Dalam beberapa minggu terakhir ini
telah ditemukan infeksi virus komputer yang telah menyerang perusahaan energi
di timur tengah. Perusahaan energi di qatar (RasGas) melaporkan bahwa jaringan
dan web site perusahaan ini down setelah diserang oleh virus. Tak lama kemudian
Saudi Aramco Company melaporkan bahwa jaringan perusahaan tersebut kolaps
karena diserang oleh virus dan mematikan sekitar 30 ribu workstation.
Cyber Espionage memang sering digunakan untuk menyerang
target-target perusahaan di timur tengah dengan melibatkan malware yang
diciptakan khusus untuk mencuri informasi rahasia, menghapus data, mematikan
komputer perusahaan bahkan menyabotase komputer pembangkit listrik tenaga
nuklir. Investigasi malware yang telah ditemukan dan di identifikasi dipercaya
bahwa beberapa malware saling berkaitan. Berikut ini adalah malware-malware
yang berhasil diinvestigasi yang memang ditujukan untuk menyerang timur tengah:
·
Stuxnet
Stuxnet ditemukan pada juni 2010, dan dipercaya sebagai malware pertama yang
diciptakan untuk menyerang target spesifik pada system infrastruktur penting.
Stuxnet diciptakan untuk mematikan centrifuse pada tempat pengayaan uranium di
nathanz, Iran. Stuxnet diciptakan oleh amerika-Israel dengan kode sandi
“operation olympic games” di bawah komando langsung dari George W. Bush yang
memang ingin menyabotase program nuklir Iran. Malware yang rumit dan canggih
ini menyebar lewat USB drive dan menyerang lubang keamanan pada sistem windows
yang di sebut dengan “zero-day” vulnerabilities. Memanfaatkan dua sertifikat
digital curian untuk menginfeksi Siemens Supervisory Control and Data
Acquisition (SCADA), PLC yang digunakan untuk mengatur proses industri dalam
program nukliriran.
·
Duquworm
Duqu terungkap pada september 2011, analis mengatakan source code pada duqu
hampir mirip dengan source code yang dimiliki stuxnet. Namun duqu dibuat untuk
tujuan yang berbeda dengan stuxnet. Duqu didesain untuk kegiatan pengintaian
dan kegiatan intelejen, virus ini menyerang komputer iran tapi tidak ditujukan
untuk menyerang komputer industri atau infastruktur yang penting. Duqu
memanfaatkan celah keamanan “zero-day” pada kernel windows, menggunakan
sertifikat digital curian, kemudian menginstal backdoor. Virus ini dapat mengetahui
apa saja yang kita ketikan pada keyboard dan mengumpulkan informasi penting
yang dapat digunakan untuk menyerang sistem kontrol industri. Kaspersky Lab
mengatakan bahwa duqu diciptakan untuk melakukan “cyberespionage” pada program
nuklir iran.
·
Gauss
Pada awal bulan agustus 2012, kaspersky lab mengumumkan ke publik telah
menginvestigasi malware mata-mata yang dinamakan dengan “gauss'. Sebenarnya
malware ini sudah disebarkan pada bulan september 2011 dan ditemukan pada bulan
juni 2012. malware ini paling banyak ditemukan di wilayah Lebanon, israel, dan
palestina. Kemudian di ikuti Amerika dan uni emirat arab. Gauss memiliki
kemampuan untuk mencuri password pada browser, rekening online banking,
cookies, dan melihat sistem konfigurasi. Kaspersky mengatakan AS-Israel yang
telah membuat virus ini.
·
MAHDI
Trojan pencuri data Mahdi ditemukan pada februari 2012 dan baru diungkap ke
public pada juli 2012. Trojan ini dipercaya sudah melakukan cyberespionage
sejak desember 2011. Mahdi dapat merekam apa saja yang diketikan pada keyboard,
screenshot pada komputer dan audio, mencuri file teks dan file gambar. Sebagian
besar virus ini ditemukan menginfeksi komputer di wilayah iran, israel,
afghanistan, uni emirat arab dan arab saudi, juga termasuk pada sistem infrastruktur
penting perusahaan, pemerintahan, dan layanan finansial. Belum diketahui siapa
yang bertanggung jawab atas pembuat virus ini. Virus ini diketahui menyebar
lewat attachment yang disisipkan pada word/power point pada situs jejaring
sosial.
·
FLAME
Flame ditemukan pada bulan mei 2012 saat Kaspersky lab sedang melakukan
investigasi komputer departemen perminyakan di Iran pada bulan april. Kaspersky
memgungkapkan bahwa FLAME digunakan untuk mengumpulkan informasi intelejen
sejak bulan februari 2010, namun crySyS lab di Budapest mengungkapkan virus ini
sudah ada sejak 2007. Flame kebanyakan menginfeksikomputer di wilayah Iran,
disusul oleh israel, sudan, syria, lebanon, arab saudi dan mesir. Flame
memanfaatkan sertifikat digital tipuan dan menyebar lewat USB drive, local
network atau shared printer kemudian menginstall backdoor pada komputer. Flame
dapat mengetahui lalulintas jaringan dan merekam audio, screenshot, percakapan
skype dan keystroke. Flame diketahui juga mencuri file PDF, text, dan file
AutoCad, dan dapat mendownload informasi dari perangkat lain via
bluetooth. Flame didesain untuk melakukan kegiatan mata-mata biasa yang tidak
ditujukan untuk menyerang industri. Karakteristik Flame mirip dengan stuxnet
dan duqu. Menurut pengamat flame juga merupakan bagian dari proyek “Olympic
Games Project”.
·
Wiper
pada april 2012 telah dilaporkan malware yan menyerang komputer di departement
perminyakan iran dan beberapa perusahaan lain, kasperski lab menyebut virus ini
sebagai “wiper”. Virus ini menghapus data pada harddisk terutama file dengan
ekstensi *.pnf. Ekstensi *.pnf diketahui sebagai extensi file yang digunakan
oleh malware stuxnet dan duqu. Dengan dihapusnya extensi file *.pnf maka akan
menyulitkan investigator untuk mencari sampel infeksi virus tersebut.
·
Shamoon
Ditemukan pada awal agustus 2012, shamoon menyerang komputer dengan os windows
dan didesain untuk espionage (mata-mata). Shamoon pada awalnya sering dikira
“wiper”, namun ternyata shamoon adalah tiruan dari wiper yang mempunyai target
perusahaan minyak. Shamoon sepertinya dibuat oleh perorangan dan tidak dibuat
seperti stuxnet yang melibatkan negara AS-israel. Hal ini terlihat dari
banyaknys error pada source code. Ada spekulasi bahwa shamoon menginfeksi
jaringan Saudi Aramco. Shamoon diprogram untuk menghapus file kemudian
menggantinya dengan gambar bendera amerika yang terbakar, dan juga untuk
mencuri data.
b)
Kasus Uncovvered
·
Pada hari Rabu, 3 Agustus perusahaan
keamanan komputer McAfee, Inc, menerbitkan sebuah laporan 14-halaman merinci
operasi hacker terbesar digali sampai saat ini.
·
Dijuluki "RAT Operasi Shady"
(Remote Access-Tool, sebuah program yang memungkinkan pengguna untuk mengakses
jaringan jauh) oleh Dmitri Alperovitch, wakil presiden McAfee penelitian
ancaman, ini rentetan serangan melibatkan lebih dari 70 organisasi
internasional, termasuk dua instansi pemerintah Kanada.
·
McAfee mampu mengidentifikasi 72 target
pelanggaran keamanan. Banyak pihak lebih dikompromikan ditemukan pada log
server tapi tidak bisa diidentifikasi karena kurangnya informasi yang akurat.
Dari banyak korban, lebih dari setengah yang berbasis di AS, dan 22 adalah
lembaga pemerintah dari berbagai negara lainnya. RAT Shady ditargetkan total 14
negara dan negara.
·
Bukti RAT Operasi Shady pertama kali
ditemukan pada tahun 2009, ketika seorang klien McAfee - seorang kontraktor
militer AS - terdeteksi program dipertanyakan pada jaringan. Sebuah
penyelidikan jaringan menunjukkan bahwa kontraktor militer telah disusupi oleh
malware yang tidak diketahui, diklasifikasikan sebagai Alat Remote-Access atau
RAT. RAT ini memungkinkan hacker akses ke jaringan kontraktor militer dan
karenanya setiap informasi berharga yang tersimpan di jaringan. Akhirnya,
Alperovitch terletak salah satu server Command & Control digunakan oleh
para penyusup untuk mengoperasikan RAT dan segera diblokir klien McAfee
berkomunikasi dengan server.
A
