Seputar Stuxnet


Berikut ini berbagai artikel dari detiknet tentang Stuxnet, belum bisa seluruhnya,… tetap[i nanti sambil di update… maklum sudah malam

Virus Sabotase Nuklir : Stuxnet Bukan Ulah Cracker Kacangan

Ardhi Suryadhi – detikinet | Kamis, 18/11/2010 16:38 WIB

Jakarta – Stuxnet diduga kuat dirancang khusus untuk mensabotase pembangkit listrik tenaga nuklir di Iran. Tak heran jika beredar kabar, ada sosok besar dibalik kehadiran worm ganas ini. Bukan sekadar penjahat cyber (cracker) kacangan.

Menurut M. Salahuddien, Wakil Ketua Indonesia Security Incident Responses Team on Internet Infrastructure (ID-SIRTII), butuh engineering yang luar biasa untuk menciptakan virus sekelas Stuxnet.

Pasalnya, untuk mengembangkan aplikasi jahat ini, perlu riset dan biaya yang tak sedikit, tidak mungkin diongkosi oleh pemain amatir. Alhasil, tudingan bahwa ada lembaga atau negara besar di balik Stuxnet pun dinilai sangat masuk akal.

“Paling tidak yang punya informasi detail apa saja sistem yang dikendalikan SCADA dalam suatu fasilitas nuklir tentu hanya diketahui oleh sangat sedikit negara dan expert di bidang ini. Ini bukan jenis barang yang dijual di toko-toko kelontong kan?” tukas pria yang biasa dipanggil Didin ini kepada detikINET, Kamis (18/11/2010).

Stuxnet pada awalnya memang sempat dikira sebagai worm biasa yang cukup canggih. Tapi, peneliti kemudian menemukan worm itu menargetkan sistem khusus ‘supervisory control and data acquisition’ (SCADA).

SCADA digunakan untuk mengendalikan sistem pipa, pembangkit listrik tenaga nuklir dan perangkat manufaktur lainnya.

Lebih lanjut, peneliti menemukan bahwa Stuxnet dirancang untuk melakukan pencegatan perintah spesifik dari SCADA ke fungsi tertentu. Meski belum bisa dipastikan apa, namun temuan terbaru menguatkan dugaan bahwa targetnya adalah PLTN Bushehr atau Natanz di Iran.

“Spesifikasi peralatan-peralatan tersebut pasti sangatlah rahasia bahkan Amerika melarang vendor menjual ke luar Amerika untuk hal-hal tertentu. Ini berbeda dengan virus-virus yang dibikin cracker untuk mencuri data privasi khusus nasabah bank. Misalnya Zeus, walau termasuk dalam kategori targetted attack tools sama seperti Stuxnet tapi kelas teknologi yang dipakai amat sangat jauh berbeda,” jelas Didin.

Selain itu, sampai saat ini perusahaan-perusahaan antivirus ternama juga dinilai belum berhasil sepenuhnya untuk melakukan decoding virus Stuxnet untuk mencari tahu struktur serta source code aslinya.

“Mereka baru berhasil mengidentifikasi cara kerja, penyebaran serta target dari serangannya saja,” ia menandaskan. ( ash / rns )

Sumber:

Sumber relevan lainnya:

RI, Kedua Tertinggi Diserang Virus Stuxnet

Senin, 4 Oktober 2010 | 10:27 WIB

INILAH.COM, JakartaVirus Stuxnet jadi pembahasan karena menargetkan fasilitas penting termasuk nuklir Iran. Gawatnya Indonesia jadi negara tertinggi kedua yang terinfeksi virus itu.

Worm komputer Stuxnet pertama kali ditemukan pada Juni 2010. Penemunya adalah sebuah perusahaan keamanan berasal dari Belarus.

Worm ini jadi terkenal karena merupakan worm pertama yang memata-matai dan memprogram ulang sistem industri.

Serangan worm itu belakangan menimbulkan banyak spekulasi dan diskusi, mengenai maksud dan tujuan penyebar Stuxnet, asal, serta identitas dari penyerang dan targetnya.

Berdasarkan geografis penyebaran Stuxnet, perusahaan keamanan Kaspersky Labs menyebutkan Iran, Indonesia dan India sejauh ini memimpin dalam hal negara yang terinfeksi.

