Peretas Korea Utara Terus Serang Aset Digital

Sementara peretas negara Iran telah melakukan serangan ransomware dan penambangan kripto, dan Rusia diperkirakan menggunakan kelompok ransomware swasta dalam beberapa kapasitas, pemerintah Korea Utara adalah satu-satunya lawan utama yang memasukkan kejahatan siber keuangan dalam kegiatan ofensifnya sebagai tujuan utama.

Program kejahatan siber Korea Utara memiliki banyak sisi, dengan taktik yang berkisar dari perampokan bank hingga penyebaran ransomware hingga pencurian cryptocurrency dari pertukaran daring.

Dikenal dengan nama Lazarus, Kimsuky, dan BeagleBoyz, peretas Korea Utara menggunakan alat yang semakin canggih untuk menembus jaringan militer, pemerintah, korporasi, dan industri pertahanan di seluruh dunia, melakukan spionase siber dan mengekstrak data rahasia guna membantu pengembangan senjata Korea Utara.

Aktor jahat menipu individu untuk memberikan akses atau memanfaatkan keamanan yang dikompromikan guna mengalirkan dana digital dari dompet yang terhubung ke internet ke alamat yang dikendalikan oleh Korea Utara. Negara yang terkena sanksi ini beralih ke cara-cara rumit untuk mencuci crypto yang dicuri, memperkuat penggunaan alat perangkat lunak yang mengumpulkan dan mengacak cryptocurrency dari ribuan alamat.

Tahun lalu, Departemen Kehakiman Amerika Serikat menuduh tiga programmer komputer Korea Utara karena berpartisipasi dalam konspirasi kriminal luas untuk melakukan serangkaian serangan siber destruktif guna mencuri dan memeras lebih dari $1,3 miliar uang dan cryptocurrency dari lembaga keuangan dan perusahaan, membuat dan menyebarkan beberapa aplikasi cryptocurrency berbahaya, serta mengembangkan dan memasarkan secara curang sebuah platform blockchain.

Faktanya, serangan Korea Utara terhadap crypto terus berlanjut, telah mengumpulkan lebih dari satu miliar sejak pasar bull terakhir.

$1.2 Miliar Dicuri Sejak 2017

Minggu lalu, Badan Intelijen Nasional (NIS) Korea Selatan menerbitkan laporan baru yang mencatat bahwa peretas Korea Utara telah mencuri sekitar 1,5 triliun won ($1,2 miliar) dalam cryptocurrency selama lima tahun terakhir. Lebih dari setengah jumlah ini terjadi hanya tahun ini, dan hanya $78 juta dari total besar ini berasal dari Korea Selatan.

Menurut badan intelijen Korea Selatan, lebih dari 800 miliar won Korea (senilai $620 juta) cryptocurrency dicuri hanya tahun ini. Berbicara tentang hal tersebut, seorang juru bicara NIS mengatakan bahwa seluruh peretasan ini terjadi di luar negeri, menambahkan, “Di Korea, transaksi aset virtual telah beralih ke transaksi dengan nama asli, dan keamanan telah diperkuat, sehingga tidak ada kerusakan.”

Bagi yang belum mengetahui perkembangan ini, pada tahun 2021, pemerintah Korea Selatan menerapkan aturan baru terkait KYC (know-your-customer) untuk perdagangan crypto. Aturan tersebut mewajibkan semua pertukaran crypto di negara itu agar klien mereka membuat akun dengan nama asli di bank yang sama yang mereka gunakan untuk menyetorkan atau menarik dana.

Dan baik pertukaran maupun bank kemudian diwajibkan memverifikasi identitas klien. Selain itu, pertukaran harus memperoleh lisensi dari Komisi Layanan Keuangan (FSC) sebelum memulai operasi.

Kelompok peretas Korea Utara telah dikaitkan dengan beberapa pelanggaran crypto berskala besar tahun ini — termasuk serangan Harmony senilai $100 juta. Para ahli menyarankan bahwa serangan ini merupakan cara bagi negara tersebut untuk menghasilkan cadangan mata uang asing, karena mereka menghadapi sanksi komersial ketat dari komunitas internasional.

Menurut NIS, Korea Utara memiliki beberapa kemampuan pencurian aset digital terbaik di dunia. Hal ini disebabkan oleh fokus negara tersebut pada kejahatan siber sejak 2017 ketika sanksi ekonomi PBB diperketat sebagai respons terhadap uji coba nuklir dan misilnya.

Badan tersebut juga memperingatkan bahwa serangan siber Korea Utara akan meningkat intensitasnya tahun depan: “Perlu menganalisis serangan seketat pertahanan. Karena satu organisasi peretas memiliki semua informasi serangan dan tidak melupakannya. Perlu mengumpulkan informasi terkait kode berbahaya yang tersebar oleh berbagai penyerang untuk menemukan wawasan yang berarti.”

Peretas dari Korea Utara menggunakan taktik umum yang dipakai oleh kelompok peretasan negara lain dan penjahat siber, termasuk rekayasa sosial, phishing, dan eksploitasi perangkat lunak.

