Beberapa waktu belakangan, Duqu Trojan semakin populer sebagai
malware yang berbahaya pengincar data intelijen. Duqu ditemukan pertama
kali pada September 2011. Namun menurut Kaspersky Lab, jejak Duqu sudah
terlacak sejak Agustus 2007. Kaspersky Lab menemukan bahwa Duqu Trojan
ditulis dalam bahasa pemrogaman yang tidak dikenal. Duqu merupakan
Trojan canggih yang diciptakan oleh orang yang sama yang membuat
Stuxnet. Malware ini memiliki tujuan sebagai backdoor sebuah sistem dan
memfasilitasi pencurian data rahasia.
Kaspersky mencatat korban terbesar berada di Iran. Duqu umumnya
mencari informasi mengenai sistem manajemen produksi di berbagai sektor
industri, juga informasi mengenai hubungan dagang antara beberapa
perusahaan di Iran.
Misteri terbesar Duqu Trojan yang belum terpecahkan adalah bagaimana
program ini berkomunikasi dengan server Command and Control (C&C)
saat berhasil menginfeksi korban. Modul Duqu yang berperan untuk
berinteraksi dengan C&C adalah bagian dari Payload DLL Duqu.
Setelah analisis komprehensif atas Payload DLL, peneliti Kaspersky Lab
menemukan ada bagian khusus di dalam Payload DLL, yang khusus
berkomunikasi dengan C&C, ditulis dalam bahasa pemrograman yang tak
dikenal. Peneliti Kaspersky Lab menamakan bagian yang tak dikenal ini
sebagai “Duqu Framework”.
Tidak seperti Duqu lainnya, Duqu Framework tidak ditulis dengan C++
dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft.
Kemungkinan pembuatnya menggunakan framework in-house untuk
menghasilkan intermediary C code, atau menggunakan bahasa pemrograman
yang sama sekali berbeda. Namun, peneliti Kaspersky Lab telah
menyatakan bahwa bahasa tersebut adalah object-oriented dan melakukan
sejumlah kegiatan yang sesuai dengan aplikasi network.
Bahasa Framework Duqu sangat spesial dan memungkinkan Payload DLL
untuk beroperasi secara independen dengan modul Duqu lainnya dan
menghubungkannya dengan C&C melalui beberapa jalur seperti Windows
HTTP, network sockets dan proxy server. Ia juga memungkinkan Payload
DLL memproses permintaan server HTTP langsung dari C&C, secara
diam-diam memindahkan duplikat informasi yang dicuri dari perangkat
yang terinfeksi ke C&C, bahkan bisa mendistribusikan payload
berbahaya lain ke dalam perangkat lain dalam jaringan, dan menciptakan
bentuk terkontrol dan laten yang menyebarkan infeksi ke komputer lain.
“Melihat besarnya Duqu project, mungkin yang membuat framework Duqu
adalah tim tersendiri yang berbeda dari grup yang menciptakan driver
dan yang menulis sistem infeksi yang dieksploitasi,” ujar Alexander
Gostev, Chief Security Expert Kaspersky Lab. “Melihat tingginya tingkat
kustomisasi dan ekslusivitas pada bahasa pemrograman yang diciptakan,
sangat mungkin program ini diciptakan tidak hanya untuk mencegah pihak
luar mengetahui operasi mata-mata cyber ini dan interaksinya dengan
C&C, namun juga untuk membedakannya dari kelompok internal Duqu
lainnya yang bertanggungjawab menulis bagian lain dari program ini.”
Menurut Alexander Gostev, pembuatan bahasa pemrograman tersendiri
menunjukkan betapa tingginya kemampuan para pengembang program dalam
mengerjakan proyek ini, dan menunjukkan kemampuan sumber daya keuangan
dan SDM yang dimobilisasi untuk memastikan proyek ini berjalan.
Kaspersky Lab mengajak komunitas programer atau siapapun yang
mengenali framework, toolkit atau bahasa pemrograman tak dikenal Duqu
Trojan untuk menghubungi stopduqu@kaspersky.com.
Courtesy CHIP.co.id
1 comment
I'm using AVG Anti virus for a number of years, I would recommend this product to you all.
Post a Comment