Namun, Eugene Kaspersky, Co-founder and Chief Executive Officer of Kaspersky Lab dalam keterangan tertulis yang diterima INILAH.COM menyebutkan epidemi Stuxnet (seperti epidemi lainnya) tidak statis.

Worm ini secara terus menerus menyebar. Sementara banyak sistem masih terinfeksi, namun banyak juga yang telah dibersihkan.

Kaspersky Lab menyebut infeksi Stuxnet di India tercatat 86 ribu, Indonesia 34 ribu, dan Iran 14 ribu .[ito]

Sumber:

RI juga Korban Virus Israel Penyerang Nuklir Iran?

Sabtu, 02 Oktober 2010

INILAH.COM, Jakarta – Virus komputer yang menyerang fasilitas nuklir Iran dicurigai berasal dari Israel. Virus itu dilaporkan juga telah menyerang fasilitas vital Indonesia.

Seperti dilaporkan The Telegraph seorang peneliti Jerman Ralf Langner mengklaim Unit 8200 yang merupakan lengan pasukan pertahanan Israel adalah pelaku serangan virus komputer yang menyusup ke dalam stasiun tenaga nuklir Bushehr Iran.

Ahli komputer itu telah menghabiskan waktu panjang menelusuri asal dari worm bernama Stuxnet itu.

Sepotong perangkat lunak canggih tapi berbahaya tersebut bisa menginfeksi sistem operasi yang dibuat oleh Siemens dari Jerman di seluruh dunia.

Virus Stuxnet kemungkinan besar masuk ke Iran lewat flashdisk oleh salah satu perusahaan Rusia yang membantu membangun fasilitas Bushehr.

Disebutkan, perusahaan yang sama memiliki proyek di Asia, termasuk India dan Indonesia yang kemungkinan juga diserang.

Sementara Iran diduga telah menderita 60 persen dari serangan.

Ahli keamanan cyber mengatakan bahwa Israel kemungkinan besar adalah pelaku serangan itu dan telah menargetkan Iran. Tetapi negara itu tidak mengakui perannya itu pada sekutu-sekutunya.

“Tidak ada yang bersedia menerima tanggung jawab untuk khasus perangkat lunak berbahaya ini yang merupakan senjata kompleks dan hebat,” kata seorang pakar Whitehall.

Pihak berwenang Iran mengakui worm telah menyerang Bushehr dan mengakui fasilitas itu akan mulai beroperasi pada Januari, dua bulan terlambat dari yang direncanakan.

Sumber

Stuxnet Diduga Mau Sabotase Diam-Diam Nuklir Iran

Wicak Hidayat – detikinet | Selasa, 16/11/2010 16:37 WIB

Jakarta – Sebuah fakta baru soal virus Stuxnet mengemuka. Dari kode penyusunnya, diduga kuat virus itu dirancang untuk mensabotase pembangkit listrik tenaga nuklir di Iran.

“Indikasinya, pembuat Stuxnet ingin masuk ke dalam sistem dan tidak ditemukan untuk waktu lama dan melakukan perubahan secara perlahan dan diam-diam, tanpa menimbulkan kegagalan sistem,” tulis Liam O Murchu, peneliti Symantec Security Response, dalam makalah penelitiannya yang dikutip detikINET dari Wired, Selasa (16/11/2010).

Stuxnet ditemukan Juni 2010 di Iran. Meski demikian, ia telah menginfeksi lebih dari 10.000 sistem komputer di dunia.

Awalnya, Stuxnet dikira sebagai worm biasa yang cukup canggih. Tapi, peneliti kemudian menemukan worm itu menargetkan sistem khusus ‘supervisory control and data acquisition‘ (SCADA).

SCADA digunakan untuk mengendalikan sistem pipa, pembangkit listrik tenaga nuklir dan perangkat manufaktur lainnya.

Lebih lanjut, peneliti menemukan bahwa Stuxnet dirancang untuk melakukan pencegatan perintah spesifik dari SCADA ke fungsi tertentu. Meski belum bisa dipastikan apa, namun temuan terbaru menguatkan dugaan bahwa targetnya adalah PLTN Bushehr atau Natanz di Iran.

