Stuxnet Dulu, Flame Kemudian, Semua untuk Iran?
REPUBLIKA.CO.ID, Oleh: Siwi Tri Puji
Jika boleh menyebut empu virus komputer saat ini, Flame adalah salah satunya. Malware ini ditemukan di Iran dan di tempat lain dan diyakini menjadi bagian dari operasi yang terkoordinasi dengan baik, berkelanjutan.
Operasi tersebut yang pasti dilakukan mirip operasi intelijen di dunia nyata yang didanai negara.
Flame pertama terdeteksi pada 28 Mei 2012 oleh tiga institusi, MAHER Center milik Iranian National Computer Emergency Response Team (CERT), Kaspersky Lab, dan CrySyS Lab milik Budapest University of Technology and Economics.
Virus yang diposisikan sebagai sebuah piranti spionase maya diketahui telah menginfeksi jaringan komputer di Iran, Lebanon, Suriah, Sudan, wilayah Pendudukan Israel, dan negara-negara lain di Timur Tengah dan Afrika Utara selama setidaknya dua tahun.
Menginfeksi seluruh komputer dengan platform Windows 7, Flame bisa menyebar dalam sistem lain melalui jaringan lokal (LAN) atau USB stick. Virus ini tergolong sangat ganas karena tak hanya merekam semua data dan kegiatan komputasi, Flame juga menyadap semua pembicaraan melalui Skype, serta meloncat melalui Bluetooth untuk mengunduh semua informasi kontak dalam smartphone yang terinfeksi.
Dijuluki "Flame" oleh Kaspersky, karena merupakan versi mini dari virus mematikan sebelumnya, Stuxnet, yang diyakini telah mendatangkan malapetaka pada program nuklir Iran pada tahun 2009 dan 2010.
Meskipun memiliki tujuan yang berbeda dan beda komposisi dari Stuxnet, serta dilahirkan oleh 'bidan' yang berbeda, namun melihat lingkup geografis infeksi dan perilakunya mengindikasikan bahwa negara yang sama berada di balik Flame.
"Malware ini bukan serangan cyber biasa yang lahir dan programmer biasa. Ini dirancang oleh mereka berdana tak terbatas untuk tujuan yang jauh lebih besar. Hanya negara yang mungkin merancangnya," kata seorang analis keamanan cyber.
Para peneliti mengatakan bahwa Flame dapat menjadi bagian dari proyek paralel yang dibuat oleh kontraktor yang disewa olehsebuah atau beberapa negara yang juga berada di balik serangan Stuxnet dan saudaranya, Duqu beberapa tahun sebelumnya.
"Stuxnet dan Duqu memiliki serangan yang sama, yang meniumbulkan kekhawatiran di seluruh dunia akan mengarah pada perang cyber," kata Eugene Kaspersky, CEO dan salah satu pendiri Kaspersky Lab, dalam sebuah pernyataan. "Malware ini terlihat menjadi tahapan lain dalam perang ini, dan itu penting untuk memahami bahwa senjata cyber bisa dengan mudah digunakan untuk melawan negara manapun."
Analisis awal Flame oleh laboratoriumnya menunjukkan bahwa virus ini dirancang terutama untuk memata-matai pengguna komputer yang terinfeksi dan mencuri data dari mereka, termasuk dokumen, rekaman pembicaraan, dan aktivitas komputasi lainnya. Ini juga membuka backdoor ke sistem yang terinfeksi untuk memungkinkan penyerang untuk memasang piranti sadap baru.
Malware ini memiliki kapasitas 20 megabyte. Begitu semua modul terinstal, terdiri dari library, database SQLite3, berbagai tingkat enkripsi--beberapa kuat, beberapa lemah--dan 20 plugin dengan kelamin ganda, si malware ini bisa masuk dan keluar, untuk memberikan berbagai fungsi pengaturan kepada penyerang.
Bahkan berisi beberapa kode yang ditulis dalam bahasa pemrograman LUA - pilihan yang biasa bagi malware.
Kaspersky Lab menyebutnya "salah satu ancaman yang paling kompleks yang pernah ditemukan." "Ini cukup fantastis dan luar biasa dalam hal kompleksitas," kata Alexander Gostev, kepala ahli keamanan di Kaspersky Lab.
Flame diduga mulai menginfeksi pada awal Maret 2010, meskipun tetap tidak terdeteksi oleh perusahaan antivirus manapun.
"Cukup menarik bahwa selama setidaknya dua tahun keberadaannya tak terdeteksi," kata Gostev. Bahkan ada dugaan, Flame sebetulnya telah lahir sejak 2007, berbarengan dengan Stuxnet dan Duqu.
