Cointelegraph Magazine
General

Memisahkan fakta dari fiksi – Majalah Cointelegraph

Republik Demokratik Rakyat Korea secara luas dianggap sebagai sponsor negara dari peretasan dan pencurian cryptocurrency. Sementara beberapa presiden Amerika Serikat telah berusaha untuk menahan pertumbuhan pengembangan energi nuklir Korea Utara melalui serangkaian sanksi ekonomi, perang dunia maya adalah fenomena baru yang tidak dapat ditangani dengan cara tradisional.

Sayangnya untuk industri crypto, DPRK telah menyukai mata uang digital dan tampaknya berhasil meningkatkan operasi mereka seputar pencurian dan pencucian cryptocurrency untuk melewati sanksi ekonomi yang melumpuhkan yang telah menyebabkan kemiskinan ekstrem di negara paria.

Beberapa bukti menunjukkan bahwa Pyongyang telah mengumpulkan lebih dari dua miliar dolar AS dari serangan ransomware, peretasan, dan bahkan mencuri crypto langsung dari publik melalui spektrum trik phishing yang sangat canggih. Sumber menjelaskan bahwa rezim menggunakan berbagai taktik untuk mengubah dana yang dicuri menjadi kripto, menganonimkannya, dan kemudian menguangkannya melalui operator luar negeri. Semua aktivitas ini telah diberi nama oleh otoritas Amerika Serikat – “kobra tersembunyi”.

Untuk mencapai semua ini, operasi tidak hanya perlu didukung oleh negara, tetapi banyak orang yang sangat terlatih dan terampil harus terlibat dalam proses untuk melakukan perampokan. Jadi, apakah DPRK memang memiliki sarana dan kapabilitas untuk terlibat dalam perang dunia maya dalam skala international, bahkan sebagai pemimpin negara secara terbuka? mengakui bahwa negara dalam keadaan ekonomi terpuruk?

Seberapa banyak tepatnya yang dicuri peretas?

2020 melanjutkan pola beberapa pembaruan tentang berapa banyak uang yang diduga telah dicuri oleh peretas yang didukung DPRK. Laporan Perserikatan Bangsa-Bangsa dari 2019 menyatakan bahwa Korea Utara telah merampas $ 2 miliar dari bursa crypto dan financial institution.

Terbaru perkiraan tampaknya menunjukkan bahwa angka tersebut berada di sekitar $ 1,5 untuk $ 2,5 miliar menandai. Angka-angka ini menunjukkan bahwa, meskipun information pastinya sulit didapat, upaya peretasan terus meningkat dan menghasilkan lebih banyak dana setiap tahun. Selain itu, beberapa laporan ransomware baru, peretasan rumit, dan metode ransomware baru, hanya mendukung information ini.

Madeleine Kennedy, Direktur senior komunikasi di firma forensik kripto Chainalysis mengatakan kepada Cointelegraph bahwa perkiraan yang lebih rendah kemungkinan besar diremehkan:

Kami yakin mereka telah mencuri lebih dari $ 1,5 miliar dalam cryptocurrency. Tampaknya DPRK berinvestasi dalam kegiatan ini karena ini merupakan kampanye yang sangat sukses.

Namun, Rosa Smothers, wakil presiden senior di perusahaan keamanan cyber KnowBe4 dan mantan petugas intelijen teknis CIA, mengatakan kepada Cointelegraph bahwa meskipun tuduhan baru-baru ini dari Departemen Kehakiman Amerika Serikat bahwa peretas Korea Utara mencuri hampir $ 250 juta dari dua pertukaran kripto, jumlah totalnya mungkin tidak setinggi itu, menambahkan: "Mengingat pengakuan publik Kim Jong Un baru-baru ini tentang situasi ekonomi negara yang suram, $ 1,5 miliar menurut saya terlalu tinggi."

Bagaimana cara kerja kelompok peretasan?