Menguji Metode Pengiriman Malware Baru

Subkelompok BlueNoroff dari Lazarus dikenal menyebarkan beragam arsenal malware dalam serangan multi‑prong terhadap bisnis untuk memperoleh dana secara ilegal. Ini mencakup kombinasi taktik phishing canggih dan malware untuk mencuci dana.

Menurut laporan laboratorium keamanan siber Kaspersky laporan minggu ini, BlueNoroff telah memperbarui targetnya pada perusahaan modal ventura, startup crypto, dan bank setelah hampir tidak aktif selama sebagian besar tahun. Kelompok ini kini menunjukkan lonjakan aktivitas.

BlueNoroff telah membuat lebih dari 70 domain palsu yang dirancang menyerupai perusahaan modal ventura. Sebagian besar palsu menampilkan diri sebagai perusahaan Jepang terkenal, sementara yang lain mengadopsi identitas perusahaan AS dan Vietnam.

Menurut laporan terbaru, kelompok ini telah bereksperimen dengan tipe file baru dan metode pengiriman malware lainnya. Setelah diterapkan, malware mereka dapat menghindari peringatan keamanan Windows Mark-of-the-Web (MoTW) tentang pengunduhan konten. Selanjutnya, malware tersebut “mencegat transfer cryptocurrency besar, mengubah alamat penerima, dan mendorong jumlah transfer ke batas maksimum, pada dasarnya menguras akun dalam satu transaksi.”

Seiring ancaman siber semakin memburuk, bisnis harus lebih waspada daripada sebelumnya untuk melindungi diri. Hal ini menurut Seongsu Park, peneliti di Kaspersky, yang memperingatkan bahwa “tahun mendatang akan ditandai oleh epidemi siber dengan dampak terbesar, kekuatannya belum pernah terlihat sebelumnya.”

Operator yang terkait dengan sub‑kelompok Lazarus BlueNoroff telah dikaitkan dengan beberapa serangan siber yang menargetkan bisnis kecil hingga menengah di seluruh dunia. Bahkan NFT tidak luput dari radar kelompok peretasan ini, karena aktor ancaman Korea Utara yang terkait dengan Grup Lazarus telah berusaha mencuri token non‑fungible dalam beberapa minggu terakhir.

Pencurian NFT melalui Phishing

Firma keamanan blockchain SlowMist merilis laporan akhir pekan lalu yang menyelami secara mendalam aktivitas phishing berskala besar yang dilakukan oleh kelompok APT Korea Utara yang menargetkan pengguna NFT.

SlowMist menemukan bahwa salah satu teknik yang digunakan dalam serangan phishing terbaru melibatkan pembuatan situs web umpan palsu terkait NFT dengan Mint berbahaya. NFT tersebut kemudian dijual di platform populer seperti OpenSea, Rarible, dan X2Y2.

Kelompok Advanced Persistent Threat (APT) diidentifikasi sebagai TraderTraitor oleh pemerintah AS setidaknya sejak 2020, dan menargetkan pengguna Crypto dan NFT dengan kampanye phishing yang menggunakan hingga 500 nama domain berbeda.

Ciri khas phishing yang umum digunakan oleh peretas ini melibatkan situs phishing yang merekam data pengunjung dan menyimpannya ke situs eksternal, meminta daftar harga item NFT, serta file “imgSrc.js” yang menautkan gambar ke proyek target.

Setelah menganalisis metode Phishing, SlowMist lebih lanjut menemukan bahwa peretas menggunakan beberapa token, seperti WETH, USDC, DAI, dan UNI, dll., dalam serangan phishing mereka.

Serangan Terbesar pada Ronin

Awal tahun ini, Grup Lazarus juga berhasil menyedot lebih dari $600 juta cryptocurrency dari blockchain Ronin yang digunakan oleh game NFT Axie Infinity. Perusahaan analitik blockchain Chainalysis menyebut serangan tersebut sebagai hack cryptocurrency terbesar hingga saat ini.

Dibuat oleh studio game Vietnam, Axie Infinity pernah memiliki lebih dari satu juta pemain aktif. Pada awal tahun ini, blockchain yang menjadi dasar dunia virtual game tersebut diserang oleh sindikat peretasan Korea Utara, yang melarikan diri dengan sekitar $620 juta Ethereum.

Hanya sekitar $30 juta dari hasil curian crypto yang telah berhasil dipulihkan setelah aliansi lembaga penegak hukum dan perusahaan analisis crypto melacak sebagian dana yang dicuri melalui serangkaian DEX dan “crypto mixers,” layanan yang mencampur cryptocurrency banyak pengguna untuk menyamarkan pemilik dan asal dana.

Amerika Serikat kemudian memberlakukan sanksi terhadap mixer Tornado Cash, yang menurut Departemen Keuangan AS telah digunakan oleh peretas untuk mencuci lebih dari $450 juta hasil curian Ethereum mereka.

