Iran Menjadi Target Utama Cacing SCADA

Komputer di Iran telah terpukul paling keras oleh cacing komputer berbahaya yang mencoba mencuri informasi dari sistem kontrol industri.

Menurut data yang dikumpulkan oleh Symantec, hampir 60 persen dari semua sistem yang terinfeksi oleh cacing berada di Iran. Indonesia dan India juga terpukul keras oleh peranti lunak jahat, yang dikenal sebagai Stuxnet.

Melihat tanggal pada tanda tangan digital yang dihasilkan oleh worm, peranti lunak jahat itu mungkin telah beredar sejak dulu hingga Januari, kata Elias. Levy, direktur teknis senior dengan Symantec Security Response.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Stuxnet ditemukan bulan lalu oleh VirusBlokAda, perusahaan antivirus yang berbasis di Belarusia yang mengatakan menemukan perangkat lunak di sistem milik pelanggan Iran. Worm mencari sistem manajemen Siemens SCADA (kontrol pengawasan dan akuisisi data), yang digunakan di pabrik manufaktur dan utilitas besar, dan mencoba untuk mengunggah rahasia industri ke Internet.

Symantec tidak yakin mengapa Iran dan negara lain melaporkan begitu banyak infeksi. "Yang bisa kami katakan adalah siapa pun yang mengembangkan ancaman khusus ini menargetkan perusahaan di wilayah geografis itu," kata Levy.

AS memiliki embargo perdagangan yang telah lama berjalan terhadap Iran. "Meskipun Iran mungkin salah satu negara yang memiliki infeksi terburuk dari ini, mereka mungkin juga tempat di mana mereka tidak memiliki banyak AV saat ini," kata Levy.

Siemens tidak akan mengatakan berapa banyak pelanggan itu telah di Iran, tetapi perusahaan sekarang mengatakan bahwa dua perusahaan Jerman telah terinfeksi oleh virus. Pemindai virus gratis yang dipasang oleh Siemens pada awal minggu ini telah diunduh sebanyak 1.500 kali, kata juru bicara perusahaan.

Awal tahun ini, Siemens mengatakan bahwa pihaknya berencana untuk menghentikan bisnisnya di Iran - unit 290 karyawan yang berhasil mencetak € 438 juta (US $ 562,9 juta) pada tahun 2008, menurut Wall Street Journal. Kritik mengatakan perdagangan perusahaan di sana telah membantu memberi makan upaya pengembangan nuklir Iran.

Symantec mengumpulkan datanya dengan bekerja dengan industri dan mengalihkan lalu lintas yang ditujukan pada perintah cacing dan server kontrol ke komputernya sendiri. Selama periode tiga hari minggu ini, komputer yang terletak di 14.000 alamat IP mencoba untuk terhubung dengan server perintah dan kontrol, menunjukkan bahwa sejumlah kecil PC di seluruh dunia telah terkena cacing. Jumlah sebenarnya dari mesin yang terinfeksi mungkin dalam kisaran 15.000 hingga 20.000, karena banyak perusahaan menempatkan beberapa sistem di belakang satu alamat IP, menurut Symantec's Levy.

Karena Symantec dapat melihat alamat IP yang digunakan oleh mesin yang mencoba terhubung dengan perintah dan server kontrol, dapat memberi tahu perusahaan mana yang telah terinfeksi. "Tidak mengherankan, mesin yang terinfeksi termasuk berbagai organisasi yang akan menggunakan perangkat lunak dan sistem SCADA, yang jelas merupakan sasaran para penyerang," kata perusahaan itu dalam posting blognya Kamis.

Stuxnet menyebar melalui perangkat USB. Ketika USB stick yang terinfeksi dilihat pada mesin Windows, kode tersebut mencari sistem Siemens dan menyalin dirinya sendiri ke perangkat USB lain yang dapat ditemukan.

Solusi sementara untuk bug Windows yang memungkinkan Stuxnet menyebar dapat ditemukan di sini.

Robert McMillan mencakup keamanan komputer dan teknologi umum untuk berita Layanan Berita IDG. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]