Tidak terlalu jelas bagaimana tepatnya kelompok peretasan Korea Utara itu diatur dan di mana mereka berada, karena tidak ada laporan yang memberikan gambaran pasti. Baru-baru ini, file Departemen Keamanan Dalam Negeri AS menyatakan bahwa grup peretasan baru yang disponsori DPRK, BeagleBoyz, sekarang aktif di kancah internasional. Agensi tersebut mencurigai geng tersebut sebagai entitas yang terpisah, tetapi berafiliasi dengan grup Lazarus yang terkenal, yang dikabarkan berada di balik beberapa serangan cyber profil tinggi. DHS percaya bahwa BeagleBoyz telah berusaha mencuri hampir $ 2 miliar sejak 2015, sebagian besar menargetkan infrastruktur perbankan seperti ATM dan sistem SWIFT.

Menurut Ed Parsons, direktur pelaksana F-Safe Inggris Raya, "'BeagleBoyz' tampaknya menjadi nama pemerintah AS untuk kelompok aktivitas baru-baru ini yang menargetkan keuangan pada 2019/2020," menambahkan bahwa tidak diketahui apakah unit tersebut baru atau " nama baru yang dilampirkan ke kampanye yang awalnya tanpa atribut yang kemudian dikaitkan dengan aktivitas DPRK. ” Dia lebih lanjut mengatakan kepada Cointelegraph bahwa sampel malware terkait dengan kode nama "cobra tersembunyi", yang merupakan istilah yang digunakan oleh pemerintah AS untuk mengidentifikasi aktivitas on-line DPRK.

Menurut Badan Keamanan & Keamanan Infrastruktur A.S., aktivitas terkait ular kobra yang tersembunyi ditandai pada tahun 2009 dan pada awalnya bertujuan untuk mengekstrak informasi atau mengganggu proses. Utama vektor serangannya adalah “botnet DDoS, keylogger, alat akses jarak jauh (RAT), dan malware penghapus,” menargetkan versi Microsoft Home windows dan perangkat lunak Adobe yang lebih lama. Terutama, pelaku cobra tersembunyi menggunakan infrastruktur botnet DDoS, yang dikenal sebagai DeltaCharlie, yang dikaitkan dengan lebih dari 600 alamat IP.

John Jefferies, kepala analis keuangan di CipherTrace, sebuah perusahaan forensik blockchain, mengatakan kepada Cointelegraph bahwa ada beberapa grup peretasan terkemuka dan sangat sulit untuk membedakan di antara mereka. Anastasiya Tikhonova, kepala Riset APT di Group-IB, sebuah perusahaan keamanan siber, menggemakan sentimen yang mengatakan bahwa terlepas dari nama grup yang dilampirkan, vektor serangan sangat mirip:

“Akses awal ke organisasi keuangan yang ditargetkan diperoleh dengan menggunakan spear phishing – baik melalui e-mail dengan dokumen jahat yang menyamar sebagai tawaran pekerjaan atau melalui pesan pribadi di media sosial dari seseorang yang berpura-pura menjadi perekrut. Setelah diaktifkan, file berbahaya mengunduh NetLoader. ”

Selain itu, beberapa ahli telah menguraikan JS-sniffers sebagai utas terbaru yang muncul, paling sering dikaitkan dengan grup Lazarus. JS-sniffers adalah kode berbahaya yang dirancang untuk mencuri information pembayaran dari toko on-line kecil, serangan di mana semua pihak yang terlibat dalam transaksi akan mengungkapkan informasi pribadi mereka.

Secara keseluruhan, kelompok peretasan tampaknya menyempurnakan penggunaan seperangkat alat berbahaya yang sangat spesifik yang berpusat di sekitar phishing, di mana karyawan perusahaan yang tidak tahu menginstal perangkat lunak yang terinfeksi yang kemudian menyebar ke seluruh sistem perusahaan yang menargetkan fungsi inti. Contoh paling penting dari aktivitas yang dicurigai adalah Peretasan Sony Photos 2014 dan penyebaran malware WannaCry pada 2017.

