Teruskan Judul Asli 'Paradigm: Mengungkap Ancaman dari Kelompok Hacker Korea Utara Lazarus Group'

Sebuah diskusi tentang Grup Lazarus—pelaku di balik peretasan Bybit—dari sudut pandang struktur organisasi, metode serangan, dan strategi pertahanan.

Pada suatu pagi Februari, lampu menyala di obrolan grup SEAL 911. Kami menatap dengan kebingungan ketika Bybit memindahkan lebih dari $1 miliar token dari dompet dingin mereka ke alamat baru dan kemudian dengan cepat mulai likuidasi lebih dari $200 juta LST. Dalam hitungan menit, melalui komunikasi dengan tim Bybit dan analisis independen (melibatkan multisig dan implementasi Safe Wallet yang sebelumnya diverifikasi, sekarang digantikan dengan kontrak yang baru diterapkan dan belum diverifikasi), kami mengkonfirmasi bahwa ini bukan pemeliharaan rutin. Seseorang baru saja meluncurkan salah satu hack terbesar dalam sejarah kripto—dan kami duduk di baris depan.

Sementara sebagian tim (bersama dengan komunitas investigasi lebih luas) mulai melacak dana dan memberi tahu bursa mitra, yang lain mencoba mencari tahu apa yang sebenarnya terjadi—dan apakah dana tambahan berisiko. Untungnya, mengidentifikasi pelaku adalah hal yang mudah. Selama beberapa tahun terakhir, hanya satu aktor ancaman yang dikenal berhasil mencuri miliaran dari pertukaran kripto: Korea Utara, juga dikenal sebagai DPRK.

Namun, di luar itu, kami memiliki sedikit petunjuk. Karena sifat licik dan keahlian menyembunyikan yang luar biasa dari para hacker Korea Utara, menentukan akar penyebab pelanggaran — apalagi tim spesifik di dalam Korea Utara yang bertanggung jawab — sangat sulit. Yang kami miliki hanyalah intelijen yang ada yang menunjukkan bahwa operator DPRK sering kali mengandalkan taktik rekayasa sosial untuk menyusup ke pertukaran kripto. Berdasarkan itu, kami berasumsi bahwa mereka telah meng kompromikan penandatangan multisig Bybit dan menyebarkan malware untuk mengganggu proses penandatanganan.

Ternyata, asumsi itu sama sekali keliru. Beberapa hari kemudian, kami menemukan bahwa Korea Utara sebenarnya telah meng kompromi infrastruktur Safe Wallet itu sendiri dan menerapkan beban berlebih yang jahat yang disesuaikan secara khusus menargetkan Bybit. Kompleksitas serangan ini melebihi dari apa pun yang pernah diantisipasi atau disiapkan siapa pun - menimbulkan tantangan serius bagi banyak model keamanan yang ada di pasar.

Hacker Korea Utara merupakan ancaman yang semakin meningkat bagi industri kita. Kita tidak dapat mengalahkan musuh yang tidak kita pahami. Meskipun ada banyak insiden yang terdokumentasi dan artikel tentang operasi cyber Korea Utara, sulit untuk menyatukan semuanya. Saya harap tinjauan ini dapat membantu memberikan gambaran yang lebih jelas tentang bagaimana Korea Utara beroperasi, strategi dan prosedur mereka, dan pada akhirnya membantu kita menerapkan langkah-langkah mitigasi yang tepat.

Struktur Organisasi

Salah satu kesalahpahaman terbesar yang perlu diatasi adalah bagaimana mengklasifikasikan dan menamai aktivitas cyber yang luas di Korea Utara. Meskipun wajar untuk menggunakan istilah 'Kelompok Lazarus' secara umum sebagai label umum, terminologi yang lebih tepat sangat membantu ketika membahas ancaman cyber sistemik yang ditimbulkan oleh Korea Utara secara detail.

Pertama, penting untuk memahami “diagram organisasi” Korea Utara. Di puncaknya adalah partai politik yang berkuasa—dan satu-satunya—Partai Pekerja Korea (WPK), yang mengawasi semua lembaga negara. Ini termasuk Tentara Rakyat Korea (KPA) dan Komite Pusat. Di dalam KPA terdapat Departemen Staf Umum (GSD), di mana Biro Jenderal Rekognisi (RGB) berada. Di bawah Komite Pusat adalah Departemen Industri Amunisi (MID).

RGB bertanggung jawab atas hampir semua operasi cyber Korea Utara, termasuk hampir semua aktivitas yang diamati dalam industri kripto. Selain kelompok Lazarus yang terkenal, aktor ancaman lain yang berasal dari RGB termasuk AppleJeus, APT38, DangerousPassword, dan TraderTraitor. Di sisi lain, MID mengawasi program rudal nuklir Korea Utara dan merupakan sumber utama pekerja IT dari negara tersebut. Komunitas intelijen mengidentifikasi aktor-aktor ini sebagai Contagious Interview dan Wagemole.

