Lazarus Group terlibat dalam sejumlah peretasan terbesar yang pernah terjadi sepanjang sejarah dunia.
Anggota kelompok peretas Red Hacker Alliance, yang menolak menyebutkan nama aslinya, menggunakan komputernya di kantor mereka di Dongguan, Provinsi Guangdong, China selatan, 4 Agustus 2020.
Lazarus Group, geng pembobol siber legendaris dari Korea Utara, disebut-sebut berada di belakang sejumlah serangan siber dengan nilai kerugian yang fantastis. Sejak 2010, aksi mereka telah begitu meresahkan dunia.
Mereka diduga berada di balik pembobolan Sony Pictures tahun 2014, virus wannacry tahun 2017, dan sekarang pembobolan salah satu bursa kripto terbesar Indonesia, Indodax. Lazarus Group diduga terus bergerak mencuri aset-aset kripto dari seluruh dunia. Hasil pembobolan Lazarus Group diduga kuat mengalir ke proyek pengembangan senjata pemusnah massal atau senjata nuklir Korea Utara.
Baca juga: Indodax Belum Pulih, Serangan Diduga Berasal dari Korut
Pada Februari 2024, pemantau sanksi Perserikatan Bangsa-Bangsa (PBB) telah memperingatkan bahaya aksi kelompok kejahatan siber dari Korea Utara. Negara ini, menurut badan PBB, masuk kategori negara termiskin di dunia. Laporan panel pemantau PBB mengendus 58 dugaan serangan siber sepanjang 2017-2023 yang dilakukan kelompok pembobol dari negara tersebut.
Sebuah pesan yang memberi tahu pengunjung terkait terjadinya serangan siber ditayangkan di laman resmi National Health Service di London, Inggris, 12 Mei 2017.
Dari 58 aksi yang bisa dilacak saja, nilainya begitu fantastis, yaitu 3 miliar dollar AS (lebih dari Rp 46 triliun). Diduga masih ada aksi-aksi lain yang tak terlacak.
”Panel tengah menyelidiki 58 dugaan serangan siber Republik Demokratik Korea Utara (DPRK) terhadap perusahaan-perusahaan terkait mata uang kripto antara tahun 2017 dan 2023 dengan nilai sekitar 3 miliar dollar AS yang dilaporkan membantu mendanai pengembangan senjata pemusnah massal Korea Utara,” demikian tertulis dalam laporan tersebut.
Duta Besar Korea Utara untuk PBB di New York tidak memberi tanggapan atas laporan tersebut. Korea Utara juga menyangkal laporan terkait dengan kelompok peretas, termasuk Lazarus Group.
Perwakilan Tetap Korea Utara untuk PBB di Geneva mengatakan, tanpa menyebutkan namanya bahwa ia ”tidak mengetahui masalah ini” dan bahwa laporan sebelumnya mengenai Lazarus ”semua spekulasi dan sebuah misinformasi”.
Baca juga: ”Ransomware”, dari Aksi Geng Rusia hingga Pembiayaan Nuklir Korea Utara
Menurut laporan panel pemantau PBB, kelompok peretas Korea Utara berada di bawah Biro Umum Pengintaian (RGB) atau badan intelijen asing utama Pyongyang. Aksi mereka menyasar perusahaan pertahanan dan rantai pasokan, bank, institusi kesehatan, dan perusahaan yang punya aset kripto.
Seolah kebetulan, tak lama setelah pembobolan Indodax yang terdeteksi 11 September 2024, Pemimpin Korea Utara Kim Jong Un memamerkan fasilitas rahasia untuk memproduksi uranium tingkat senjata.
Dalam foto yang ditayangkan Jumat (13/9/2024) oleh Pemerintah Korea Utara, Pemimpin Korea Utara Kim Jong Un (tengah) berjalan dengan pejabat lainnya di dekat wahana peluncur baru roket ganda 600 mm di lokasi yang dirahasiakan di Korea Utara.
Kantor berita Korea Utara, KCNA, Jumat (13/9/2024), melaporkan bahwa selama kunjungan ke Institut Senjata Nuklir dan basis produksi bahan nuklir tingkat senjata itu, Kim menyatakan puas atas kekuatan nuklir negaranya. Meski telah dilarang berbagai organisasi dunia, ia menyatakan akan terus meningkatkan pengembangan senjata nuklir.
Namun, tak ada kebetulan murni. Laporan PBB Februari 2024 itu menjelaskan, bagaimana salah satu negara termiskin di dunia yang terkena berbagai sanksi ekonomi itu dapat terus membiayai pengembangan senjata nuklir. Padahal, proyek pengembangan nuklir tak bisa dibilang murah.
”Kami memandangnya sangat aneh. Sementara rakyatnya banyak yang nyaris kelaparan dan hidup di bawah garis kemiskinan, tetapi mereka bisa mengembangkan senjata nuklir, bahkan terus melakukan uji coba,” kata diplomat Korea Selatan yang terus mengikuti perkembangan nuklir Korea Utara kepada Kompas.