Menurut berbagai sumber, kebanyakan serangan dilakukan dengan standar tinggi dengan bukti persiapan yang panjang. Contoh terbaru dari tahun 2020 termasuk a situs bot perdagangan palsu yang dibuat untuk memikat karyawan pertukaran crypto DragonEX yang meraup $ 7 juta dalam bentuk crypto.

Pada akhir Juni, sebuah laporan memperingatkan bahwa Lazarus Group akan berusaha meluncurkan serangan spesifik COVID-19 di mana peretas akan menyamar sebagai kantor pemerintah di negara-negara yang mengeluarkan bantuan keuangan terkait pandemi untuk mengarahkan penerima e-mail yang tidak waspada ke situs net jahat yang akan menyedot information keuangan dan meminta pembayaran kripto. Selain itu, pencari kerja industri kripto juga tampaknya berada di bawah ancaman karena menurut laporan terbaru, peretas menggunakan e-mail mirip LinkedIn untuk mengirim tawaran pekerjaan palsu berisi file MS Phrase berbahaya.

Yang paling menonjol adalah serangan terhadap pertukaran crypto. Meskipun jumlah pasti yang dicuri dari platform perdagangan tidak diketahui, ada beberapa laporan oleh perusahaan keamanan siber dan lainnya pemerintah lembaga memperkirakan jumlahnya lebih dari satu miliar dolar. Namun, DPRK hanya diduga berada di balik beberapa peretasan tersebut dengan hanya beberapa kasus yang telah dilacak kembali ke rezim. Contoh paling terkenal adalah peretasan pertukaran Coincheck yang berbasis di Jepang selama itu $ 534 juta token NEM telah dicuri.

Pada akhir Agustus 2020 pernyataan dari Departemen Kehakiman AS menguraikan rincian operasi untuk mencuci dana yang dicuri melalui crypto, yang dilacak kembali ke tahun 2019. Diyakini bahwa peretas yang didukung Korea Utara memulai pencurian dengan dukungan dari jaringan pencucian uang China. Kedua warga negara China tersebut menggunakan metode "rantai kulit" untuk mencuci $ 250 juta melalui 280 dompet digital yang berbeda, dalam upaya untuk menutupi asal dana.

Menurut Kennedy, kelompok peretasan yang terkait dengan DPRK memang menjadi lebih canggih dalam peretasan dan pencucian: "Secara khusus, kasus-kasus ini menyoroti penggunaan" lompatan rantai ", atau memperdagangkannya ke mata uang kripto lain seperti stablecoin. Mereka kemudian mengubah dana yang dicuci menjadi Bitcoin. " Chain hopping mengacu pada metode di mana cryptocurrency yang dapat dilacak diubah menjadi koin privasi seperti Monero atau Zcash.

Mengatasi kesuksesan para peretas, Parsons percaya bahwa:

Ruang IP / akses kecil ke web di DPRK, serta sifatnya yang kurang terhubung ke sistem international / on-line, bisa dibilang menawarkan keunggulan asimetris dalam kaitannya dengan operasi dunia maya.

Berbicara kepada Cointelegraph, Alejandro Cao de Benos, delegasi khusus Komite Hubungan Budaya dengan Negara Asing DPRK membantah klaim bahwa negara tersebut berada di balik serangan cyber crypto, menyatakan bahwa itu adalah "kampanye propaganda besar ”melawan pemerintah:

“Biasanya DPRK selalu digambarkan di media sebagai negara terbelakang tanpa akses web atau bahkan listrik. Tetapi pada saat yang sama mereka selalu menuduhnya memiliki kapasitas yang lebih tinggi, konektivitas yang lebih cepat, komputer dan ahli yang lebih baik daripada financial institution terbaik atau lembaga pemerintah AS. Ini tidak masuk akal hanya dari sudut pandang logika dan teknologi dasar. "

Berapa ukuran yang diduga dari kekuatan cyber dan di mana mereka berada?