Kelompok Lazarus

Kelompok Lazarus adalah organisasi peretasan yang sangat canggih. Para ahli keamanan cyber percaya bahwa beberapa serangan cyber terbesar dan paling merusak dalam sejarah dilakukan oleh kelompok ini. Pada tahun 2016, Novetta mengidentifikasi Kelompok Lazarus saat menganalisis peretasan Sony Pictures Entertainment.

Pada tahun 2014, Sony memproduksi komedi aksi The Interview, yang plot utamanya melibatkan penghinaan dan akhirnya pembunuhan Kim Jong-un. Dapat dimengerti, ini tidak disambut oleh rezim Korea Utara, yang membalas dengan meretas jaringan Sony, mencuri beberapa terabyte data, membocorkan ratusan gigabyte informasi rahasia atau sensitif, dan menghapus yang asli. Seperti yang dikatakan CEO Michael Lynton saat itu: "Orang-orang yang melakukan ini tidak hanya mencuri semua yang ada di rumah — mereka membakar rumah itu." Sony akhirnya menghabiskan setidaknya $ 15 juta untuk penyelidikan dan remediasi terkait dengan serangan itu, dan kerusakan sebenarnya mungkin bahkan lebih tinggi.

Pada tahun 2016, sebuah kelompok hacker dengan kemiripan mencolok dengan Kelompok Lazarus menyusup ke Bank Bangladesh dalam upaya untuk mencuri hampir $1 miliar. Selama setahun, para hacker melakukan serangan rekayasa sosial terhadap staf bank, akhirnya mendapatkan akses jarak jauh dan bergerak lateral dalam jaringan hingga mereka mencapai komputer yang berinteraksi dengan sistem SWIFT. Dari sana, mereka menunggu kesempatan sempurna: Bangladesh mengamati akhir pekan pada hari Kamis, sementara Federal Reserve New York libur pada hari Jumat. Pada malam Kamis, waktu setempat, para penyerang menggunakan akses SWIFT mereka untuk mengirimkan 36 permintaan transfer terpisah ke Fed New York—awal pagi Jumat waktu setempat. Selama 24 jam berikutnya, Fed meneruskan transfer ke Rizal Commercial Banking Corporation (RCBC) di Filipina, yang mulai memprosesnya. Pada saat Bank Bangladesh kembali buka, mereka menemukan pelanggaran dan mencoba menghubungi RCBC untuk menghentikan transaksi, hanya untuk menemukan bahwa bank tersebut telah tutup untuk libur Tahun Baru Imlek.

Kemudian pada tahun 2017, serangan ransomware WannaCry 2.0 yang luas menghancurkan industri di seluruh dunia, dengan atribusi sebagian kepada Kelompok Lazarus. Diperkirakan telah menyebabkan kerugian miliaran, WannaCry mengeksploitasi kerentanan zero-day Microsoft Windows yang awalnya dikembangkan oleh NSA. Ini mengenkripsi mesin lokal dan menyebar ke perangkat yang dapat diakses, akhirnya menginfeksi ratusan ribu sistem di seluruh dunia. Untungnya, peneliti keamanan Marcus Hutchins menemukan dan memicu kill switch dalam waktu delapan jam, membatasi skala kerusakan.

Sepanjang sejarahnya, Grup Lazarus telah menunjukkan kemampuan teknis yang luar biasa dan efektivitas operasional. Salah satu tujuan utama mereka adalah menghasilkan pendapatan bagi rezim Korea Utara. Hanya masalah waktu sebelum mereka memperhatikan industri cryptocurrency.

Lazarus Spin-Offs dan Ancaman yang Berkembang

Seiring berjalannya waktu, ketika Kelompok Lazarus menjadi istilah umum yang sering digunakan oleh media untuk menggambarkan kegiatan cyber Korea Utara, industri keamanan cyber mulai mengembangkan nama yang lebih tepat untuk Kelompok Lazarus dan operasi spesifik yang terkait dengan Korea Utara. APT38 adalah salah satu contohnya. Sekitar tahun 2016, ia memisahkan diri dari Kelompok Lazarus untuk fokus secara khusus pada kejahatan keuangan—awalnya menarget bank-bank (seperti Bank Bangladesh), dan kemudian, kriptocurrency. Pada tahun 2018, ancaman baru yang dikenal sebagai AppleJeus ditemukan menyebarkan malware yang menargetkan pengguna kriptocurrency. Juga pada tahun 2018, ketika OFAC pertama kali mengumumkan sanksi terhadap dua perusahaan depan yang digunakan oleh warga Korea Utara, sudah jelas bahwa operator Korea Utara yang menyamar sebagai pekerja IT telah menyusup ke industri teknologi.

