Peretas Korea Utara Menargetkan Perusahaan AS dalam Pencurian Mata Uang Kripto

Kelompok peretas terkenal yang didukung Korea Utara baru-baru ini menyusup ke JumpCloud, sebuah firma manajemen TI Amerika yang berkantor pusat di Louisville, Colorado. Sumber yang mengetahui situasi tersebut mengungkapkan bahwa para peretas kemudian menggunakan pelanggaran ini sebagai landasan peluncuran untuk lebih menargetkan perusahaan yang berurusan dengan mata uang kripto, dengan tujuan untuk menyedot aset digital mereka.
Sifat serangan siber ini menunjukkan adanya strategi yang terus berkembang di kalangan peretas Korea Utara. Sebelumnya, mereka akan menargetkan entitas mata uang kripto secara individual; namun, modus operandi mereka kini tampaknya melibatkan serangan terhadap satu perusahaan gerbang tunggal yang memiliki koneksi ke beberapa sumber mata uang kripto.
Tanggapan JumpCloud
JumpCloud mengakui pelanggaran tersebut dalam sebuah posting blog, yang menyatakan bahwa "aktor ancaman yang disponsori negara" bertanggung jawab. Namun, perusahaan tersebut tetap bungkam ketika ditanya tentang pelaku tertentu atau klien yang terkena dampak. Sementara seorang perwakilan dari JumpCloud mengonfirmasi bahwa kurang dari lima klien telah terkena dampak, belum ada kejelasan mengenai apakah ada mata uang digital yang hilang selama pelanggaran tersebut.
Konfirmasi Ahli
CrowdStrike Holdings, sebuah firma keamanan siber terkemuka, membenarkan bahwa kelompok yang diidentifikasi sebagai “Labyrinth Chollima” – sebuah kelompok operasi siber Korea Utara yang terkenal – mengatur intrusi siber ini. Adam Meyers, Wakil Presiden Senior Intelijen di CrowdStrike, menahan diri untuk tidak menjelaskan lebih lanjut tujuan para peretas tersebut tetapi menggarisbawahi kecenderungan historis mereka untuk menargetkan kepemilikan mata uang kripto. Ia berkomentar, “Tujuan utama mereka tampaknya berkisar pada pendanaan rezim tersebut.”
Mengungkap Modus Operandinya
Tom Hegel, seorang peneliti keamanan siber dari SentinelOne, menyoroti perubahan dalam pendekatan peretasan Korea Utara. Tidak terlibat langsung dalam penyelidikan tersebut, Hegel menekankan bagaimana Korea Utara telah mengasah keterampilannya dalam "serangan rantai pasokan." Strategi semacam itu melibatkan infiltrasi penyedia layanan atau perangkat lunak untuk secara tidak langsung menyedot data atau dana dari klien mereka. Hegel memperingatkan, "Korea Utara tentu saja meningkatkan taruhan mereka."
Lebih jauh lagi, Hegel berencana untuk menerbitkan sebuah posting yang menekankan bagaimana petunjuk digital yang dirilis oleh JumpCloud menghubungkan para peretas dengan aktivitas yang biasanya dikaitkan dengan Korea Utara.
Reaksi dan Latar Belakang
Baik badan pengawas dunia maya AS, CISA, maupun FBI menahan diri untuk tidak mengomentari masalah ini.
Pelanggaran di JumpCloud, sebuah perusahaan yang mengkhususkan diri dalam membantu administrator jaringan, terungkap ketika firma tersebut memberi tahu klien bahwa kredensial mereka diubah karena "suatu insiden." Selanjutnya, JumpCloud mengungkapkan dalam sebuah posting blog bahwa mereka telah melacak pelanggaran tersebut hingga 27 Juni. Risky Business, sebuah podcast yang mengkhususkan diri dalam keamanan siber, juga telah mengidentifikasi Korea Utara sebagai tersangka utama dalam serangan tersebut.
Labyrinth Chollima, yang terkenal karena eksploitasi sibernya yang berani, adalah salah satu entitas peretasan terkemuka di Korea Utara. Sejarah mereka dipenuhi dengan pencurian mata uang digital dalam jumlah besar. Dalam pengungkapan yang mengejutkan, entitas analisis blockchain Chainalysis melaporkan tahun lalu bahwa peretas Korea Utara telah mencuri sekitar $1,7 miliar dalam mata uang kripto di berbagai operasi.
Meyers dari CrowdStrike memperingatkan agar tidak meremehkan brigade siber Korea Utara dan mengantisipasi lebih banyak serangan rantai pasokan seperti itu dari mereka di masa mendatang.