Cacing Industri Stuxnet Ditulis Lebih Dari Satu Tahun yang Lalu

Cacing canggih yang dirancang untuk mencuri rahasia industri telah ada lebih lama dari yang diperkirakan sebelumnya, menurut pakar keamanan yang menyelidiki perangkat lunak berbahaya.

Disebut Stuxnet, cacing itu tidak diketahui hingga pertengahan Juli, ketika itu diidentifikasi oleh peneliti dengan VirusBlockAda, vendor keamanan yang berbasis di Minsk, Belarus. Cacing ini tidak hanya untuk kecanggihan teknisnya, tetapi juga untuk fakta bahwa ia menargetkan komputer sistem kontrol industri yang dirancang untuk menjalankan pabrik dan pembangkit listrik.

Sekarang para peneliti di Symantec mengatakan bahwa mereka telah mengidentifikasi versi awal dari cacing yang dibuat pada bulan Juni 2009, dan bahwa perangkat lunak jahat tersebut kemudian dibuat jauh lebih canggih pada awal tahun 2010.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Versi awal Stuxnet ini bertindak dengan cara yang sama dengan inkarnasinya saat ini - ia mencoba untuk terhubung dengan sistem manajemen dan pengendalian SCADA Siemens (kontrol pengawasan dan akuisisi data) - tetapi tidak menggunakan beberapa teknik baru yang lebih luar biasa untuk menghindari deteksi antivirus dan pasang sendiri di sistem Windows. Fitur-fitur itu mungkin ditambahkan beberapa bulan sebelum worm terbaru pertama kali terdeteksi, kata Roel Schouwenberg, seorang peneliti dari vendor antivirus Kaspersky Lab. "Ini tidak diragukan lagi merupakan serangan target paling canggih yang telah kita lihat sejauh ini," katanya.

Setelah Stuxnet dibuat, penulisnya menambahkan perangkat lunak baru yang memungkinkannya menyebar di antara perangkat USB dengan hampir tidak ada intervensi oleh korban. Dan mereka juga entah bagaimana berhasil mendapatkan kunci enkripsi milik perusahaan chip Realtek dan JMicron dan secara digital menandatangani malware, sehingga scanner antivirus akan memiliki waktu lebih sulit untuk mendeteksinya.

Realtek dan JMicron keduanya memiliki kantor di Hsinchu Science. Park di Hsinchu, Taiwan, dan Schouwenberg percaya bahwa seseorang mungkin telah mencuri kunci dengan mengakses komputer secara fisik di kedua perusahaan.

Para ahli keamanan mengatakan serangan yang ditargetkan ini telah berlangsung selama bertahun-tahun sekarang, tetapi mereka baru saja mulai mendapatkan perhatian utama, setelah Google mengungkapkan bahwa itu telah ditargetkan oleh serangan yang dikenal sebagai Aurora.

Baik Aurora dan Stuxnet memanfaatkan kekurangan "zero-day" dalam produk Microsoft. Tapi Stuxnet secara teknis lebih luar biasa daripada serangan Google, kata Schouwenberg. "Aurora memiliki nol hari, tetapi itu adalah nol hari melawan IE6," katanya. "Di sini Anda memiliki kerentanan yang efektif terhadap setiap versi Windows sejak Windows 2000."

Pada hari Senin, Microsoft bergegas keluar patch awal untuk kerentanan Windows yang digunakan Stuxnet untuk menyebar dari sistem ke sistem. Microsoft merilis pembaruan hanya ketika kode serangan Stuxnet mulai digunakan dalam serangan yang lebih ganas.

Meskipun Stuxnet mungkin telah digunakan oleh pemalsu untuk mencuri rahasia industri - data pabrik tentang cara membuat klub golf, misalnya - Schouwenberg mencurigai sebuah negara berada di belakang serangan.

Sampai saat ini, Siemens mengatakan empat pelanggannya telah terinfeksi dengan worm. Tapi semua serangan itu telah mempengaruhi sistem rekayasa, daripada apa pun di lantai pabrik.

Meskipun versi pertama dari cacing itu ditulis pada Juni 2009, tidak jelas apakah versi itu digunakan dalam serangan dunia nyata. Schouwenberg percaya bahwa serangan pertama mungkin terjadi pada awal Juli 2009. Serangan pertama yang dikonfirmasikan bahwa Symantec tahu tentang tanggal dari Januari 2010, kata Vincent Weafer, wakil presiden Symantec tentang teknologi keamanan dan respons.

Sebagian besar sistem yang terinfeksi berada di Iran, tambahnya, meskipun India, Indonesia dan Pakistan juga terpukul. Ini sendiri sangat tidak biasa, kata Weaver. "Ini adalah pertama kalinya dalam 20 tahun saya dapat mengingat bahwa Iran muncul begitu berat."

Robert McMillan mencakup keamanan komputer dan teknologi umum untuk berita Layanan Berita IDG. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]