13 Desember 2022
SEOUL – Ini adalah bagian kedua dari seri tiga bagian yang menyoroti pencurian mata uang kripto di Korea Utara dan kaitannya dengan ambisi nuklir rezim pertapa tersebut. —Ed.
Awal tahun ini, seorang insinyur senior di Axie Infinity, sebuah perusahaan Vietnam yang menjalankan permainan play-to-earn berbasis blockchain, didorong untuk melamar pekerjaan yang menguntungkan melalui LinkedIn.
Namun setelah insinyur tersebut membuka file dokumen berisi surat tawaran pekerjaan, jaringan Ronin Bridge, sebuah platform yang dibuat oleh Axie Infinity untuk mentransfer mata uang kripto, tiba-tiba disusupi. Spyware yang ditanam dalam file tersebut memungkinkan peretas menyusup ke jaringan Ronin dan mencuri mata uang kripto senilai $625 juta pada bulan Maret.
Meskipun mungkin terdengar seperti fiksi, ini hanyalah bagaimana kelompok Lazarus menembus infrastruktur TI Ronin Bridge dan meretas kunci pribadi validator untuk mencuri mata uang kripto. Biro Investigasi Federal AS mengonfirmasi pada bulan April bahwa kelompok Lazarus bertanggung jawab atas salah satu perampokan mata uang kripto terbesar sepanjang masa.
Lazarus Group adalah pasukan peretas yang disponsori negara Korea Utara yang dilatih seumur hidup untuk mencuri aset terlarang guna membiayai ambisi nuklir rezim yang mendapat sanksi berat yang membuat pemimpin Kim Jong-un tetap berkuasa. Dana sebesar $625 juta yang dicuri oleh peretas Ronin Bridge setara dengan biaya yang dikeluarkan Pyongyang untuk meluncurkan 31 rudal balistik pada paruh pertama tahun ini, menurut Seoul.
Kasus Axie Infinity hanyalah puncak gunung es dari sejarah kejahatan keuangan Korea Utara selama puluhan tahun. Mereka tidak lagi mencuri dari bank, namun kini menerobos dunia maya dengan memanipulasi orang dan mencuri uang dari sistem keuangan online yang berteknologi canggih.
Millie Kim, seorang peneliti di Kelompok Kerja Siber Korea Utara, sebuah inisiatif dari Proyek Korea di Pusat Sains dan Urusan Internasional Belfer Universitas Harvard, mengatakan: “Peretas yang disponsori negara Korea Utara mahir dalam berkembang di ruang kripto, terutama ketika mengidentifikasi kerentanan dalam teknologi blockchain terbaru.
“Hal ini sebagian berkaitan dengan akses terbuka terhadap informasi online, dan bagian lainnya adalah penempatan strategis pekerja luar negeri di perusahaan IT dan mata uang kripto untuk memberikan pengetahuan khusus kepada peretas,” kata Kim.
“Penanaman bakat dan pelatihan agen siber di lembaga-lembaga pemerintah dan negara-negara asing lainnya memberikan sarana penting lainnya dimana Korea Utara dapat merasakan dan memperoleh informasi tentang teknologi blockchain yang berkembang pesat.”
Pencurian mata uang kripto yang disponsori negara Korea Utara umumnya dikategorikan ke dalam tiga fase: mengakses jaringan secara ilegal atau memperoleh informasi terlarang, mencuci mata uang kripto ilegal, dan mencairkan aset kripto yang diperoleh secara tidak benar. (Pemberita Korea)
Misalnya, kelompok peretas BlueNoroff – subkelompok Lazarus Group – “memiliki metodologi canggih untuk menyusup ke mesin korban dan mencuri mata uang kripto,” kata Park Seong-su, kepala peneliti keamanan Tim Riset dan Analisis Global Kaspersky, menambahkan bahwa “ taktik mereka terus berkembang.”
Park mengatakan bahwa “kelompok BlueNoroff menghubungi korban melalui media sosial untuk mendapatkan kepercayaan” dan kemudian “menyebarkan malware canggih dengan tahap infeksi multistage.” Selanjutnya, peretas Korea Utara “mengumpulkan informasi umum korban dan memantau cara korban menangani mata uang kripto untuk jangka waktu yang cukup.”
Secara umum, penjahat dunia maya Korea Utara “mengumpulkan informasi organisasi, mengidentifikasi individu yang rentan dan kelemahan infrastruktur, dan menganalisis perilaku target mereka” sebelum menerapkan taktik rekayasa sosial tingkat lanjut, menurut laporan Chainalysis yang termasuk dalam laporan jangka menengah Panel Pakar telah diterbitkan. September.
