Dengan Upaya Global, Tipe Cacing Baru Diperlambat

Ada wabah cacing komputer besar sebelumnya, tetapi tidak ada yang seperti Conficker.

Pertama kali terlihat pada bulan November, cacing itu segera menginfeksi lebih banyak komputer daripada cacing dalam beberapa tahun terakhir. Dengan beberapa perkiraan itu sekarang diinstal pada lebih dari 10 juta PC. Tapi sejak kemunculannya yang pertama, itu sangat tenang. Conficker menginfeksi PC dan menyebar di sekitar jaringan, tetapi tidak melakukan hal lain. Ini bisa digunakan untuk meluncurkan serangan cyber besar-besaran, melumpuhkan hampir semua server di Internet, atau bisa disewakan kepada spammer untuk memompa miliaran pesan spam. Sebaliknya, itu duduk di sana, mesin penghancur besar menunggu seseorang untuk memutar kunci.

Sampai saat ini, banyak peneliti keamanan tidak tahu apa yang jaringan Conficker sedang tunggu. Pada hari Kamis, bagaimanapun, sebuah koalisi internasional mengungkapkan bahwa mereka telah mengambil langkah yang belum pernah terjadi sebelumnya untuk menjaga worm terpisah dari server perintah-dan-kontrol yang dapat mengendalikannya. Kelompok ini terdiri dari peneliti keamanan, perusahaan teknologi, pendaftar nama domain yang telah bergabung dengan Perusahaan Internet untuk Nama dan Nomor yang Ditugaskan (ICANN), yang mengawasi Sistem Nama Domain Internet.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Para peneliti telah mengambil kode Conficker dan menemukan bahwa itu menggunakan teknik baru yang rumit untuk menelepon ke rumah untuk mendapatkan instruksi baru. Setiap hari, worm menghasilkan daftar baru sekitar 250 nama domain acak seperti aklkanpbq.info. Kemudian memeriksa domain tersebut untuk instruksi baru, memverifikasi tanda tangan kriptografi mereka untuk memastikan bahwa mereka dibuat oleh penulis Conficker.

Ketika kode Conficker pertama kali retak, pakar keamanan mengambil beberapa domain yang dihasilkan secara acak ini, menciptakan apa yang dikenal sebagai sinkhole server untuk menerima data dari mesin yang diretas dan mengamati cara kerja cacing. Tetapi ketika infeksi semakin meluas, mereka mulai mendaftarkan semua domain - hampir 2.000 per minggu - mengeluarkan mereka dari peredaran sebelum para penjahat memiliki chanc. Jika ada orang-orang jahat yang mencoba mendaftarkan salah satu dari domain perintah dan kontrol ini, mereka akan menemukan bahwa mereka sudah diambil, oleh kelompok fiktif yang menamakan dirinya "Conficker Cabal." Alamatnya? 1 Microsoft Way, Redmond Washington.

Ini adalah jenis permainan kucing dan tikus baru bagi para peneliti, tetapi telah diuji beberapa kali selama beberapa bulan terakhir. Pada bulan November, misalnya, grup lain menggunakan teknik untuk mengendalikan domain yang digunakan oleh salah satu jaringan botnet terbesar di dunia, yang dikenal sebagai Srizbi, memotongnya dari server perintah dan kontrolnya.

Dengan ribuan domain, Namun, taktik ini bisa memakan waktu dan mahal. Jadi dengan Conficker, grup telah mengidentifikasi dan mengunci nama menggunakan teknik baru, yang disebut pra-registrasi domain dan kunci.

Dengan membagi pekerjaan mengidentifikasi dan mengunci domain Conficker, grup hanya menyimpan cacing di cek, tidak ditangani pukulan fatal, kata Andre DiMino, co-founder The Shadowserver Foundation, kelompok pengawas kejahatan dunia maya. "Ini benar-benar upaya kunci pertama pada tingkat ini yang memiliki potensi untuk membuat perbedaan substansial," katanya. "Kami ingin berpikir kami memiliki beberapa efek dalam melumpuhkannya."

Ini adalah wilayah yang belum dipetakan untuk ICANN, kelompok yang bertanggung jawab untuk mengelola sistem alamat Internet. Di masa lalu, ICANN telah dikritik karena lambat menggunakan kekuatannya untuk mencabut akreditasi dari pendaftar nama domain yang telah banyak digunakan oleh para penjahat. Tapi kali ini mendapat pujian untuk aturan santai yang membuat sulit untuk mengunci domain dan untuk menyatukan peserta grup.

"Dalam kasus khusus ini mereka meminyaki roda sehingga semuanya akan bergerak cepat," kata David Ulevitch, pendiri dari OpenDNS. "Saya pikir mereka harus dipuji untuk itu … Ini adalah pertama kalinya ICANN benar-benar melakukan sesuatu yang positif."

Kenyataan bahwa kelompok organisasi yang beragam ini semuanya bekerja bersama adalah luar biasa, kata Rick Wesson, CEO konsultasi keamanan jaringan, Support Intelligence. "Bahwa China dan Amerika bekerja sama untuk mengalahkan aktivitas jahat dalam skala global … itu serius. Itu tidak pernah terjadi," katanya.

ICANN tidak membalas panggilan mencari komentar untuk cerita ini dan banyak peserta dalam upaya Conficker, termasuk Microsoft, Verisign dan Pusat Informasi Jaringan Internet China (CNNIC) menolak untuk diwawancarai untuk artikel ini.

Secara pribadi, beberapa peserta mengatakan bahwa mereka tidak ingin menarik perhatian pada upaya masing-masing untuk memerangi apa yang mungkin terorganisir. kelompok cybercrime. Yang lain mengatakan bahwa karena upaya itu sangat baru, masih terlalu dini untuk membahas taktik.

Apa pun ceritanya, taruhannya jelas tinggi. Conficker telah ditemukan di jaringan pemerintah dan militer dan telah sangat ganas dalam jaringan perusahaan. Satu kesalahan, dan pembuat konten Conficker dapat memprogram ulang jaringan mereka, memberi komputer algoritme baru yang harus dipecahkan dan memberi mereka kesempatan untuk menggunakan komputer ini untuk tujuan jahat. "Kami harus 100 persen akurat," kata Wesson. "Dan pertempuran adalah pertempuran harian."

(Sumner Lemon di Singapura berkontribusi pada laporan ini.)