Berita  

Peretas Korut Menipu Startup Berbagai Negara, Pura-pura jadi Perusahaan Kripto

peretas-korut-menipu-startup-berbagai-negara,-pura-pura-jadi-perusahaan-kripto

Laporan terbaru mengungkap peretas yang diduga bekerja untuk pemerintah Korea Utara telah menyamar sebagai pemodal ventura dan pegawai perusahaan kripto macam Digital Currency Group (DCG) untuk mencuri uang kripto.

Diterbitkan Kamis oleh Kaspersky Lab, laporannya menguraikan aksi peretasan yang berlangsung selama berbulan-bulan. Peretas berpura-pura bekerja di perusahaan modal ventura dan membobol startup yang bergerak di bidang kripto.


“Operator BlueNoroff menguntit dan mengawasi startup kripto yang sukses,” tulis para peneliti, menggunakan nama internal untuk kelompok peretas. “Tim penyusup bertujuan membangun peta interaksi antar individu dan memahami kemungkinan topik obrolan. Ini memungkinkan mereka menyusun serangan rekayasa sosial berkualitas tinggi yang tampak seperti interaksi biasa. Orang tidak akan curiga saat ada kolega mengirim dokumen tentang topik yang sedang dibicarakan. BlueNoroff membobol perusahaan melalui identifikasi yang tepat dari orang-orang yang diperlukan dan topik yang mereka diskusikan pada waktu tertentu.”

Menurut laporan, peretas menggunakan kedok lebih dari 15 bisnis ventura, termasuk seseorang yang menjabat di posisi top manajemen DCG. Perusahaan kripto besar ini memiliki anak perusahaan di berbagai bidang investasi dan media, seperti Grayscale Investments yang merupakan perusahaan manajemen aset terbesar di industri kripto dan mengelola miliaran aset. DCG juga memiliki CoinDesk, situs berita trading kripto terkemuka di dunia. DCG sendiri didirikan oleh pengusaha Barry Silbert yang terkenal di dunia kripto.

Laporan mengungkapkan peretas mengeksploitasi ketertarikan startup terlibat dengan calon investor, terutama jika mereka pemain terkenal dan berpengaruh seperti DCG.

“Jika perusahaan modal ventura mendekati startup dan mengirim file yang terlihat seperti kontrak investasi atau dokumen menjanjikan lainnya, perusahaan startup takkan ragu-ragu membukanya, bahkan jika ada risiko yang terlibat dan Microsoft Office telah memberi peringatan,” tulis peneliti.

DCG tak segera menanggapi permintaan Motherboard untuk berkomentar.

Peneliti Kaspersky Lab yakin BlueNoroff terhubung dengan Lazarus yang dicurigai bekerja untuk pemerintah Korea Utara. Kelompok peretas inilah yang menyusup jaringan komputer Sony Pictures Entertainment pada 2014, dan menggondol hampir 1 miliar Dolar dari Bank Bangladesh.

Kelompok peretas ini berspesialisasi mencuri uang untuk mendanai pemerintah, yang dilumpuhkan oleh sanksi ekonomi internasional.

Para peneliti menduga DCG dan perusahaan lain yang terdampak tidak diretas. Pelaku hanya berpura-pura sebagai perusahaan atau pegawainya.

Serangan peretas yang awalnya mengandalkan phishing dan rekayasa sosial juga melibatkan banyak hal teknis. Saat mereka mencuri uang kripto, misalnya. Begitu mereka berhasil mengakses komputer target, peretas memasukkan kode mereka tiap kali target memindahkan uang kripto untuk mengalihkan transaksi. Mereka menganalisis ekstensi MetaMask Chrome dan menulis ulang detail transaksi dengan cara yang tidak mudah diketahui.

“Dengan begini, transaksi akan didaftarkan ke dompet perangkat keras ketika pengguna yang diretas mentransfer dana ke rekening lain. Namun, berhubung tindakannya dilakukan oleh pengguna pada saat yang tepat, mereka tidak sadar ada hal mencurigakan dan mengonfirmasi transaksi pada perangkat yang aman tanpa memperhatikan detail transaksi,” terang peneliti.

“Pengguna tidak khawatir saat ukuran pembayaran yang dimasukkan rendah dan kesalahannya tidak signifikan. Sementara itu, peretas tak hanya mengubah alamat penerima, melainkan juga mendorong jumlah mata uang hingga batasnya, yang pada dasarnya menguras rekening dalam satu langkah.”

Peneliti Kaspersky Lab Seongsu Park mengatakan, dia dan rekan-rekan tak dapat menyebut jumlah pasti korbannya. Mereka juga tidak bisa mengonfirmasi berapa banyak uang yang dicuri.

“Satu yang pasti adalah serangannya sudah lama terjadi,” terangnya melalui email. “Kami tidak dapat mengonfirmasi jumlah uang yang telah dicuri. Akan tetapi, serangan mereka telah berlangsung hampir empat tahun, yang berarti sudah banyak keberhasilan yang mereka lakukan.”