Selain itu, para pelaku ancaman siber yang berafiliasi dengan Lazarus Group telah menguasai dan menyempurnakan teknik untuk menciptakan persona palsu, membangun bisnis fiktif, dan dengan hati-hati merancang identitas digital untuk “berkomunikasi dengan target mereka dan mendapatkan kepercayaan mereka.”
Pelaku ancaman di Korea Utara telah membuat “akun palsu namun tampak sah” di platform media sosial seperti LinkedIn dan Twitter, secara teratur mengunggah konten dan terlibat dalam pertukaran pribadi dan terkurasi dengan target mereka. Kemudian, peretas Korea Utara meluncurkan serangan spear phishing melalui berbagai saluran, termasuk mengirim email dengan lampiran yang berisi malware atau tautan berbahaya, undangan untuk berkolaborasi melalui SharePoint, dan berbagi tautan Google Dokumen.
Peniru Korea Utara, Kim Hyon-woo, digunakan untuk menyerang Sony Pictures Entertainment, meretas lembaga keuangan termasuk Bangladesh Bank, dan menargetkan kontraktor pertahanan AS, menurut tuntutan pidana AS yang dibuka pada tahun 2018.
Bagan 1 berisi hubungan antara (1) akun Chosun Expo yang digunakan oleh PARK, (2) akun yang digunakan oleh alias “Kim Hyon Woo”, dan (3) beberapa akun yang digunakan sebagai bagian dari infrastruktur serangan subjek digunakan. Tidak semua akun infrastruktur serangan yang ditemukan dalam penyelidikan disertakan, melainkan hanya akun-akun yang memiliki koneksi tertentu ke akun Chosun Expo yang terhubung dengan PARK. (Departemen Kehakiman AS)
Tapi bagaimana cara kerjanya?
Peretas yang disponsori negara Korea Utara pada dasarnya menggunakan dua taktik off-chain: rekayasa sosial dan malware. Kelompok peretas umumnya menggunakan taktik spionase tradisional seperti serangan rekayasa sosial tingkat lanjut untuk membobol sistem mata uang kripto dengan menipu dan memikat korban agar secara tidak sengaja memberikan akses ke jaringan mereka dan informasi rahasia atau mengunduh file yang berisi malware untuk dimuat.
Rekayasa sosial adalah teknik manipulasi psikologis yang mengeksploitasi sifat manusia dan mengelabui orang agar memberikan informasi rahasia dan melewati prosedur keamanan.
Salah satu contohnya adalah kampanye spear-phishing yang menipu orang atau kelompok tertentu dengan membagikan informasi yang diketahui menarik bagi target melalui email atau komunikasi elektronik yang sah.
Selain itu, pelaku siber Korea Utara telah menargetkan individu dan organisasi, termasuk bursa mata uang kripto dan layanan keuangan untuk pencurian mata uang kripto dengan mendistribusikan aplikasi perdagangan mata uang kripto yang dipenuhi malware, menurut US Joint Cybersecurity Advisory yang dikeluarkan pada tahun 2021.
Penjahat dunia maya Korea Utara “menggunakan phishing, jejaring sosial, dan teknik rekayasa sosial untuk memikat pengguna agar mengunduh malware” yang dijuluki “AppleJeus” oleh pemerintah AS.
Umumnya, perusahaan yang tampak sah mengiklankan dan mendistribusikan versi aplikasi perdagangan mata uang kripto yang dimodifikasi dan di-trojan di situs web mereka.
Pada tahun 2020, pelaku siber Korea Utara menargetkan institusi di bidang energi, keuangan, pemerintahan, industri, teknologi, dan telekomunikasi untuk pencurian mata uang kripto dengan malware AppleJeus di lebih dari 30 negara.
“Bermain mata uang kripto memainkan kekuatan agen siber Korea Utara, karena mereka memanfaatkan keterampilan dari seluruh perangkat peretasan ‘tradisional’ serta orang-orang yang melakukan pekerjaan TI/freelance secara online,” kata Joe Dobson, analis utama senior di Mandiant, berbasis di Virginia.
Negara-negara yang menjadi sasaran AppleJeus oleh pelaku ancaman persisten tingkat lanjut (APT) yang disponsori negara Korea Utara sejak tahun 2020. (Badan Keamanan Siber dan Infrastruktur AS)
Pencucian uang
Namun melarikan diri dari cryptocurrency hanyalah permulaan. Korea Utara telah terlibat dalam proses multi-tahap dan canggih untuk menguangkan mata uang kripto tersebut.