Baca juga: Apa yang Dilakukan Usai Serangan Siber? Pelajaran Penting dari Estonia, Australia, dan Polandia
Seperti dikutip media khusus mata uang kripto, BSCN, peretasan Indodax pertama kali terdeteksi oleh firma keamanan blockchain, Cyvers, pada Rabu (11/9/2024). Firma itu melaporkan sekitar 160 transaksi mencurigakan yang melibatkan hot wallet Indodax.
Tampilan layar platform web perdagangan kripto, Indodax, yang belum bisa diakses. Platform ini mengalami gangguan keamanan pada Rabu (11/9/2024) pagi.
Awalnya, kerugian diperkirakan sekitar 18,2 juta dollar AS (Rp 277 miliar). Namun, laporan terbaru dari firma keamanan siber dan kripto, SlowMist, memperkirakan total kerugian mencapai 22 juta dollar AS (Rp 339 miliar).
Kepala AI di Cyvers, Yosi Hammer, menjelaskan bahwa serangan terhadap Indodax memperlihatkan pola yang sering digunakan Lazarus Group asal Korea Utara. ”Meskipun masih terlalu dini untuk mengonfirmasi keterlibatan kelompok tertentu, kecepatan dan kompleksitas serangan, pola dan karakteristik serangan sangat menyerupai serangan Kelompok Lazarus Korea Utara,” katanya.
Keberadaan Lazarus Group diketahui sejak 2010. Berdasarkan penyelidikan Departemen Kehakiman AS yang dirilis 2018, Lazarus Group berada di bawah kelompok peretas yang didukung Pemerintah Korea Utara.
Muncul pertanyaan: warga Korea Utara tak punya akses internet, bagaimana sebuah negara yang warganya tak punya akses internet itu bisa mempunyai pasukan peretas paling andal di dunia? Hal ini masih merupakan misteri. Tanpa akses internet bagi warga, kelompok peretas di Korea Utara hanya bisa muncul karena dukungan resmi negara.
Staf memantau penyebaran serangan siber ransomware di Badan Keamanan dan Internet Korea Selatan (KISA) di Seoul, Korea Selatan, 15 Mei 2017, di tengah menyebarnya ransomware wannacry.
Geng peretas ini terlibat dalam sejumlah peretasan terbesar yang pernah terjadi dalam sejarah dunia. Pada November 2014, Lazarus Group atau anggotanya berada di balik pembobolan Sony Pictures Entertainment (SPE).
Dalam aksi ini, mereka mengirimkan malware ke karyawan SPE, mencuri data rahasia, mengancam para eksekutif dan karyawan SPE, dan merusak ribuan komputer. Tujuannya saat itu bukan uang, melainkan balasan atas film The Interview. Film komedi itu menggambarkan pembunuhan pemimpin Korea Utara.
Hampir bersamaan, kelompok tersebut juga mengirimkan pesan menjebak (spear-phishing) ke korban lain di industri hiburan. Sasaran di Inggris adalah jaringan bioskop dan perusahaan Inggris yang memproduksi serial fiksi yang melibatkan seorang ilmuwan nuklir Inggris yang ditawan di Korea Utara.
Pada bulan Februari 2016, Lazarus Group juga diduga terkait dalam pembobolan Bank Bangladesh. Aksi yang sangat genius di eranya itu menggondol 81 juta dollar AS (Rp 1,2 triliun). Selain menyasar Bank Bangladesh, sepanjang 2015-2018, kelompok itu juga membobol akses ke beberapa bank lain di berbagai negara dan meraup sekitar 1 miliar dollar AS (Rp 15 triliun).
Penjualan ransomware wannacry yang ditemukan pada 10 November 2020 dari salah satu situs perdagangan jaringan gelap internet (dark web).
Serangan yang sangat melambungkan nama Lazarus Group adalah serangan wannacry pada 2017. Pada bulan Mei 2017, serangan ransomware yang dikenal sebagai WannaCry 2.0 itu menginfeksi ratusan ribu komputer di sekitar 150 negara di seluruh dunia.
Aksi ini menyebabkan kerusakan luas, termasuk nyaris melumpuhkan Layanan Kesehatan Nasional Inggris. Total kerugian yang ditanggung korban diduga mencapai 4 juta dollar AS (Rp 61 triliun). Kelompok itu menuntut tebusan antara 300-600 dollar AS (Rp 4,6 juta-Rp 9,2 juta) dalam bentuk bitcoin per satu komputer yang disandera.
Tebusan tersebut diminta untuk membebaskan data yang mereka sandera. Saat tebusan tak diberikan, seluruh data dihapus. Menurut penghitungan firma keamanan siber Hashed Out, Lazarus Group diperkirakan meraup 72.000 dollar AS (Rp 1,1 miliar) dalam bentuk bitcoin dari aksi tersebut.
