Dalam sejarah dari peretasan yang disponsori negaraspektrum operasi dunia maya yang bertujuan sabotase berkisar dari serangan “wiper” yang kasar yang menghancurkan data pada komputer target Stuxnet yang legendarissebuah malware yang pertama kali dikerahkan AS dan Israel di Iran pada tahun 2007 untuk secara diam-diam mempercepat putaran sentrifugal pengayaan nuklir hingga mereka menghancurkan dirinya sendiri. Kini para peneliti telah menemukan babak lain dalam evolusi teknik sabotase dunia maya yang telah berlangsung selama puluhan tahun: spesimen malware berusia 21 tahun yang mampu merusak perangkat lunak penelitian dan rekayasa untuk menimbulkan kekacauan tanpa terdeteksi—yang mungkin telah digunakan di Iran, bahkan sebelum Stuxnet.
Vitaly Kamluk dan Juan Andrés Guerrero-Saade, dua peneliti dari perusahaan keamanan siber SentinelOne, pada hari Kamis terungkap sebuah terobosan dalam misteri malware yang dikenal sebagai Fast16, sebuah kode yang tujuannya luput dari perhatian dunia keamanan siber sejak keberadaannya pertama kali terungkap dalam kebocoran NSA pada tahun 2017. Para peneliti SentinelOne kini telah merekayasa balik kode Fast16, yang menurut mereka berasal dari tahun 2005 dan kemungkinan dibuat oleh pemerintah AS atau salah satu sekutunya.
Kamluk dan Guerrero-Saade telah menetapkan bahwa malware Fast16 dirancang untuk melakukan bentuk sabotase paling halus yang pernah ada pada alat malware yang ada: Dengan secara otomatis menyebar ke seluruh jaringan dan kemudian secara diam-diam memanipulasi proses komputasi dalam aplikasi perangkat lunak tertentu yang melakukan perhitungan matematis presisi tinggi dan mensimulasikan fenomena fisik, Fast16 dapat mengubah hasil program tersebut hingga menyebabkan kegagalan mulai dari hasil penelitian yang salah hingga kerusakan parah pada peralatan di dunia nyata.
“Hal ini berfokus pada perubahan kecil pada penghitungan sehingga menyebabkan kegagalan—yang sangat halus, mungkin tidak langsung terlihat. Sistem mungkin akan lebih cepat rusak, rusak, atau rusak, dan penelitian ilmiah dapat menghasilkan kesimpulan yang salah, sehingga berpotensi menyebabkan kerugian serius,” kata Kamluk, yang bersama Guerrero-Saade akan mempresentasikan temuan Fast16 mereka pada konferensi keamanan siber Black Hat Asia di Singapura. “Sejujurnya, ini adalah mimpi buruk.”
Dalam analisis mereka terhadap Fast16, Kamluk dan Guerrero-Saade menemukan tiga jenis perangkat lunak simulasi fisik potensial yang mungkin dirancang untuk dirusak oleh malware: perangkat lunak Modelo Hidrodinâmico (atau MOHID) yang dibuat oleh pengembang Portugis untuk memodelkan sistem air; Perangkat lunak teknik konstruksi Tiongkok yang dikenal sebagai PKPM; dan, mungkin yang paling signifikan, perangkat lunak simulasi fisik LS-DYNA, sebuah aplikasi yang awalnya dibuat oleh para ilmuwan yang pernah bekerja di Laboratorium Nasional Lawrence Livermore AS, yang kini digunakan dalam memodelkan segala sesuatu mulai dari tabrakan antara burung dan pesawat terbang hingga kekuatan tarik komponen derek.
Di antara semua kemungkinan tersebut, Kamluk dan Guerrero-Saade menunjukkan bukti khusus untuk satu teori: LS-DYNA juga digunakan oleh para ilmuwan Iran yang melakukan penelitian yang mungkin berkontribusi pada program senjata nuklirnya. menurut Institut Sains dan Keamanan Internasional. Lembaga tersebut juga mencatat bahwa perangkat lunak tersebut dapat digunakan untuk memodelkan masalah fisika yang berkaitan dengan penelitian senjata nuklir seperti interaksi logam dalam senjata nuklir dan dampak masuknya kembali rudal balistik ke atmosfer bumi pada hulu ledak nuklir.