Target Spesifik

Menurut Symantec, Stuxnet menargetkan perintah spesifik pada frequency converter drives. Ini merupakan pemasok daya yang digunakan untuk mengatur kecepatan sebuah perangkat, misalnya motor.

Perintah yang dicegat itu lalu diubah dengan perintah yang berbeda. Akibatnya, kecepatan motor itu akan berubah, namun hanya sesekali.

Nah, yang unik, Stuxnet bukan hanya menargetkan frekuensi sembarangan. Ia melihat apa saja yang ada di dalam jaringan, dan hanya aktif jika PLTN itu memiliki setidaknya 33 frequency converter drives.

Lebih khususnya lagi, Stuxnet menargetkan PLTN dengan frequency converter drives yang dibuat oleh Fararo Paya (Teheran) atau Vacon (Finlandia).

Iran?

Symantec nampak berhati-hati dalam laporan itu dengan tidak secara tegas memastikan bahwa Stuxnet memang menargetkan fasilitas nuklir tertentu. Namun dugaan kuat ke arah sana bisa terlihat.

“Saya memperkirakan, tak akan ada terlalu banyak negara di luar Iran yang memakai perangkat buatan Iran. Dan saya tak bisa membayangkan ada fasilitas nuklir di AS yang memakai perangkat dari Iran,” tulis O Murchu.

Masih lebih khusus lagi, Stuxnet disinyalir hanya menargetkan frequency converter drives dari kedua perusahaan itu yang memiliki keluaran 807Hz dan 1210Hz.

Kecepatan yang disebutkan di atas, menurut O Murchu, kemungkinan penggunaannya hanyalah untuk hal-hal tertentu saja. “Hanya ada sedikit kemungkinan sebuah alat harus berputar secepat itu — misalnya, untuk pengayaan uranium,” ia menjelaskan.

Perlu diketahui, AS mengatur secara ketat ekspor perangkat frequency converter drives yang keluarannya melebihi 600 Hz. Hal ini karena penggunaannya bisa untuk pengayaan uranium. Pengayaan uranium merupakan salah satu proses yang dilakukan dalam membuat bahan baku untuk senjata nuklir.
( wsh / wsh )

Sumber

Sumber

Sumber

Sumber

Sumber

Sumber

Winsta ‘Menggelembung’ Bikin Hardisk Penuh

Wicak Hidayat – detikinet | Jumat, 30/07/2010 13:25 WIB

Jakarta – Hati-hati dengan virus yang satu ini. Program jahat bernama Winsta ini bisa ‘menggelembung’ sehingga hardisk korbannya bisa seketika penuh olehnya.

Seperti dituturkan oleh analis antivirus dari Vaksincom, Adi Saputra, dalam keterangannya, Jumat (30/7/2010), Winsta dikenal juga dengan nama Stuxnet. Selain hardisk penuh, file Winsta juga bersembunyi sebagai file DLL sah dari Realtek, sehingga agak sulit mendeteksinya.

Penyebaran awal virus ini, menurut Adi, adalah melalui situs-situs berbahaya. Termasuk di antaranya adalah situs dengan konten porno, software ilegal dan situs-situs ‘kelabu’ lainnya.

Menurut analis Vaksincom Alfons Tanujaya, kepada detikINET, Jumat (30/7/2010), penyebaran Winsta di Indonesia cukup besar. Bahkan Indonesia menempati posisi kedua infeksi Winsta alias Stuxnet ini setelah Iran.

File Virus

Lebih lanjut, Adi mengatakan, jika script Trojan Stuxnet dari situs berbahaya tadi sudah berjalan akan muncul tiga file di komputer korban. Ketiganya adalah Winsta.exe, mrxcls.sys dan mrxnet.sys.

File bernama Winsta itu yang akan membengkak ukurannya sesuai sisa ruang hardisk yang ada. Biasanya partisi yang jadi korban adalah partisi tempat sistem operasi Windows berada.

Nama file itu, Winsta, dicatut dari nama file asli Windows untuk program bernama WinStation Monitor. Aplikasi ini merupakan tools yang digunakan pada Windows 2000 dan terletak di C:\Program Files\Resources\Winsta.exe.

