Hacker Korea Utara Disebut Terlibat Scam Email Bisnis

Cyberthreat.id - Kelompok peretas yang disponsori negara asal Korea utara, Lazarus Group, disebut-sebut terlibat dalam penipuan yang memanfaatkan peretasan email bisnis.

Dilansir dari ZDNet, para peneliti keamanan ESET mengungkapkan jika mereka melihat peretas yang disponsori oleh pemerintah Korea Utara dengan menggunakan operasi terbaru.

Para peretas ini, kata ESET, menggunakan kode nama Operation In(ter)ception. Mereka berusaha mencuri uang dari target yang awalnya mereka retas untuk tujuan spionase dunia maya.

Dalam konferensi keamanan ESET Virtual World, peneliti keamanan ESET Jean-Ian Boutin, mengatakan pelaku peretasan merupakan anggota Grup Lazarus yang banyak melakukan serangan dengan menargetkan  perusahaan penerbangan dan militer Eropa.

Boutin menjelaskan anggota Lazarus menggunakan LinkedIn untuk menjerat targetnya. Mereka membuat profil di sana, seolah sedang mencari karyawan. Target juga dikirimkan pesan pribadi dengan dalih untuk wawancara kerja. Para korban akan diberi arsip untuk dibuka dan melihat file yang di dalamnya diduga berisi informasi gaji dan informasi lain tentang pekerjaan mereka nantinya.

"Faktanya, arsip yang diberikan ini berisi file yang terinfeksi malware yang menjadi jalan awal untuk mengakses komputer korban," ungkap Boutin (16 Juni 2020).

Boutin mengatakan, begitu seorang korban terinfeksi, para peretas Lazarus akan menghentikan proses wawancara, memberi tahu korban bahwa mereka tidak mendapatkan pekerjaan, dan segera menghapus profil LinkedIn yang mereka gunakan.

Tetapi pada komputer karyawan yang terinfeksi, peretas akan terus beroperasi menggunakan jalan awal tadi dan memperluas akses di dalam jaringan perusahaan yang diretas.

"Kami menemukan bahwa para penyerang menanyakan server AD (Active Directory) untuk mendapatkan daftar karyawan termasuk akun administrator, dan kemudian melakukan serangan brute-force pada akun administrator," tambah Boutin.

ESET mengatakan bahwa para peretas menggunakan  malware khusus untuk Operation in(ter)ception. Peneliti juga menyebutkan serangan ini tampaknya terjadi antara September dan Desember 2019. Sasaran dari serangan ini mencakup karyawan yang bekerja di perusahaan penerbangan dan militer Eropa, yang sebagian besar didekati dengan tawaran pekerjaan palsu di perusahaan pesaing atau perusahaan kelas atas.

Boutin mengatakan sesekali para peretas juga mengumpulkan semua data intelijen dan data kepemilikan yang mereka butuhkan dari perusahaan yang diretas, gangguan itu tidak berhenti di situ. Alih-alih menghapus jejak kaki mereka, para peretas beralih ke upaya untuk menipu mitra bisnis perusahaan yang terinfeksi. Bahkan para peretas Lazarus mencari-cari di inbox perusahaan yang diretas mengirim surel dan mencari faktur yang belum dibayar.

"Mereka menindaklanjuti pembicaraan dan mendesak pelanggan untuk membayar fakturnya, ke rekening bank yang berbeda dari yang disepakati sebelumnya."

Upaya untuk menipu pelanggan korban, juga dikenal sebagai penipuan peretasan email bisnis (BEC), namun seringkali gagal, karena mitra bisnis biasanya memperhatikan sesuatu tentang email tindak lanjut para peretas.

Dalam skema besar ini, tidak mengejutkan karena peretas Korea Utara telah berulang kali terlibat dalam pencurian dunia maya selama tiga tahun terakhir, menargetkan bank dan pertukaran mata uang kripto.

Pada September 2019, Departemen Keuangan AS memberlakukan sanksi pada entitas yang terkait dengan unit peretasan Korea Utara, mengklaim negara itu menggunakan kelompok peretas untuk mencuri uang dan mengumpulkan dana untuk program senjata dan rudal Pyongyang.

Selain itu, penggunaan LinkedIn untuk mendekati target telah menjadi taktik lama yang digunakan oleh peretas Korea Utara.

Pada Januari 2019, peretas Lazarus yang sama menggunakan pesan LinkedIn untuk menghubungi karyawan yang bekerja di sektor perbankan dan mengatur wawancara kerja melalui Skype, di mana para korban diberi file-file yang mengandung malware.[]

Editor: Yuswardi A. Suud