“Rezim Kim telah mahir dalam mencampurkan dan mencuci dana untuk mencoba menyamarkan asal dana curiannya,” kata Annie Fixler, wakil direktur Pusat Inovasi Siber dan Teknologi di Yayasan Pertahanan Demokrasi. .
Pelaku ancaman dunia maya yang disponsori negara Korea Utara telah menggunakan berbagai taktik untuk menyembunyikan atau menyamarkan sumber mata uang kripto dan transaksi terlarang tanpa memberikan identifikasi atau informasi “Kenali Pelanggan Anda”.
“Untuk mencuci dana, mereka menggunakan teknik penggelapan seperti pembauran, menggunakan layanan seperti Tornado Cash untuk membuat pemutusan hubungan antara mata uang kripto yang mereka simpan dan tarik, dan chain hopping, yang merupakan proses peralihan antara beberapa jenis mata uang kripto pertukaran yang berbeda di satu transaksi,” kata Erin Plante, wakil presiden penelitian di Chainalysis yang berbasis di New York.
Secara umum, Korea Utara mencuci mata uang kripto yang dicuri sebagian besar melalui alat lompat rantai, mixer, dan teknik rantai cangkang.
Chain hopping adalah taktik berpindah antar jenis mata uang kripto yang berbeda, sering kali secara berurutan. Shell chain adalah teknik pencucian mata uang kripto dalam jumlah besar melalui serangkaian transaksi kecil yang panjang.
Pencampur mata uang kripto adalah alat perangkat lunak yang menggabungkan dan mencampur mata uang kripto dari ribuan alamat untuk menyamarkan dan menyembunyikan alur transaksi.
“Korea Utara cenderung mengandalkan mixer dan blockchain. Namun, mereka akan selalu menggunakan jalur yang resistensinya paling kecil,” kata Allison Owen, analis riset di Royal United Services Institute di London. daerah-daerah baru yang dapat mereka eksploitasi.”
Dua warga negara Tiongkok telah didakwa melakukan pencucian mata uang kripto senilai lebih dari $100 juta — yang dicuri oleh Lazarus Group dari bursa mata uang kripto — antara tahun 2017 dan 2019. (Departemen Keuangan AS)
Kolaborator asing
Pakar keamanan siber dan analis blockchain juga menekankan bahwa perhatian lebih harus diberikan pada kerja sama Korea Utara dengan negara-negara asing dan warga negara di setiap tahap pembajakan mata uang kripto.
Korea Utara juga memiliki sejarah berkonspirasi dengan warga negara asing, termasuk mitra Kanada-Amerika dan Nigeria untuk mencuci dana dari perampokan yang dilakukan melalui dunia maya yang dilakukan oleh Korea Utara.
Nick Carlsen, analis blockchain di TRM Labs dan mantan analis FBI, mengatakan kerja sama dengan warga negara asing lebih penting dalam tahap pencucian dan pencairan dana curian.
Misalnya, broker OTC “memainkan peran utama di setiap tahap” pencucian dana curian melalui skema pelapisan untuk memindahkan dan mentransfer cryptocurrency ilegal ke dompet dan mata uang yang berbeda, menurut laporan yang dikeluarkan oleh Belfer Center pada bulan Mei. untuk Sains dan Urusan Internasional.
Sistem OTC memungkinkan para pihak untuk membeli dan menjual sekuritas di luar bursa formal dan melalui jaringan dealer yang terdesentralisasi.
Dua warga negara Tiongkok telah didakwa melakukan pencucian mata uang kripto senilai lebih dari $100 juta – yang dicuri dari bursa mata uang kripto oleh Lazarus Group – antara tahun 2017 dan 2019, menurut Departemen Keuangan AS dan Departemen Kehakiman pada tahun 2020. Seorang warga negara Tiongkok memindahkan lebih dari $34 juta mata uang kripto yang diperoleh secara ilegal. melalui rekening bank Tiongkok dan mentransfer bitcoin senilai sekitar $1,4 juta ke kartu hadiah Apple iTunes.
Robert Potter, salah satu pendiri dan salah satu CEO perusahaan keamanan siber Australia-Amerika, Internet 2.0, juga menyatakan bahwa “Rusia dan Tiongkok dengan senang hati menutup mata” terhadap pencurian mata uang kripto yang dilakukan Korea Utara.
“Peretas yang memiliki hubungan dengan Korea Utara menggunakan layanan yang berlokasi di negara-negara di seluruh dunia, termasuk Tiongkok dan Rusia, untuk mencoba menguangkan keuntungan haram mereka,” kata Plante dari Chainalysis.