Gejala & Efek Virus

Efek paling kasat mata dari virus ini tentunya adalah hardisk yang mendadak penuh. Akibat dari hardisk yang penuh itu, beberapa program mungkin tak akan berjalan dengan baik.

Selain itu,infeksi Stuxnet juga terjadi pada file sistem berikut:

  • Scvhost, sehingga komputer sulit terhubung ke jaringan.
  • Lsass, komputer bisa menjadi lambat, hang ataupun restart dengan sendirinya.
  • Spoolsv, komputer tidak bisa mencetak dokumen/gambar lewat printer.

( wsh / wsh )

Sumber

Virus Komputer Ancam Sabotase Industri Vital

Wicak Hidayat – detikinet | Selasa, 20/07/2010 08:30 WIB

Jakarta – Sebuah virus diketahui melakukan serangan pada sistem kendali industri. Gawatnya, sistem ini digunakan di industri vital, mulai dari pabrik makanan hingga pembangkit listrik.

Seperti dikutip detikINET dari Reuters, Selasa (20/7/2010), perusahaan elektronik Siemens AG telah mengumumkan adanya sebuah virus yang cukup berbahaya. Karena virus itu menyerbu  Supervisory Control and Data Acquisition (SCADA).

Bahaya dari virus itu jadi besar karena SCADA digunakan di berbagai industri penting. Mulai dari pabrik pembuat makanan, industri kimia hingga pembangkit listrik.

Siemens menyebutkan, program jahat dengan nama Stuxnet itu memanfaatkan kelemahan pada sistem operasi Windows. Sedangkan penyebarannya dilakukan melalui USB Flashdisk.

“Cukup membuka flashdisk itu sudah cukup untuk mengaktifkannya. Siemens merekomendasikan untuk tidak menggunakan USB Flashdisk,” ujar Alexander Machowetz, juru bicara Siemens.

Setelah menginfeksi sistem SCADA Siemens, program jahat itu akan mengirimkan data ke komputer server di lokasi yang jauh. Dari sana, data penting bisa dicuri atau bahkan kendali sistem itu bisa diambilalih oleh pihak tak bertanggungjawab.

Untungnya, penyebaran program jahat ini agak terhambat karena kebanyakan sistem SCADA tak terhubung ke internet langsung, sehingga penyebarannya praktis hanya melalui USB Flashdisk. Meski demikian, sejauh ini sudah ada satu klien Siemens di Jerman yang terinfeksi Stuxnet.

( wsh / wsh )

Sumber

‘Cyber Storm III’ Tests U.S. resilience Under Cyber Attack

SEPTEMBER 28, 2010 22:28, 

The U.S. Department of Homeland Security (DHS) launched today the ‘Cyber Storm III’, a drill testing the nations’ resilience under a simulated, deliberate international cyber attack aimed at the hubs of government, infrastructure and business.

The three day exercise is the third and largest in a series of annual cyber attack drills conducted outside the defense community. The current event involves more participants that past years, form the federal, state, and commercial sectors. Among the ‘defenders’ are players from seven government departments, 11 states, 12 different countries and 60 private sector companies. The exercise is managed by the DHS’s National Cyber Security Division (NCSD).

The cabinet-level departments participating in Cyber Storm III are from Commerce, Defense, Energy, Homeland Security, Justice, Transportation and Treasury. In addition, the White House and representatives from the intelligence and law enforcement communities will also attend the event. Eleven states are taking part – California, Delaware, Illinois, Iowa, Michigan, Minnesota, North Carolina, New York, Pennsylvania, Texas and Washington. Among the participant countries are Australia, Canada, France, Germany, Hungary, Japan, Italy, the Netherlands, New Zealand, Sweden, Switzerland, and the United Kingdom (only four foreign nations participated in Cyber Storm II last year). DHS selected 60 companies from the private sector, to assess the effect of potential cyber attack on commercial services sectors, such as Banking and Finance, Chemical, Communications, Dams, Defense Industrial Base, Information Technology, Nuclear, Transportation, and Water.