Angka lain yang gagal disepakati oleh berbagai laporan dan studi adalah ukuran kekuatan dunia maya yang diduga didukung oleh pemerintah Korea Utara. Baru-baru saja, Laporan Angkatan Darat AS "Taktik Korea Utaramenyatakan bahwa jumlahnya mencapai 6.000 koperasi, terutama tersebar Belarusia, China, India, Malaysia, Rusia, dan beberapa negara lainnya, semuanya bersatu di bawah kepemimpinan unit perang dunia maya yang disebut "Biro 121".

Parsons percaya bahwa jumlah tersebut kemungkinan besar berasal dari perkiraan sebelumnya yang diperoleh dari seorang pembelot yang melarikan diri dari DPRK pada tahun 2004, meskipun mengakui bahwa: "Angka tersebut mungkin juga dihasilkan dari intelijen inner AS yang tidak dapat diatribusikan secara publik." Tikhonova setuju bahwa sulit untuk menilai ukuran kekuatan: "Laporan yang berbeda dapat memberikan petunjuk untuk strategi 'perekrutan' rezim," katanya, melanjutkan bahwa:

“Orang Korea Utara diduga menarik mahasiswa dari universitas. Selain itu, beberapa peretas Korea Utara direkrut saat bekerja untuk perusahaan IT di negara lain. Misalnya, Park Jin Hyok, yang diduga anggota APT Lazarus yang dicari oleh FBI, bekerja untuk perusahaan IT Chosun Expo yang berbasis di Dalian, Cina. ”

Smothers lebih skeptis terhadap kesimpulan laporan tersebut, namun menyatakan bahwa: "Ini sesuai dengan laporan dari Kementerian Pertahanan Korea Selatan yang, beberapa tahun lalu, memperkirakan jumlahnya mencapai 3.000," menambahkan bahwa jika ada yang memiliki informasi seperti itu, itu akan jadilah Korea Selatan. Mengatasi pertanyaan tentang bagaimana kumpulan kekuatan dunia maya diatur dan di mana basisnya, dia juga setuju bahwa sebagian besar peretas akan ditempatkan di seluruh dunia "mengingat terbatasnya bandwidth di Korea Utara. ”

Jefferies juga percaya bahwa "peretas Korea Utara berbasis di seluruh dunia – hak istimewa yang diberikan kepada sangat sedikit orang di negara ini," juga menambahkan bahwa dalam banyak kasus, peretasan yang dikaitkan dengan Korea Utara tidak dilakukan oleh peretas yang disewa. Tikhonova memberikan kemungkinan alasan di balik kedua pernyataan tersebut, dengan mengatakan:

Kecil kemungkinan mereka akan memberi seseorang akses ke daftar goal potensial mereka atau datanya mengingat sensitivitas operasi, jadi itu dilakukan oleh orang Korea Utara sendiri.

Apa yang bisa dilakukan untuk menghentikan para peretas?

Tampaknya, sejauh ini, mengidentifikasi pergerakan uang dan mengungkap beberapa pihak ketiga adalah satu-satunya hal yang berhasil dilakukan – setidaknya di depan umum. Satu melaporkan oleh sistem BAE dan SWIFT bahkan telah menguraikan bagaimana dana yang dicuri oleh Lazarus Group diproses melalui fasilitator Asia Timur, menghindari prosedur Anti-Pencucian Uang dari beberapa pertukaran crypto.