Semua hal tersebut menunjukkan bahwa Fast16 mungkin telah digunakan pada pertengahan tahun 2000an secara khusus untuk menumbangkan upaya Iran untuk mendapatkan senjata nuklir, bahkan mungkin bertahun-tahun sebelum Stuxnet dikerahkan untuk mencapai hasil yang sama melalui bentuk sabotase yang lebih langsung, sebagai bagian dari program bersama yang dilakukan oleh NSA dan peretas Unit 8200 Israel yang dikenal sebagai Olympic Games.
“Tidak berlebihan jika apa yang kita lihat adalah pendahulu dari Olimpiade. Ini sesuai dengan kebutuhan, bukan?” kata Guerrero-Saade. “Kami ingin menjadi peneliti yang baik dan obyektif, namun hal ini tidaklah sulit.”
Terlepas dari apakah teori tersebut benar atau tidak, analisis baru Fast16 menulis ulang sejarah peretasan yang disponsori negara, kata Thomas Rid, direktur Alperovitch Institute for Cybersecurity Studies di Johns Hopkins University. “Ini berarti bahwa operasi sabotase yang menipu telah menjadi bagian dari strategi siber jauh lebih awal dari yang kita duga, bahkan mungkin sejak awal,” kata Rid. “Dan sepertinya mereka jauh lebih tersembunyi dari yang kita duga.”
“Tidak Ada Yang Bisa Dilihat Di Sini—Lanjutkan”
Misteri Fast16 pertama kali terungkap pada bulan April 2017, setelah kelompok peretas yang masih belum teridentifikasi yang dikenal sebagai Shadow Brokers entah bagaimana memperoleh dan membocorkan banyak koleksi alat NSA ke internet terbuka. Salah satu alat itu, diberi label Sengketa Wilayahtampaknya dirancang untuk membantu operator NSA yang meretas jaringan di seluruh dunia menghindari konflik dengan operasi peretasan lainnya. Alat tersebut, pertama kali dianalisis secara mendalam oleh peneliti Hongaria Boldizsár Bencsáth, berisi daftar panjang spesimen malware, termasuk beberapa yang digunakan oleh NSA dan lembaga “ramah” lainnya, serta instruksi kapan harus “mundur” untuk menghindari deteksi oleh operasi intrusi musuh.
Di antara sampel yang terdaftar ada satu sampel dengan label yang sepenuhnya unik. Untuk malware yang disebut sebagai “fast16,” alat Sengketa Wilayah mengatakan kepada operator NSA “TIDAK ADA YANG PERLU DILIHAT DI SINI— LANJUTKAN.” Instruksi aneh tersebut, menurut spekulasi para peneliti pada tahun-tahun berikutnya, kemungkinan besar berarti bahwa Fast16 adalah karya NSA, badan atau kontraktor lain dalam komunitas intelijen AS, atau badan intelijen sekutunya—dan bahwa peretas NSA tidak boleh ikut campur dalam hal tersebut.
Karena kebocoran ShadowBrokers tampaknya tidak menyertakan perangkat lunak apa pun yang sebenarnya disebut Fast16, segala hal lain tentang malware tersebut masih belum diketahui. Baru pada tahun 2019 Guerrero-Saade menemukan sampel Fast16 yang disembunyikan di arsip VirusTotal, alat milik Google yang berfungsi sebagai tempat penyimpanan kode malware. Saat mencari sampel malware yang menyertakan mesin khusus untuk menjalankan bahasa pemrograman Lua di dalam kodenya—suatu sifat yang sebelumnya muncul di beberapa malware canggih yang disponsori negara—Guerrero-Saade menemukan aplikasi yang tampaknya tidak berbahaya bernama svcmgmt.exe.
Setelah diperiksa lebih dekat, Guerrero-Saade menemukan bahwa kode tersebut berisi driver kernel—sepotong kode yang dirancang untuk berjalan pada tingkat sistem operasi yang paling dalam dan paling istimewa—disebut Fast16.sys, yang tampaknya telah dikompilasi pada tahun 2005. (Guerrero-Saade menolak menyebutkan siapa yang mengunggah kode tersebut ke VirusTotal, karena VirusTotal menghalangi pengguna untuk mencoba mengidentifikasi pengunggah.)