The scenario developed by NCSD incorporates known, credible technical capabilities of adversaries and the exploitation of real cyber infrastructure vulnerabilities, resulting in a range of potential consequences – including loss of life and the crippling of critical government and private sector functions. By coincidence, such capabilities have surfaced in recent weeks, with the distribution of a new malicious code called Stuxnet, spreading through industrial systems and infrastructure networks. Such code has the potential to penetrate highly protected systems, including networks that are completely isolated from the internet, to conduct espionage, disruption or deliberate attack.

The ‘defenders’ could face over 1,500 separate events; some will be subtle, with only few hints indicating ongoing penetrations into computerized systems. Other events will be more dramatic, demonstrating the resulting effects to compromised networks. They will have to identify the ongoing attack in real time, mitigate the compromises and vulnerabilities that allowed it to occur, and deal with the possible consequences to compromised systems. “At its core, the exercise is about resiliency – testing the nation’s ability to cope with the loss or damage to basic aspects of modern life.” DHS officials explain, adding “the Cyber Storm III exercise scenario reflects the increased sophistication of our adversaries, who have moved beyond more familiar Web page defacements and Denial of Service (DOS) attacks in favor of advanced, targeted attacks that use the Internet’s fundamental elements against itself – with the goal of compromising trusted transactions and relationships.”

Cyber Storm III provides the DHS with the first opportunity to assess and strengthen cyber preparedness and resilience of the nation’s critical infrastructure and key resources (CIKR) – evaluating how the collective cyber preparedness and response capabilities perform against realistic cyber attack. It will also provide the first opportunity to assess the newly-developed National Cyber Incident Response Plan (NCIRP) – a blueprint directed by President Barack Obama, for cybersecurity incident response. The exercise will examine the roles, responsibilities, authorities, and other key elements of the nation’s cyber incident response and management capabilities and use those findings to refine the plan. It will also test the new, National Cybersecurity and Communications Integration Center (NCCIC) inaugurated in October of 2009, which serves as the hub of national cybersecurity coordination.

Sumber:

Stuxnet Under the Microscope – Israeli Cyber Warfare Expert Analyzes the Malicious Code

SEPTEMBER 30, 2010 23:07, TAMIR ESHEL

Stuxnet uncovers the vulnerability of our infrastructure system – exposing the vulnerable interfaces between the logical and physical world, these elements are totally unprotected and open disastrous vulnerabilities to attack by cyber terrorism and cyber criminals.

“We have analyzed the code, and compared it to other, similar known malware, this new code has definitely the parameters of a ‘military code’, but it lacks some aspects one would expect to find in military cyber warfare application” Shai Blitzblau, Head of Maglan-Computer Warfare and Network Intelligence Labs, interviewed by Defense Update. Among these parameters are communications, encryption, internal self-protection (anti-anti debug) and certain methodologies that are followed by western cyber warfare specialists.

While Iran was marked as Stuxnet’s most popular target, other countries falling prey to the new malware were many third world nations where Siemens equipment is widely used and security and legal discipline in licensing and security methods are not strictly enforced. Stuxnet also attacked Indonesia, India, Russia, Belarus, and in Kirgizstan. What’s more important is where the Stuxnet didn’t attack – China and – most surprisingly – Germany, where only few systems were compromised yet none of the reports was confirmed!

“Siemens is reporting that industrial plants in Germany have also been hit by the Stuxnet worm. According to Wieland Simon, press spokesman at Siemens, approximately one third of the 15 infections discovered at industrial plants worldwide have been found at sites in German process industry sector. Siemens’ own plants are said not to be affected” simon added.

Although it was ‘discovered’ by the media in late September, Stuxnet is definitely not a new threat and, in fact, most of the vulnerabilities it exploited have already been ‘patched’. It was created sometime in January-February according to the ‘time stamps’ embedded into the compiled code. Initial anomalies related to the new threat were reported about two months later. Maglan received the new threat as part of our technical support services to some of our customers, who were hit by the malware. After thorough analysis we have uncovered several interesting aspects of the code that were not familiar before, and lead us to assume that Stuxnet was not created by a western cyber warfare organization. However, the great effort and resources invested in this code testify to its value to its creators, who spent great investments – financial, technical and in – most importantly, in assets considered scarce commodities among the hackers community.