Sepanjang tahun 2024 ini saja, Lazarus Group diduga telah menyerang sejumlah bursa kripto di berbagai negara. Investigasi media kripto, Crypto Times, melaporkan bahwa sebelum Indodax, kelompok itu diduga membobol bursa kripto di India, wazirX, pada Juli 2024. Kerugian wazirX diperkirakan 234,9 juta dollar AS (Rp 3,6 triliun).
Pada Mei 2024, bursa bitcoin Jepang DMM diretas. Aset bitcon senilai 305 juta dollar AS (Rp 470 miliar) dicuri. Rangkaian serangan ini memperlihatkan tren serangan perangkat lunak kripto telah meningkat pada tahun 2024. Sasaran utama adalah perusahaan-perusaan pengelola aset kripto.
Lazarus begitu andal karena selain jago di bidang bahasa pemrograman, mereka juga lihai melakukan manipulasi psikologis terhadap calon korban. Manipulasi psikologi itu dimaksudkan untuk menciptakan rasa mendesak, ketakutan, atau keingintahuan.
Korban awal peretasan Lazarus Group bisa jadi tak langsung pada jaringan perusahaan. Mereka memanfaatkan pegawai bursa atau bahkan nasabah bursa tersebut. Sebagai warga biasa, pegawai atau nasabah bursa lebih mudah termakan tipuan dalam manipulasi psikologi.
Warga menggunakan dompet Chivo milik Pemerintah El Salvador untuk melakukan transaksi bitcoin di San Salvador pada 26 Januari 2022.
Misalnya, penipu mungkin mengirim e-mail pemancing palsu (phishing) yang tampaknya berasal dari sumber tepercaya. Pesan itu akan meminta pengguna untuk mengklik tautan yang ternyata mengarah pada pembagian informasi penting, seperti kata sandi atau kunci pribadi pengguna.
Setelah akses pengguna atau pegawai dikuasai, pelaku di Lazarus Group dapat mengakses dompet, mentransfer dana, atau mengendalikan akun. Selanjutnya, mereka akan bisa bergerak untuk menyusup ke jaringan komputer perusahaan itu.
Baca juga: Aksi-aksi ”Ransomware” Terbesar di Dunia, Indonesia di Mana?
Rekayasa sosial peretas Korea Utara dinilai lebih maju dari kelompok-kelompok peretas lainnya. Mereka melakukan penelitian pra-operasional yang ekstensif, mengumpulkan informasi terperinci atau mata uang kripto tertentu melalui media sosial dan jaringan resmi.
Kemudian, mereka menciptakan situasi sehingga dapat meraih kepercayaan korban. Hal ini dilakukan di antaranya dengan mencantumkan tawaran pekerjaan atau kesepakatan investasi palsu.
Sekretaris Jenderal Perserikatan Bangsa-Bangsa Antonio Guterres (kedua dari kiri) berbicara di hadapan Menteri Luar Negeri Korea Selatan Cho Tae-yul (kanan) selama pertemuan Dewan Keamanan PBB tentang dampak ancaman siber terhadap perdamaian dan keamanan internasional, di Markas Besar PBB di New York, Amerika Serikat, Kamis (20/6/2024).
Salah satu metode umum yang digunakan oleh peretas siber Korea Utara adalah peniruan identitas. Mereka menggunakan identitas palsu yang meyakinkan, baik tokoh maupun organisasi tepercaya. Indentitas ini bisa berupa perekrut atau pakar teknologi tepercaya. Hal ini dilakukan agar pendekatan mereka tampak otentik dan dapat dipercaya.
Beragam upaya hukum telah ditempuh untuk meredam Lazarus Group, baik oleh aparat hukum negara tertentu maupun oleh PBB. Pada Desember 2020, Departemen Kehakiman AS mengajukan tuntutan terhadap tiga peretas Korea Utara yang diduga sebagai anggota Lazarus Group.
Tuntutan itu dilakukan atas pencurian aset kripto senilai 1,3 miliar dollar AS (Rp 20 triliun). Selanjutnya, pada pertengahan tahun 2024, Pemerintah AS kembali menangkap peretas Korea Utara.
Namun, apakah Lazarus Group itu sendiri bisa ditangkap dan diadili, apalagi dihentikan? Sepertinya sulit.
Di awal berdirinya, Lazarus Group lebih banyak menyasar musuh-musuh Korea Utara, seperti AS dan sekutunya. Namun, selanjutnya, aksi mereka lebih pada mencuri aset kripto sebanyak mungkin.
Berteman dengan Korea Utara atau tidak, setiap bank, setiap perusahaan, setiap pengelola aset kripto di setiap negara harus waspada atas serangan mereka.
(Reuters)
Lazarus Group dari Korea Utara, Terduga Pembobol Indodax yang Resahkan Dunia – Kompas.id
