Serangan siber dan metode pencucian uang oleh kelompok peretas Korea Utara Lazarus Group

Baru-baru ini, sebuah laporan rahasia PBB mengungkap aktivitas terbaru dari kelompok peretas Korea Utara, Lazarus Group. Diketahui bahwa organisasi tersebut telah mencuci uang sebesar 147,5 juta USD melalui suatu platform mata uang virtual pada bulan Maret tahun ini, setelah mencuri dana dari sebuah bursa cryptocurrency tahun lalu.

Pengawas Komite Sanksi Dewan Keamanan PBB mengungkapkan bahwa mereka sedang menyelidiki 97 serangan siber yang diduga dilakukan oleh hacker Korea Utara terhadap perusahaan cryptocurrency antara tahun 2017 hingga 2024, dengan jumlah yang terlibat mencapai 3,6 miliar dolar AS. Ini termasuk kasus pencurian 147,5 juta dolar AS yang dialami oleh sebuah bursa cryptocurrency pada akhir tahun lalu, yang kemudian menyelesaikan proses pencucian uang pada bulan Maret tahun ini.

Perlu dicatat bahwa pemerintah Amerika Serikat telah memberlakukan sanksi terhadap platform mata uang virtual ini pada tahun 2022. Pada tahun 2023, dua pendiri bersama dari platform tersebut dituduh membantu pencucian uang lebih dari 1 miliar dolar AS, termasuk hasil ilegal dari organisasi kejahatan siber Lazarus Group yang terkait dengan Korea Utara.

Menurut survei oleh para ahli analisis cryptocurrency, Lazarus Group berhasil mengonversi cryptocurrency senilai 200 juta dolar AS menjadi mata uang fiat antara Agustus 2020 hingga Oktober 2023.

Lazarus Group telah lama dituduh melakukan serangan siber besar-besaran dan kejahatan finansial. Target mereka mencakup di seluruh dunia, mulai dari sistem perbankan hingga bursa cryptocurrency, dari lembaga pemerintah hingga perusahaan swasta, semuanya tanpa terkecuali. Berikut ini kami akan menganalisis beberapa kasus serangan yang khas, mengungkap bagaimana Lazarus Group berhasil melaksanakan serangan yang mengejutkan ini melalui strategi dan teknik mereka yang kompleks.

Serangan Rekayasa Sosial dan Phishing oleh Lazarus Group

Menurut media Eropa, Lazarus pernah menargetkan perusahaan militer dan dirgantara di Eropa dan Timur Tengah. Mereka memposting iklan lowongan pekerjaan palsu di platform sosial, menjebak pencari kerja untuk mengunduh dokumen PDF yang berisi file eksekusi berbahaya, sehingga melakukan serangan phishing.

Serangan rekayasa sosial dan phishing ini mencoba memanfaatkan manipulasi psikologis untuk membuat korban menjadi lengah, melakukan tindakan berbahaya seperti mengklik tautan atau mengunduh file, sehingga membahayakan keamanan mereka. Hacker dengan menyisipkan perangkat lunak berbahaya, dapat menyerang kerentanan dalam sistem korban dan mencuri informasi sensitif.

Lazarus masih menggunakan metode serupa dalam operasi selama enam bulan terhadap penyedia pembayaran cryptocurrency tertentu, yang mengakibatkan pencurian 37 juta dolar AS dari perusahaan tersebut. Selama seluruh serangan, mereka mengirimkan tawaran pekerjaan palsu kepada insinyur, melancarkan serangan penolakan layanan terdistribusi, dan mencoba berbagai kemungkinan kata sandi untuk melakukan serangan brute force.

Analisis Insiden Serangan CoinBerry, Unibright, dll.

Pada 24 Agustus 2020, dompet dari sebuah bursa cryptocurrency di Kanada disusupi. Pada 11 September 2020, karena kebocoran kunci pribadi, terjadi transfer tidak sah senilai 400.000 dolar AS di beberapa dompet yang dikelola oleh tim Unbright. Pada 6 Oktober 2020, sebuah platform cryptocurrency mengalami transfer tidak sah aset kripto senilai 750.000 dolar AS dari dompet panasnya karena kerentanan keamanan.

Pada awal tahun 2021, dana dari serangan-serangan ini terkumpul di alamat yang sama. Kemudian, para penyerang menyetorkan sejumlah besar ETH melalui layanan pencampuran dan menariknya kembali dalam waktu singkat. Pada tahun 2023, setelah beberapa kali dipindahkan dan ditukar, dana-dana ini akhirnya terkumpul di alamat lain yang terkait dengan pengumpulan dana dari peristiwa keamanan lainnya, dan kemudian dikirim ke beberapa alamat deposit tertentu.

Pendiri platform saling membantu diserang oleh Hacker

Pada 14 Desember 2020, dompet pribadi pendiri suatu platform bantuan dicuri 370.000 NXM (sekitar 8,3 juta dolar AS). Dana yang dicuri dipindahkan di antara beberapa alamat dan ditukar menjadi aset lain. Lazarus Group melakukan pengaburan, penyebaran, dan pengumpulan dana melalui alamat-alamat ini. Sebagian dana dipindahkan melalui lintas rantai ke jaringan Bitcoin, kemudian kembali ke jaringan Ethereum, setelah itu dicampur melalui platform pencampur, dan akhirnya dikirim ke platform penarikan.

Pada pertengahan Desember 2020, salah satu alamat hacker mengirim sejumlah besar ETH ke layanan pencampuran tertentu. Beberapa jam kemudian, alamat terkait lainnya mulai melakukan penarikan. Hacker tersebut memindahkan sebagian dana ke alamat penarikan yang telah disebutkan sebelumnya melalui transfer dan pertukaran.

Dari Mei hingga Juli 2021, penyerang mentransfer 11 juta USDT ke alamat deposit di suatu platform perdagangan. Dari Februari hingga Juni 2023, penyerang kembali mengirimkan sejumlah besar USDT ke alamat deposit di platform perdagangan lain melalui alamat yang berbeda.

Serangan Hacker Steadefi dan CoinShift

Pada bulan Agustus 2023, 624 ETH yang dicuri dalam insiden Steadefi dan 900 ETH yang dicuri dalam insiden CoinShift dipindahkan ke suatu layanan pencampuran. Selanjutnya, dana ini ditarik ke beberapa alamat tertentu.

Pada 12 Oktober 2023, dana yang ditarik dari layanan pencampuran akan dikumpulkan dan dikirim ke satu alamat baru. Pada bulan November 2023, alamat tersebut mulai memindahkan dana, dan akhirnya melalui transfer dan penukaran, dana tersebut dikirim ke beberapa alamat deposit tertentu.

Ringkasan

Lazarus Group setelah mencuri aset kripto, terutama menggunakan operasi lintas rantai dan memanfaatkan layanan pencampuran untuk mengaburkan sumber dana. Setelah dikaburkan, mereka akan menarik aset yang dicuri ke alamat target dan mengirimkannya ke kelompok alamat tetap untuk penarikan. Aset kripto yang dicuri biasanya disimpan di alamat setoran tertentu, kemudian ditukarkan menjadi mata uang fiat melalui layanan perdagangan over-the-counter.

Menghadapi serangan besar-besaran dan berkelanjutan dari Lazarus Group, industri Web3 menghadapi tantangan keamanan yang serius. Lembaga terkait terus memantau perkembangan kelompok hacker ini dan melacak metode pencucian uang mereka secara mendalam, untuk membantu pihak proyek, lembaga pengatur, dan penegak hukum dalam memerangi kejahatan semacam ini dan memulihkan aset yang dicuri.