas sistem atau mendapatkan root access. Kerentanan kedua ini kemudian diperbaiki, namun sampai Maret tidak ada informasi mengenai masalah pertama, yaitu BlackHole Exploit Kit.

Ancaman Mobile Botnet RootSmart

Isu lainnya, Kaspersky mendeteksi pembuat virus di Cina mampu membuat mobile botnet RootSmart dengan 10,000 sampai 30,000 perangkat aktif yang terinfeksi. Jumlah total perangkat yang terinfeksi sejak kemunculan botnet tersebut sudah mencapai ratusan ribu. Semua perangkat yang terinfeksi RootSmart bisa menerima dan melakukan perintah server C&C secara remote.

“Peretas yang mengontrol botnet RootSmart dapat mengatur frekuensi pengiriman sms berbiaya tinggi dan kapan sms itu akan dikirimkan, juga nomor pendek yang akan dikirimi pesan,” terang Denis Maslennikov, Senior Malware Analyst Kaspersky Lab. “Tidak seperti SMS Trojan, pendekatan ini memungkinkan penjahat cyber aliran uang yang stabil dan besar dalam jangka waktu yang panjang.”

Beberapa kejadian yang melibatkan ancaman mobile di dunia menunjukkan bahwa pada 2012, botnet mobile akan menjadi salah satumasalah utama pengguna smartphone dan juga perusahaan antivirus.

Serangan terhadap jaringan perusahaan

Serangan peretas terus berlanjut sepanjang Februari, dimana anggota Anonymous menyasar situs-situs finansial dan politik. Insiden utama termasuk serangan yang menarget situs-situs perusahaan Amerika, Combined Systems Inc. (CSI) dan Sur-Tec Inc.

Perusahaan-perusahaan ini menyediakan perangkat pengintaian, yang digunakan untuk mengawasi warga, juga gas airmata dan perangkat lain yang digunakan untuk menekan demo di beberapa negara. Ditemukan juga serangan DDoS yang menyerang website NASDAQ, BATS,the Chicago Board Options Exchange (CBOE), dan the Miami Stock Exchange dan membuat website tersebut mati beberapa jam. Di Rusia,menjelang pemilihan presiden, DDoS dan serangan peretas digunakan sebagai alat kampanye politik. Website media, kelompok oposisi dan institusi pemerintahan menjadi target serangan yang bernuansa politik.