Jeffreries percaya bahwa lebih banyak yang harus dilakukan dalam hal itu: "Pihak berwenang perlu memberlakukan dan menegakkan undang-undang anti-pencucian uang crypto dan peraturan Aturan Perjalanan untuk memastikan bahwa transaksi yang mencurigakan dilaporkan." Dia juga menekankan pentingnya otoritas untuk memastikan bahwa penyedia layanan aset digital menerapkan langkah-langkah Kenali Pelanggan Anda yang memadai:

“Salah satu taktik yang diketahui digunakan oleh pencucian uang profesional yang didukung Korea Utara adalah penggunaan ID palsu untuk membuat akun di banyak bursa. Pertukaran dengan kontrol KYC yang lebih kuat lebih mampu mendeteksi akun penipuan ini dan mencegah penyalahgunaan jaringan pembayaran mereka. ”

Menurut informasi yang diungkapkan oleh US DOJ, mereka yang melakukan pencucian uang goal pertukaran dengan persyaratan KYC yang lebih lemah. Meskipun tidak ada platform yang disebutkan, ini kemungkinan adalah bursa yang lebih kecil yang hanya beroperasi di pasar Asia. Ada juga masalah beberapa otoritas yang tidak dapat mengambil tindakan terkait perusahaan yang tidak berada di bawah yurisdiksinya, seperti yang ditunjukkan Smothers:

“Sifat international dari pertukaran ini, serta para pelaku OTC (perdagangan mata uang kripto yang dijual bebas) di Tiongkok, membatasi kemampuan Departemen Kehakiman kami untuk mengambil tindakan cepat. Misalnya, DOJ mengajukan tuntutan sipil pada bulan Maret, tetapi OTCers China menarik semua dana dari akun goal dalam beberapa jam setelah pengajuan DOJ. "

Tapi yang memperumit hal lebih jauh adalah menurut Chainalysis melaporkan mulai 2019, pencucian dana tersebut mungkin memerlukan waktu berbulan-bulan – jika tidak bertahun-tahun – untuk menyelesaikan prosesnya. Menurut penulis mendukung gagasan bahwa serangan itu untuk keuntungan finansial karena crypto yang dicuri dapat duduk diam di dompet hingga 18 bulan sebelum dipindahkan karena takut terdeteksi.

Namun, para peneliti percaya bahwa sejak 2019, taktik yang digunakan oleh para penjahat telah berubah untuk mengakomodasi penarikan yang lebih cepat melalui penggunaan ekstensif pencampur mata uang kripto untuk mengaburkan sumber dana. Kennedy menjelaskan lebih lanjut:

“Kami tidak dapat menjelaskan alasan di balik teknik mereka, tetapi kami telah memperhatikan bahwa para aktor ini sering kali memindahkan uang dari satu peretasan, kemudian berhenti untuk berkonsentrasi memindahkan uang dari peretasan lain, dan seterusnya. (…) Pertukaran Cryptocurrency sangat penting dalam penyelidikan, dan sektor publik dan swasta bekerja sama untuk mengatasi ancaman yang ditimbulkan oleh peretas ini. "

Seberapa serius masalahnya?

Saat membahas DPRK, memang sulit menghindari topik pelanggaran HAM dan program nuklir negara itu dilaporkan terus berjalan, meski sanksi ekonomi diperketat.

Dalam hal ini, pemerintah dinasti yang dipandu oleh pemimpin tertinggi Kim Jong Un dipandang sebagai ancaman yang cukup besar bagi dunia: Tapi sekarang, ini bukan hanya karena aspirasi nuklir rezim. Meskipun serangan keamanan siber dalam banyak kasus tidak secara langsung berbahaya bagi kehidupan manusia, upaya ini memberikan aliran pendapatan yang stabil bagi negara untuk terus memperkuat cita-cita dan tujuannya.

Namun, yang mungkin lebih mengkhawatirkan, menurut beberapa komentator yang dikutip dalam artikel ini, kelompok peretas yang tampaknya didukung oleh rezim Korea Utara terus memperluas dan memperluas operasi mereka karena metode mereka terbukti sangat berhasil. Jefferies for one percaya bahwa: "Tidak mengherankan jika mereka terus mengembangkan dan berinvestasi dalam kemampuan dunia maya mereka."