Stuxnet, yang secara luas diyakini telah dikembangkan oleh Amerika Serikat dan Israel, ditemukan pada tahun 2010 setelah virus itu digunakan untuk menyerang fasilitas pengayaan uranium di Natanz, Iran. Ini adalah contoh pertama yang dikenal publik sebagai virus yang digunakan untuk menyerang mesin industri.
Peneliti Symantec,Februari lalu mengatakan bahwa mereka telah menemukan sepotong kode yang mereka sebut "Stuxnet 0.5" di antara ribuan versi dari virus yang mereka temukan dari mesin yang terinfeksi.
Mereka menemukan bukti Stuxnet 0,5 dikembangkan tahun 2005 ketika Iran mulai menyiapkan fasilitas pengayaan uraniumnya. Virus itu dipasang tahun 2007, tahun yang sama saat fasilitas Natanz mulai beroperasi.
Ahli keamanan yang mengkaji 18 -halaman laporan Symantec soal Stuxnet 0,5 mengatakan, laporan itu menunjukkan bahwa senjata cyber ini cukup kuat untuk melumpuhkan produksi di Natanz. Fakta mengejutkan, Stuxnet sudah ada sejak enam tahun yang lalu.
"Serangan ini bisa merusak mesin pemisah dengan putaran centrifugal tanpa membuat operator pabrik curiga," kata sebuah laporan yang ditulis oleh Institute for Science and International Security (ISIS), yang dipimpin oleh mantan inspektur senjata PBB, David Albright.
Meskipun tidak jelas apa kerusakan yang ditimbulkan Stuxnet 0,5, Symantec mengatakan virus itu dirancang untuk menyerang fasilitas Natanz dengan membuka dan menutup katup yang memasok gas heksafluorida ke centrifugal, tanpa sepengetahuan operator yang mengoperasikannya.
Pembedahan terhadap versi Stuxnet sebelumnya diyakini telah digunakan untuk menyabot proses pengayaan uranium dengan mengubah kecepatan perputaran sentrifugal.
"Laporan ini memberikan bukti lebih konkret bahwa Amerika Serikat melakukan kegiatan untuk menggagalkan program nuklir Iran sejak diaktifkan di bawah pemerintahan Presiden Mahmoud Ahmadinejad," kata John Bumgarner, seorang ahli senjata cyber yang bekerja sebagai kepala bidang teknologi bersama Unit Konsekuensi Cyber Amerika Serikat.
Amerika Serikat mulai membangun senjata cyber Stuxnet selama pemerintahan George W Bush. Menurut pejabat AS yang mengetahui program tersebut, senjata itu untuk mencegah Teheran memperoleh senjata nuklir.
Pemerintah AS menolak untuk mengomentari laporan Symantec itu dan telah melakukan penyelidikan atas bocornya informasi soal program cyber-nya.
Seperti halnya Stuxnet, Flame memiliki kemampuan untuk menyebar dengan menginfeksi menggunakan autorun dan kerentanan Lnk. Ini menunjukkan bahwa perancang Flame mungkin memiliki akses ke menu yang sama dengan pencipta Stuxnet.
Namun tidak seperti Stuxnet, Flame tidak dapat mereplikasi secara otomatis. Mekanisme penyebaran harus diaktifkan oleh penyerang.
Hal ini kemungkinan dimaksudkan untuk mengontrol penyebaran malware dan mengurangi kemungkinan terdeteksi. Satu lagi yang tak ditemukan pada Stuxnet, Flame memiliki kemampuan ‘bunuh diri’. Begitu terendus 2012 lalu, perintah bunuh diri segera terkirim, dan semua jejak malware dalam perangkat yang terinfeksi lenyap tanpa bekas.
Kaspersky memperkirakan Flame telah menginfeksi sekitar 1.000 mesin. Para peneliti sampai pada simpulan angka ini dengan menghitung jumlah pelanggannya sendiri yang diketahui telah terinfeksi dan keluhan pelanggan dari perusahaan antivirus lainnya. Di luar pelanggan mereka, bisa jadi angkanya berlipat.
Meski tak menyebut nama negara di balik proyek itu, mudah ditebak siapa yang sedang bermain-main dengan virus ini. Hanya dua bulan kemudian setelah terdeteksi, tepatnya pada tanggal 19 Juni 2012, Washington Post menerbitkan sebuah artikel yang mengklaim Flame dikembangkan secara gotong royong oleh US National Security Agency, CIA, dan militer Israel setidaknya lima tahun sebelumnya.
Proyek ini dikatakan menjadi bagian dari operasi rahasia bersandi Olympic Games , yang dimaksudkan untuk mengumpulkan informasi intelijen dalam persiapan untuk operasi sabotase cyber yang bertujuan memperlambat upaya nuklir Iran. Tak ada bantahan dari ketiganya. Pertanda iya? ***