Startup Investasi Crypto Juga Menjadi Target

Di tengah semua serangan ini, Microsoft mengumumkan awal bulan ini bahwa mereka telah mengidentifikasi aktor ancaman yang menargetkan startup investasi cryptocurrency. Kelompok yang diberi nama DEV-0139 oleh Microsoft ini menyamar sebagai perusahaan investasi cryptocurrency di Telegram dan menggunakan file Excel yang dipersenjatai untuk menginfeksi sistem yang mereka akses dari jarak jauh.

Ancaman tersebut menunjukkan tingkat kecanggihan tinggi dengan secara palsu mengidentifikasi diri menggunakan profil palsu karyawan OKX dan bergabung dengan grup Telegram “yang digunakan untuk memfasilitasi komunikasi antara klien VIP dan platform pertukaran cryptocurrency,” tulis Microsoft.

Kami melihat peningkatan serangan canggih di mana aktor ancaman sangat berpengetahuan dan meluangkan waktu untuk mempersiapkan, seringkali dengan membangun kepercayaan dengan target mereka sebelum menyebarkan payload, catatan lebih lanjut.

Sebagai contoh, beberapa bulan lalu, seorang target diundang untuk bergabung dengan sebuah grup dan diminta memberikan masukan pada dokumen Excel yang membandingkan struktur biaya VIP dari pertukaran crypto HTX, Binance, dan OKX. Dokumen tersebut menyediakan informasi akurat dan pemahaman tinggi tentang perdagangan cryptocurrency, namun secara diam-diam menyisipkan file .dll (Dynamic Link Library) berbahaya untuk membuat pintu belakang ke sistem pengguna. Target kemudian diminta membuka file berbahaya tersebut sendiri selama diskusi.

Microsoft menyarankan bahwa DEV-0139 adalah aktor yang sama yang dihubungkan oleh firma keamanan siber Volexity dengan Grup Lazarus, menggunakan varian malware AppleJeus dan installer Microsoft (MSI).

Pada tahun 2021, AppleJeus didokumentasikan oleh Badan Keamanan Siber dan Infrastruktur Amerika Serikat.

Peningkatan Berkelanjutan dalam Serangan Crypto

Sebenarnya ada peningkatan baru-baru ini dalam skala serangan cryptocurrency yang dilakukan oleh pemerintah Korea Utara, menurut Chainalysis.

Grup Lazarus dikaitkan dengan tujuh serangan pada platform cryptocurrency, yang menghasilkan hampir $400 juta aset digital pada 2021 saja, dibandingkan dengan $300 juta pada 2020, menurut laporan firma analitik blockchain tersebut.

Dalam salah satu tahun paling sukses yang tercatat, jumlah peretasan terkait Korea Utara melonjak dari empat menjadi tujuh pada 2021, sementara nilai yang diambil dari peretasan tersebut meningkat 40%.

Menurut laporan tersebut, setelah Korea Utara memperoleh kepemilikan dana, mereka segera memulai proses pencucian uang yang hati-hati untuk menukarkannya tanpa terdeteksi.

Meskipun Chainalysis tidak mengidentifikasi semua target peretasan cryptocurrency, mereka menyatakan bahwa mayoritasnya adalah firma investasi dan pertukaran terpusat. Selain itu, salah satu pertukaran tersebut, Liquid.com, mengumumkan pada bulan Agustus bahwa pengguna tidak sah telah mengakses beberapa dompet cryptocurrency mereka.

Menurut Chainalysis, penyerang menggunakan umpan phishing, malware, eksploitasi kode, dan rekayasa sosial tingkat lanjut untuk menyedot dana dari “hot wallet” organisasi tersebut ke alamat yang dikendalikan Korea Utara.

Laporan tersebut lebih lanjut menyatakan bahwa peneliti telah mengidentifikasi $170 juta dalam kepemilikan cryptocurrency lama yang belum dicuci dari 49 peretasan terpisah antara 2017 hingga 2021, menunjukkan rencana yang hati-hati untuk menukarkannya semua, dan “bukan rencana yang putus asa dan tergesa‑gesa.”

Catatan Akhir

Peretas diperkirakan akan terus memanfaatkan kerentanan perusahaan teknologi cryptocurrency, perusahaan game, dan pertukaran untuk menghasilkan dan mencuci dana demi mendukung rezim Korea Utara.

Tidak perlu diragukan lagi bahwa ini adalah masalah serius, karena Korea Utara dikenal menggunakan serangan siber untuk mencuri dana guna mendukung program senjata nuklirnya. Hal ini menyoroti pentingnya keamanan siber, terutama bagi bisnis dan organisasi yang mungkin menjadi target peretas yang didukung negara.

Meskipun pemerintah Korea Utara membantah keterlibatan dalam kegiatan tersebut, bukti menunjukkan bahwa peretas beroperasi dengan restu rezim. Mengingat ancaman berkelanjutan yang ditimbulkan oleh peretas Korea Utara, bisnis dan individu harus tetap waspada dan mengambil langkah untuk melindungi aset digital mereka.