Pekerja IT Korea Utara

Meskipun catatan paling awal tentang pekerja IT Korea Utara berasal dari sanksi OFAC 2018, laporan 2023 Unit 42 memberikan gambaran yang lebih rinci dan mengidentifikasi dua pelaku ancaman yang berbeda: Contagious Interview dan Wagemole.

Wawancara Menular dikenal karena menyamar sebagai perekrut dari perusahaan-perusahaan terkemuka untuk memikat pengembang ke dalam proses wawancara palsu. Kandidat-kandidat yang berpotensi diinstruksikan untuk mengkloning repositori untuk debugging lokal—dipelesetkan sebagai bagian dari tantangan pemrograman—tapi repositori tersebut mengandung pintu belakang. Menjalankan kode memberikan para penyerang kontrol atas mesin yang terpengaruh. Aktivitas ini sedang berlangsung, dengan insiden terbaru tercatat pada 11 Agustus 2024.

Di sisi lain, Wagemole tidak menarik korban - mereka dipekerjakan oleh perusahaan nyata, menyamar sebagai insinyur biasa, meskipun seringkali kurang produktif. Meskipun demikian, ada contoh dokumentasi pekerja TI yang menggunakan akses mereka untuk tujuan jahat. Dalam insiden Munchables, seorang karyawan yang terkait dengan operasi Korea Utara mengeksploitasi akses istimewa ke kontrak pintar dan mencuri semua aset.

Tingkat kecanggihan di antara agen Wagemole bervariasi secara luas. Beberapa menggunakan templat resume generik dan menolak panggilan video, sementara yang lain mengirimkan CV yang disesuaikan, berpartisipasi dalam wawancara video deepfake, dan menyediakan ID palsu seperti SIM dan tagihan utilitas. Dalam beberapa kasus, agen telah tinggal di dalam organisasi korban hingga satu tahun sebelum memanfaatkan akses mereka untuk menyusup ke sistem lain dan/atau menguangkan sepenuhnya.

AppleJeus

AppleJeus terutama berfokus pada mendistribusikan malware dan ahli dalam menjalankan serangan rantai pasok yang kompleks. Pada tahun 2023, serangan rantai pasok 3CX memungkinkan pelaku ancaman untuk potensial menginfeksi lebih dari 12 juta pengguna perangkat lunak VoIP 3CX. Kemudian diketahui bahwa 3CX sendiri telah terpengaruh oleh serangan rantai pasok pada salah satu vendor hulu—Trading Technologies 13.

Di industri kripto, AppleJeus awalnya menyebarkan malware yang disamarkan sebagai perangkat lunak sah, seperti platform perdagangan atau dompet kripto. Namun, seiring waktu, taktik mereka berkembang. Pada Oktober 2024, Radiant Capital dikompromikan oleh pelaku ancaman yang menyamar sebagai kontraktor tepercaya yang mengirimkan malware melalui Telegram. Mandiant mengaitkan serangan ini dengan AppleJeus.

Password Berbahaya

Password Berbahaya bertanggung jawab atas serangan rekayasa sosial berkecepatan rendah yang menargetkan industri cryptocurrency. Sejak tahun 2019, JPCERT/CC mencatat bahwa Password Berbahaya mengirimkan email phishing yang berisi lampiran menarik untuk diunduh pengguna. Dalam beberapa tahun terakhir, Password Berbahaya telah menyamar sebagai tokoh terkenal di ruang kripto untuk mengirimkan email phishing dengan judul seperti "Resiko Besar dalam Stablecoins dan Aset Kripto."

Hari ini, Password Berbahaya terus mengirimkan email phishing tetapi telah memperluas aktivitasnya ke platform lain. Sebagai contoh, Radiant Capital melaporkan menerima pesan phishing melalui Telegram dari seseorang yang menyamar sebagai peneliti keamanan. Pesan tersebut mencakup file bernama “Penpie_Hacking_Analysis_Report.zip”. Selain itu, pengguna melaporkan dihubungi oleh individu yang menyamar sebagai jurnalis atau investor yang meminta untuk menjadwalkan panggilan menggunakan aplikasi konferensi video yang tidak dikenal. Seperti Zoom, aplikasi-aplikasi ini meminta pengguna untuk mengunduh pemasang satu kali, tetapi setelah dijalankan, mereka menginstal malware pada perangkat pengguna.