Namun terlepas dari penemuan Guerrero-Saade, dibutuhkan waktu tujuh tahun lagi bagi siapa pun untuk menentukan apa yang sebenarnya dilakukan Fast16. Dalam komunitas peneliti keamanan siber yang relatif kecil yang tertarik pada sampel malware berusia 14 tahun, sebagian besar berasumsi bahwa itu adalah jenis malware yang dikenal sebagai rootkit, yang berbentuk driver kernel agar dapat menyembunyikan dirinya dengan lebih baik di komputer, biasanya untuk memata-matai secara diam-diam.
Hanya tiga bulan yang lalu rekan Guerrero-Saade di SentinelOne, Kamluk, memutuskan untuk mencoba merekayasa balik malware Fast16 sebagai bagian dari eksperimen dalam membandingkan keahliannya dengan alat AI. Hanya dua minggu yang lalu, dia membuat penemuan mengejutkan: Fast16 adalah bukan sebuah rootkit. (Lima alat AI teratas yang berbeda salah menyatakannya.)
Sebaliknya, Kamluk melihat bahwa itu adalah kode yang menyebar sendiri dengan maksud yang sangat berbeda. Menggunakan apa yang disebut dalam kode sebagai fungsionalitas “wormlet”, Fast16 dirancang untuk menyalin dirinya sendiri ke komputer lain di jaringan melalui fitur berbagi jaringan Windows. Ia memeriksa daftar aplikasi keamanan, dan jika tidak ada, menginstal driver kernel Fast16.sys pada mesin target.
Driver kernel tersebut kemudian membaca kode aplikasi saat aplikasi tersebut dimuat ke dalam memori komputer, memantau daftar panjang pola tertentu—“aturan” yang memungkinkannya mengidentifikasi kapan aplikasi target sedang berjalan. Saat mendeteksi perangkat lunak target, ia menjalankan tujuan nyatanya: secara diam-diam mengubah penghitungan yang dijalankan perangkat lunak hingga merusak hasilnya tanpa disadari.
“Ini sebenarnya memiliki muatan yang sangat besar di dalamnya, dan hampir semua orang yang melihatnya sebelumnya telah melewatkannya,” kata Costin Raiu, peneliti di konsultan keamanan TLP:Black yang sebelumnya memimpin tim termasuk Kamluk dan Guerrero-Saade di perusahaan keamanan Rusia Kaspersky, yang melakukan pekerjaan awal menganalisis Stuxnet dan malware terkait. “Ini dirancang untuk menjadi sabotase jangka panjang dan sangat halus yang mungkin akan sangat, sangat sulit untuk diperhatikan.”
Saat mencari perangkat lunak yang memenuhi kriteria “aturan” Fast16 untuk target sabotase, Kamluk dan Guerrero-Saade menemukan tiga kandidat mereka: perangkat lunak MOHID, PKPM, dan LS-DYNA. Adapun fitur “wormlet”, mereka percaya bahwa mekanisme penyebarannya dirancang sedemikian rupa sehingga ketika korban memeriksa ulang hasil perhitungan atau simulasi mereka dengan komputer berbeda di laboratorium yang sama, mesin tersebut juga akan mengkonfirmasi hasil yang salah, sehingga membuat penipuan semakin sulit ditemukan atau dipahami.
Dalam hal operasi sabotase siber lainnya, hanya Stuxnet yang berada di kelas yang sama dengan Fast16, menurut Guerrero-Saade. Kompleksitas dan kecanggihan malware ini juga menempatkannya dalam ranah peretasan yang disponsori negara dengan prioritas tinggi dan sumber daya tinggi. “Ada beberapa skenario di mana Anda melakukan upaya pengembangan semacam ini untuk operasi rahasia,” kata Guerrero-Saade. “Seseorang membengkokkan paradigma untuk memperlambat atau merusak atau menggagalkan suatu proses yang mereka anggap sangat penting.”
Hipotesis Iran
Semua ini sesuai dengan hipotesis bahwa Fast16 mungkin, seperti Stuxnet, ditujukan untuk mengganggu ambisi Iran dalam membuat senjata nuklir. TLP:Raiu dari Black berpendapat bahwa, lebih dari sekedar kemungkinan, penargetan Iran merupakan penjelasan yang paling mungkin—sebuah teori “keyakinan menengah-tinggi” bahwa Fast16 “dirancang sebagai paket serangan siber” yang menargetkan proyek nuklir AMAD Iran, sebuah rencana rezim Ayatollah Khameini untuk memperoleh senjata nuklir pada awal tahun 2000an.
“Ini adalah dimensi lain dari serangan siber, cara lain untuk melancarkan perang siber terhadap program nuklir Iran,” kata Raiu.
