Contoh Kasus: Berita
Fasilitas Vital Iran Diserang Virus Komputer
Salah
satu malware, piranti lunak komputer yang bertujuan jahat, paling
canggih yang pernah diketahui menyerang infrastruktur sangat berharga
milik Iran. Para pakar mengatakan program virus STUXNET yang
sangat rumit mengisyaratkan bahwa program komputer ini dibuat oleh
"pemerintah satu negara". Ini diyakini sebagai virus pertama yang dibuat
dengan sasaran infrastruktur seperti pusat pembangkit listrik, pusat
penjernihan air minum, dan unit-unit industri. Virus ini pertama kali
diketahui Juni lalu dan sejak itu dipelajari dengan seksama.
"Fakta bahwa begitu banyak virus ini ditemukan di Iran dibanding
wilayah lain di dunia membuat kami berpikir bahwa virus ini memang
dengan sengaja ditujukan untuk Iran dan ada sesuatu hal yang sangat
berharga bagi pembuat virus ini," ujar Liam O'Murchu dari perusahaan
keamanan komputer Symantec, yang terus mengikuti perjalanan virus ini
sejak ditemukan.
Sejumlah kalangan berspekulasi bahwa virus ini mungkin dibuat untuk
mengacaukan pusat pembangkit listrik tenaga nuklir Bushehr milik Iran
atau pusat pengayaan uranium di Natanz, Iran. Akan tetapi, O'Murchu dan
pihak lain seperti pakar keamanan Bruche Scheiner mengatakan saat ini
belum cukup bukti untuk mengambil kesimpulan mengenai sasaran dan
pembuat virus ini.
Stuxnet pertama kali diketahui oleh satu perusahaan keamanan di
Belarus, namun kemungkinan besar sudah beredar sejak tahun 2009. Virus
ini menyerang sistem pengendali pabrik buatan Siemens. Tidak seperti
virus komputer lain, virus ini menyerang sistem yang tidak terkoneksi
dengan internet karena alasan keamanan.
Virus ini masuk ke mesin komputer dengan sistem operasi Windows lewat
stik memori USB -yang biasa digunakan untuk memindahkan data komputer-
yang sudah terkontaminasi virus itu. Jika virus ini sudah masuk ke
komputer yang tergabung dalam jaringan internal satu perusahaan, virus
ini mencari konfigurasi khusus dari program komputer pengendali industri
buatan Siemens.
Setelah berhasil membajaknya, kode ini bisa memprogram ulang program
yang disebut PLC (programmable logic control) untuk memberi mesin yang
dikendalikannya perintah-perintah baru. "[PLC] menghidupkan dan
mematikan mesin, suhu monitor, menghidupkan mesin pendingin jika satu
katup mencapai suhu tertentu," ujar O'Murchu.
"Ini semua sebelumnya tidak pernah diserang." Jika program virus ini
tidak berhasil menemukan konfigurasi yang dimaksud, program ini secara
relatif tidak berbahaya. Akan tetapi virus ini membuat banyak pihak
bertanya-tanya karena kerumitan kode yang digunakan dan fakta bahwa
virus ini menyatukan berbagai teknik berbeda.
"Terlalu banyak teknik baru dan tidak diketahui yang digunakan yang
sebelumnya tidak pernah terjadi." Dia menjelaskan salah satu teknik itu
adalah upaya menyembunyikan diri di PLC dan penggunaan stik memori USB
serta enam metode berbeda untuk menyebarkan diri. Sebagai tambahan virus
ini memanfaatkan kerentangan Windows yang belum diketahui sebelumnya,
yang dikenal dengan sebutan eksploitasi zero-day.
"Sangat jarang melihat satu serangan mempergunakan ekploitasi
zero-day," ujar Mikko Hypponen, kepala peneliti perusahaan keamanan
F-Secure.
"Stuxnet mempergunakan tidak hanya satu atau dua, tetapi empat." Dia
mengatakan penjahat dunia maya dan peretas (hacker) biasa sangat
menghargai eksploitasi zero-day dan tidak akan "menyia-nyiakannya"
dengan mempergunakan begitu banyak sekaligus. Microsoft telah mengatasi
dua kerentanan itu.
O'Murchu sepakat dan mengatakan bahwa analisanya mengisyaratkan
pembuat virus ini "berusaha keras". "Ini adalah proyek yang sangat
besar, sangat terencana dan memiliki biaya besar," ujarnya. "Virus ini
memiliki terlalu banyak kode hanya untuk tersebar ke mesin-mesin itu."
Analisanya ini didukung oleh penyelidikan yang dilakukan oleh
perusahaan keamanan internet lain dan pakar komputer. "Dengan
forensik yang kita miliki, terbukti bahwa Stuxnet adalah serangan
sabotase terarah yang melibatkan pengetahuan di dalam," ujar Ralph
Langer, pakar komputer industri dalam analisa yang diterbitkan di dunia
maya.
"Ini bukan hacker yang tinggal di rumah orang tuanya. Bagi saya untuk
melakukan serangan dalam tingkat ini diperlukan sumber daya besar yang
menunjuk pada pemerintah negara," tulisnya.
Langer yang menolak diwawancara BBC menjadi pusat perhatian setelah
menyebut bahwa sasaran Stuxnet adalah pusat nuklir Busherhr. Secara
khusus dia menggarisbawahi satu foto yang dilaporkan diambil di dalam
pusat nuklir itu yang menunjukkan bahwa virus ini digunakan untuk
menyerang sistem kendali, meski hal itu "tidak dikonfigurasi dan
mendapat izin secara benar".