Targeting Industrial and Infrastructure Systems

First, and most important, the code was not written by “home based” hackers – unlike most other malware codes, it is not directed against conventional windows systems, but specifically at industrial systems, by exploiting four different vulnerabilities (security ‘holes’ detected by hackers but not yet patched, three months ago, by the targeted software provider – also called ‘Zero Day’ exploits). Such Zero-Day Exploits are not spent easily by hackers, and would rarely be used in tandem, let alone in a ‘quad’ formation, testifying to the fact that the developer team had no limits on the use of resources.

Multiplicity and redundancy were also employed addressing the targeted operating systems. The creators of Stuxnet also went into great effort to ensure the malware covers all potential avenues of approach – including systems that rarely interest hackers – like WindowsCC, a Microsoft operating system designed for embedded systems. The code also targets all Windows platforms from Windows ME, XP, NT, Vista, 2000, 2003 and 2008 to the latest Windows 7 – again not a simple task for regular hackers. Other aspects of the code target specific vulnerabilities attributed to Siemens PSC7 systems, designed to control Programmable Logic Controllers (PLC) widely used in utility and industrial SCADA systems.

While each of these penetration axes operates independently, these parallel lines are coordinated and supporting each others to achieve the goal – ‘hijack’ as many PLCs as possible and burry embedding itself into the command and control hubs. The malicious code does not carry the type of spyware commonly found in other bots, but is rather ‘attack oriented’ – carrying a ‘payload’ in form of a set of commands designed to bypass those controlling the PLC, and carry out a set of actions as instructed by the hijacker.

Self Contained Weapon’s Payload

The carry out and control such attack the creators of Stuxnet embedded three separate means of communications in the code – two are considered ‘advanced’ and one ‘low level’. However, the code lacks communications elements that would enable a ‘nation state’ operation much more flexibility and control, having the capability and means to conduct operations in the proximity of the targeted site. One of the unique features of Stuxnet is the way its payload is ‘packed’ into the code.

Previous malware attacks employed a communications mechanism that could download the payload – the intelligence collecting ‘spyware’ or ‘attack’ from the command and control center – this enables the use of more compact code, better precision and more flexibility as the attack unfolds. Stuxnet has the payload built-in to the code, alluding to the fact that it was targeted against known targets and its creators had little consideration as to the collateral damage they create. Again, this methodology is rarely used among Western cyber warfare operatives.

Although the code was designed with remotely controlled ‘uninstall’ and termination function, these do not work properly in most cases, as the level of sophistication invested in this segment fall behind the general high standard of Stuxnet.

Countermeasures and Concealment

Nevertheless, the creators took great effort to conceal the malicious code from detection, in an effort to mask its existence, activity and objectives. For example, the malicious code was written as a ‘dynamic link library’ (.dll) commonly associated with hardware device drivers – software elements rarely considered a risk, since these they are written, signed off and distributed by hardware providers to support specific functions of such hardware. Users commonly download these devices as part of hardware installations and support and trust their own anti-virus scanners and the companies that provided the drivers for their security. Alas, Stuxnet exploited this vulnerability – it uses highly sophisticated anti-anti-virus countermeasures, addressing 38 (!) known anti-virus programs, not only few of the most common ones, as most hackers will do.

In addition, the code is digitally signed by VeriSign as genuine Siemens software. Later, Siemens reported that these signatures were stolen but did not explain how such sensitive material was compromised and reached hostile elements. Technically, ‘extracting’ such signature from existing products is possible, but this capability is beyond the reach of hackers and could be done only with massive computing power not available in non governmental levels. In this area, Stuxnet creators have again demonstrated they can be generous – to ensure their code is accepted, they used two different signatures – by chip Taiwanese makers JMicron and Realtek. The fact that these signatures are time-stamped in within more than a week of each other could testify as to the lengthy process of the preparation, testing and operation planning.

Sumber:

Iklan

2 Tanggapan

  1. That is really interesting, You’re a very skilled blogger.

    I’ve joined your rss feed and look forward to looking for extra of your excellent post.
    Additionally, I’ve shared your web site in my social networks

    • Thank you for your willingness and join the rss feed of my blog. I hope the article published useful for us all

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: