Telah ditemukan dan tengah diteliti malware yang disebut pakar dari Kaspersky Lab sebagai Flame. Malware ini jauh lebih canggih dan kompleks daripada Duqu dan Stuxnet. Ditengarai, Flame merupakan malware untuk kegiatan spionase, dioperasikan oleh negara tertentu dengan target negara-negara Timur Tengah.
Selain Kaspersky, Iranian Computer Emergency Response Team (MAHER) juga sedang menyelidiki malware ini. MAHER menyebutnya Flamer dan menuduhnya bertanggung jawab atas insiden hilangnya data di Iran.
Agak mirip dengan Duqu dan Stuxnet, Flame juga memiliki target geografi penyerangan di Timur Tengah. Selain itu, Flame juga memanfaatkan sisi kelemahan software yang sama. Tetapi Flame memiliki feature yang jauh lebih banyak daripada pendahulunya.
Menurut pakar dari Kaspersky Lab, Flame memiliki ancaman yang paling kompleks dari malware yang pernah ditemukan. Selain memiliki feature yang mirip worm, Flame juga merupakan backdoor dan juga Trojan, yang memperbanyak dirinya di network dan juga menginfeksi sistem melalui removable disk bila memang diperintahkan oleh master-nya.
Setelah menginfeksi sistem, Flame melakukan berbagai operasi, mulai dari mengintip lalu-lintas network, meng-capture layar, merekam suara percakapan melalui mikrofon komputer, mengintip ketikan keyboard, dan lainnya. Data-data hasil pencurian ini akan dikirim oleh Flame ke operator server pengendali Flame. Menurut Kapersky Lab, ada sekitar 80 server pengendali yang masing-masing dengan domain berbeda.
Uniknya, operatur dapat meng-upload modul lainnya yang dapat menambah feature atau fungsionalitas Flame bila diperlukan. Sementara ini ada 20 modul yang telah ditemukan dan sebagian besar masih diselidiki kegunaannya. Bila semua modul dijalankan, ukuran Flame bisa mencapai hampir 20MB (bandingkan dengan kode Stuxnet yang cuma 500KB).
Pada Duqu dan Stuxnet ada timer untuk mematikan dirinya sendiri. Pada Flame tidak terdapat fungsi tersebut. Tetapi pengontrol Flame dapat mengirim modul penghapus malware yang akan meng-uninstall Flame dari sistem dan menghapus setiap jejak kehadirannya.
Karena Flame bersifat modular, bagian dari malware sulit dianalisa. Untuk menganalisis Stuxnet misalnya, Kaspersky Lab membutuhkan waktu beberapa bulan, tetapi untuk Flame bisa makan waktu setahun untuk memahami keseluruhan kode.
Flame menggunakan bahasa scripting Lua yang dapat ber-inferface dengan bahasa C. Penggunaan Lua itu tidak biasa. Ukurannya juga lebih besar dibandingkan dengan malware modern yang menggunakan bahasa programming yang lebih kompak sehingga mudah disembunyikan.
Menurut Kaspersky Lab, proyek Flame dibuat tidak lebih awal dari tahun 2010, walaupun hal ini masih dalam penyelidikan. Berdasarkan data yang ditemukan, Flame sudah beraksi pada Februari sampai Maret 2010. Kapersky juga menemukan beberapa modul dibuat pada 2011 dan 2010.
Sependapat dengan MAHER, Kapersky Lab juga mencurigai Flame sebagai aktvititas spionase. Ini dilihat dari tujuan Flame yang bukan kriminal (seperti mencuri uang di bank), target serangan di negara-negara Timur Tengah, dan kerumitan ancamannya. Seperti juga Stuxnet dan Duqu, tidak ada informasi di dalam program siapa pembuatnya.
Tidak ada komentar:
Posting Komentar