O'Muchu mengatakan tidak ada kesimpulan pasti dari ini semua.
Akan tetapi dia berharap hal itu akan berubah ketika dia membeberkan analisanya dalam satu konperensi di Vancouver minggu depan.
"Kami tidak terbiasa dengan konfigurasi yang digunakan di industri yang berbeda," ujarnya.
Jadi dia berharap pakar lain bisa membeberkan penelitian mereka dan
menunjuk konfigurasi yang dibutukan dan di mana konfigurasi itu
digunakan.
Virus disebarkan melalui stik memori USB yang dipindah-pindah
Juru bicara Siemens, pembuat sistem yang menjadi sasaran, mengatakan
tidak mau berkomentar atas "spekulasi mengenai sasaran virus ini". Dia
mengatakan pusat pembangkit listrik tenaga nuklir Iran dibangun dengan
bantuan satu kontraktor Rusia dan Siemens tidak terlibat.
"Siemens tidak pernah terlibat dalam pembangunan Bushehr atau pusat
nuklir di Iran, atau menjual program komputer atau pun program sistem
pengendali," ujarnya. Siemens meninggalkan negara itu hampir 30 tahun
lalu."
Siemens mengatakan hanya tahu soal 15 peristiwa di mana virus ini
berhasil masuk ke sistem pengendali di pabrik-pabrik, sebagian besar di
Jerman. Analisa secara geografis Symantec terhadap penyebaran virus itu
juga mengkaji penyebarannya ke komputer pribadi.
"Tidak ada contoh kasus di mana operasi produksi terganggu atau
pabrik tidak berfungsi," ujar juru bicara Siements. "Virus ini telah
dibuang dalam kasus yang kami ketahui." O'Murchu mengatakan ini bukan
pertama kali satu virus komputer berdampak pada infrastuktur penting,
meski sebagian besar kasus terjadi secara kebetulan karena virus yang
tadinya dibuat untuk merusak sistem tertentu secara tidak sengaja
menyebar ke sistem yang lebih besar.
Tahun 2009 pemerintah Amerika Serikat mengakui bahwa telah ditemukan
program komputer yang bisa melumpuhkan jaringan listrik nasional. Dan
Hypponen mengatakan dia tahu soal serangan -yang dilakukan lewat stik
memori USB- terhadap sistem militer satu negara anggota NATO. "Apakah
serangan itu berhasil, kami tidak tahu," ujarnya.
Sumber: http://www.sabili.co.id/iptek/fasilitas-vital-iran-diserang-virus-komputer
Contoh Kasus: I Love You
ILoveYou adalah sebuah worm yang menyebar pada bulan Mei 2000. Pertama kali
worm ini ditemukan di Filipina. ILoveYou ditulis menggunakan bahasa pemrograman tingkat
tinggi Visual Basic Script, dan dapat menyebar baik melalui email maupun perpindahan file.
Virus ini memikat para penerima email untuk membuka attachment yang disertakan dalam
email tersebut dengan cara-cara:
- memiliki attachment yang bernama “LOVE-LETTER-FOR-YOU.TXT.VBS”.
- email memiliki subject yang bertuliskan “ILOVEYOU”
- pesan yang dalam email bertuliskan “kindly check the attached LOVELETTER coming
from me.”
Gambar 3.3 Virus ILoveYou
Ketika worm dieksekusi, baik melalui pembukaan attachment email maupun file yang
telah terinfeksi, maka worm melakukan berbagai langkah sebagai berikut [11]:
- Mengganti beberapa file dengan salinan dirinya
Ketika worm dieksekusi, maka ia akan mencari beberapa file dengan tipe tertentu
dan membuat melakukan perubahanterhadap file-file tersebut berdasarkan jenisnya,
seperti:
"Untuk file-file VisualBasic dan Javascript berekstensi vbs atau vbe, akan
diganti dengan salinan dari worm tersebut.
"Untuk file-file WindowsShell berekstensi js, jse, css, wsh, sct,atau hta, akan
diganti dengan salinan worm dan mendapat penggantian ekstensi dengan
vbs (misalnya untuk file a.css akan diganti dengan file baru bernama
a.css.vbs)
"Untuk file-file gambar berekstensi jpg atau jpeg, akan diganti dengan salinan
worm dan mendapat tambahan ekstensi vbs (misalnya untuk file b.jpg akan
diganti dengan file baru bernama b.jpg.vbs).
"Untuk file berekstensi mp3 atau mp2, akan dibuat salinan dari worm dengan
nama yang sama. File host tidak dihapus, namun beberapa atribut yang
dimiliki akan diganti untuk menyembunyikannya.
Karena yang dilakukan oleh worm adalah menulis ulang (overwrite) file-file tersebut,
ukan menghapusnya, maka proses recovery file host menjadi hal yang tidak
mungkin. Ketika pengguna mengeksekusi file-file yang telah diganti tersebut maka
worm akan kembali menyebar.
Ketika worm melakukan proses pemeriksaan dalam untuk mencari file-file di atas,
worm juga dapat melakukan pembuatan sebuah file yang berisi script mIRC. Jika
dalam proses pencarian ditemuka file-file mirc32.exe, mlink32.exe, mirc.ini, script.ini,
atau mirc.hip, maka worm akan membuat sebuah file bernama script.ini pada
direktori yang sama. Script ini menyebabkan penyebaran kepada seorang pengguna
lain yang baru bergabung dengan channel IRC tempat pengguna (yang telah
terinfeksi) sedang bergabung via DDC.
Sumber:http://www.cert.org/advisories/CA-2000-04.html