PedagangPengkhianat

TraderTraitor adalah kelompok peretas Korea Utara paling canggih yang menargetkan industri cryptocurrency dan telah dikaitkan dengan serangan terhadap platform seperti Axie Infinity dan Rain.com. TraderTraitor hampir secara eksklusif menargetkan bursa dan perusahaan dengan cadangan besar dan tidak menggunakan kerentanan zero-day. Sebaliknya, ia menggunakan teknik spear-phishing yang sangat canggih untuk membahayakan korbannya. Dalam pelanggaran Axie Infinity, TraderTraitor menghubungi seorang insinyur senior melalui LinkedIn dan berhasil meyakinkan mereka untuk melalui serangkaian wawancara, akhirnya mengirimkan "tawaran pekerjaan" yang mengirimkan muatan malware. Dalam serangan WazirX, operasi TraderTraitor mengkompromikan komponen tak dikenal dalam pipa penandatanganan transaksi. Mereka kemudian menguras dompet panas pertukaran dengan berulang kali menyetor dan menarik dana, mendorong para insinyur untuk menyeimbangkan kembali dari dompet dingin. Ketika insinyur WazirX berusaha menandatangani transaksi untuk mentransfer dana, mereka ditipu untuk mengotorisasi transaksi yang menyerahkan kendali dompet dingin kepada TraderTraitor. Ini sangat mirip dengan serangan Februari 2025 terhadap Bybit, di mana TraderTraitor pertama-tama mengkompromikan infrastruktur Safe {Wallet} melalui rekayasa sosial, kemudian menyebarkan JavaScript berbahaya ke frontend Safe Wallet yang khusus digunakan oleh cold wallet Bybit. Ketika Bybit mencoba menyeimbangkan kembali dompetnya, kode berbahaya dipicu, menyebabkan insinyur Bybit tanpa sadar menandatangani transaksi yang mengalihkan kendali dompet dingin ke TraderTraitor.

Tetap Aman

Korea Utara telah menunjukkan kemampuan untuk menyebarkan kerentanan zero-day terhadap lawan, tetapi sejauh ini, tidak ada catatan atau kejadian yang diketahui dari zero-days yang digunakan terhadap industri cryptocurrency. Oleh karena itu, nasihat keamanan standar berlaku untuk hampir semua ancaman yang ditimbulkan oleh hacker Korea Utara.

Bagi individu, akal sehat dan kewaspadaan terhadap rekayasa sosial sangat penting. Misalnya, jika seseorang mengklaim memiliki informasi yang sangat rahasia dan menawarkan untuk membagikannya dengan Anda, berhati-hatilah. Atau, jika seseorang memberlakukan tekanan waktu dan mendesak Anda untuk mengunduh dan menjalankan perangkat lunak, pertimbangkan apakah mereka mencoba mencegah Anda berpikir secara rasional.

Untuk organisasi, terapkan prinsip hak akses minimal dimungkinkan. Minimalkan jumlah orang yang memiliki akses ke sistem yang sensitif, dan pastikan mereka menggunakan manajer kata sandi serta otentikasi dua faktor (2FA). Pisahkan perangkat pribadi dan kerja, serta pasang alat Pengelolaan Perangkat Bergerak (MDM) dan Deteksi dan Respons Ujung (EDR) pada mesin kerja untuk menjaga keamanan sebelum pelanggaran dan visibilitas setelah pelanggaran.

Sayangnya, untuk pertukaran besar atau target berharga lainnya, TraderTraitor masih dapat menyebabkan kerusakan lebih dari yang diharapkan bahkan tanpa menggunakan zero-days. Oleh karena itu, langkah-langkah pencegahan tambahan harus diambil untuk menghilangkan titik-titik kegagalan tunggal—sehingga kompromi tunggal tidak mengakibatkan kerugian keuangan total.

Namun, bahkan jika segalanya gagal, masih ada harapan. FBI memiliki tim yang didedikasikan untuk melacak dan mencegah intrusi dari Korea Utara dan telah aktif memberi tahu korban selama bertahun-tahun. Saya baru-baru ini senang bisa membantu tim tersebut untuk terhubung dengan target-target potensial dari Korea Utara. Jadi, untuk mempersiapkan yang terburuk, pastikan Anda memiliki informasi kontak yang tersedia secara publik—atau menjaga hubungan yang kuat di seluruh ekosistem (misalnya, SEAL 911)—sehingga pemberitahuan penting dapat mencapai Anda sesegera mungkin melalui grafik sosial.

Penafian:

1. Artikel ini dicetak ulang dari [ ForesightNewsMeneruskan Judul Asli 'Paradigm: Mengungkap Ancaman dari Kelompok Hacker Korea Utara Lazarus Group'. Seluruh hak cipta dimiliki oleh penulis aslisamczsun, Mitra Riset di Paradigm]. Jika ada keberatan terhadap pembaruan ini, harap hubungiGate Belajartim, dan mereka akan menanganinya segera sesuai dengan prosedur yang relevan.

2. Penyangkalan: Pandangan dan pendapat yang terdapat dalam artikel ini hanya mewakili pandangan pribadi penulis dan tidak merupakan saran investasi apa pun.

3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Tanpa menyebutkanGate.io, dilarang menyalin, mendistribusikan, atau menjiplak versi terjemahan.