Faktanya, Guerrero-Saade dan Kamluk mengacu pada makalah yang diterbitkan oleh Institute for Science and International Security, yang mengumpulkan bukti publik tentang ilmuwan Iran yang melakukan penelitian yang dapat berkontribusi pada pengembangan senjata nuklir. Dalam beberapa kasus yang terdokumentasi, penelitian para ilmuwan menggunakan perangkat lunak LS-DYNA yang menurut Guerrero-Saade dan Kamluk berpotensi menjadi target Fast16.
Sebuah studi, catatan makalah ISIS, menggunakan LS-DYNA untuk membandingkan sifat dua bahan peledak berbeda, PBXN-110 dan Octol, yang dapat digunakan untuk memicu hulu ledak nuklir. Octol, menurut catatan surat kabar itu, adalah komponen kunci proyek AMAD Iran. Meskipun makalah penelitian yang membandingkan sifat bahan peledak diterbitkan pada tahun 2018, Guerrero-Saade dan Kamluk menunjukkan bahwa LS-DYNA telah digunakan selama beberapa dekade, termasuk pada masa proyek AMAD.
Para peneliti juga mencatat bahwa Fast16 bisa saja digunakan lebih dari satu kali terhadap target yang berbeda, bahkan di negara yang berbeda. Kode malware tersebut menyertakan bukti sistem “kontrol versi”, serta petunjuk bahwa sampel yang dianalisis oleh Guerrero-Saade dan Kamluk bukanlah versi pertama atau satu-satunya dari alat tersebut. Mereka dan Raiu semuanya menyatakan—tanpa menarik kesimpulan apa pun—bahwa program pengembangan senjata nuklir Korea Utara juga mengalami banyak kegagalan yang tidak dapat dijelaskan dalam periode waktu yang sama. “Dengan tingkat perkembangan seperti ini, mereka tidak melakukan ini hanya sekali saja,” kata Guerrero-Saade.
Synopsys, perusahaan berbasis di California yang saat ini memelihara dan menjual LS-DYNA, menolak permintaan komentar WIRED. WIRED juga menghubungi pengembang MOHID dan China Academy of Building Research, yang mengembangkan PKPM, namun tidak menerima tanggapan dari kedua organisasi tersebut.
Baik NSA maupun Kantor Direktur Intelijen Nasional tidak menanggapi permintaan komentar WIRED.
Selain hipotesis tentang targetnya, Kamluk mengatakan keberadaan spesimen malware berusia 21 tahun sudah cukup Banyaknya gangguan yang hampir tidak terdeteksi pada penelitian dan rekayasa yang penting bagi keselamatan merupakan penemuan yang sangat meresahkan, bahkan menimbulkan paranoia—penemuan yang membuatnya mempertanyakan kepercayaannya pada komputer yang telah menjamin keselamatan segala sesuatu mulai dari kereta api hingga pesawat terbang.
“Untuk bencana apa pun yang menyebabkan orang meninggal karena kecelakaan,” kata Kamluk, “Anda tentu tidak ingin memupuk ketakutan ini, namun hal ini tentu saja muncul: Apakah ada sudut pandang dunia maya?”
Fakta bahwa Fast16 tetap tidak terdeteksi untuk waktu yang lama, menunjukkan bahwa kemungkinan besar Fast16 hanya digunakan terhadap sejumlah kecil target untuk mempertahankan kerahasiaannya, kata Rid dari Johns Hopkins. Hal ini seharusnya dapat memberikan jaminan kepada siapa pun yang terkejut dengan penemuan Fast16 bahwa komputer mereka masih dapat dipercaya, katanya—kecuali bagi mereka yang mungkin sebenarnya menjadi target operasi peretasan yang langka dan sangat canggih yang disponsori negara.
Bagi beberapa calon korban tersebut, katanya, Fast16 seharusnya menimbulkan ketidakpercayaan tidak hanya pada komputer saat ini, namun juga pada semua hal yang telah dihitung oleh mesin tersebut, yang berpotensi terjadi selama beberapa dekade. “Jika Anda adalah target intelijen bernilai tinggi seperti program nuklir di negara yang memiliki musuh kuat, mungkin Anda tidak bisa mempercayai komputer Anda,” kata Rid. “Dan yang lebih buruk lagi: Anda bisa tidak pernah percayalah pada mereka.”
