Di Cyberwarcon, peneliti keamanan mengatakan bahwa hacker Korea Utara memalsukan identitas palsu untuk
mendapatkan akses ke rahasia perusahaan dan bahkan mendanai program senjata nuklir negara tersebut.
Pelaku ancaman Korea Utara seperti Lazarus terkenal karena menggunakan metode canggih untuk meretas situs web pemerintah
dan mendapatkan akses ke informasi sensitif yang tersimpan di server pemerintah. Namun, peneliti keamanan kini mengatakan bahwa
peretas dari kerajaan pertapa tersebut telah mencuri miliaran dolar dalam bentuk mata uang kripto dari pekerja TI jarak jauh yang disewa,
pemodal ventura, dan perekrut dari perusahaan besar.
Menurut laporan terbaru oleh fiaruairishpub.com, peneliti keamanan di Cyberwarcon, sebuah konferensi tahunan yang berfokus
pada ancaman yang mengganggu di dunia maya, menyatakan bahwa peretas Korea Utara telah menyamar sebagai calon karyawan
yang ingin bekerja di perusahaan multinasional. Motif utama mereka adalah untuk mendapatkan uang bagi pemerintah Korea Utara
sambil mencuri rahasia perusahaan untuk menguntungkan program senjata nuklir negara tersebut.
Dalam satu dekade terakhir, para peneliti mengatakan bahwa peretas Korea Utara telah mencuri miliaran dolar dalam bentuk mata uang kripto.
Di Cyberwarcon, seorang peneliti keamanan yang bekerja di Microsoft bernama James Elliott mengatakan bahwa pekerja TI Korea Utara telah
menyusup ke ratusan bahkan ribuan organisasi di seluruh dunia menggunakan identitas palsu. Para pekerja ini mengandalkan pelatih
mereka yang berbasis di AS untuk mendapatkan akses ke stasiun kerja dan penghasilan guna menghindari
sanksi internasional yang diberlakukan oleh negara-negara di seluruh dunia.
Menurut Microsoft, sebuah kelompok bernama Ruby Sleet telah menyusup ke beberapa perusahaan kedirgantaraan
dan pertahanan untuk mendanai program senjata nuklir dan sistem navigasi Korea Utara. Dalam sebuah posting blog,
raksasa teknologi itu juga mengatakan bahwa sebuah kelompok bernama Sapphire Sleet menyamar sebagai perekrut dan
pemodal ventura dan menargetkan korban yang tidak menaruh curiga dengan mengadakan pertemuan virtual.
Peretas Korea Utara yang menyamar sebagai pemodal ventura menekan korbannya untuk mengunduh alat yang mengandung
malware yang akan membantu mereka memperbaiki rapat virtual ini. Pelaku ancaman lain yang menyamar sebagai perekrut
meminta kandidat yang tidak menaruh curiga untuk mengunduh penilaian yang mengandung malware untuk menginfeksi
sistem mereka dengan tujuan mencuri kredensial dompet mata uang kripto. Dalam waktu sekitar enam bulan,
Microsoft mengatakan para pelaku ancaman ini telah meraup lebih dari $10 juta.
Bagaimana peretas Korea Utara memikat perusahaan IT untuk mempekerjakan mereka?
Ternyata, kampanye pekerja IT Korea Utara yang umum melibatkan pembuatan sejumlah akun online di platform
populer seperti LinkedIn dan GitHub, yang memungkinkan mereka membangun kredibilitas profesional.
Para pelaku ancaman ini juga secara aktif menggunakan alat AI yang memungkinkan mereka mengubah wajah dan suara mereka.
Ketika sebuah perusahaan mempekerjakan pekerja IT jarak jauh, perusahaan tersebut kemudian mengirimkan laptop
mereka ke beberapa alamat di Amerika Serikat yang dimiliki atau disewa oleh perantara yang tanggung jawab utamanya
adalah mengumpulkan banyak laptop yang dikeluarkan perusahaan. Para fasilitator ini juga bertugas memasang perangkat
lunak yang memungkinkan mereka mengakses sistem dari jarak jauh, yang pada akhirnya memungkinkan pelaku ancaman Korea Utara
untuk masuk ke sistem tanpa harus mengungkapkan lokasi mereka yang sebenarnya.
Pelaku ancaman yang berbasis di Korea Utara ini juga menggunakan sejumlah trik seperti memverifikasi identitas palsu mereka
di LinkedIn menggunakan alamat email perusahaan tempat mereka dipekerjakan untuk membuat profil mereka sah.
Bagaimana peneliti keamanan mengetahui semua ini?
Insinyur Microsoft James Elliott mengatakan bahwa raksasa teknologi itu pernah mendapatkan akses ke repositori publik
milik salah satu pekerja TI yang berbasis di Korea Utara yang penuh dengan spreadsheet dan
dokumen yang membantu mereka menguraikan kampanye secara terperinci.
Dokumen-dokumen ini juga berisi sejumlah identitas dan resume palsu yang digunakan pelaku ancaman untuk dipekerjakan
bersama dengan jumlah uang yang telah mereka hasilkan sejauh ini. Elliott melanjutkan dengan mengatakan bahwa repositori
ini bertindak sebagai buku pedoman lengkap untuk pencurian identitas.
Peneliti keamanan mengatakan mereka juga berbicara dengan seorang pekerja TI Korea Utara yang menyamar
sebagai orang Jepang dan mencatat bahwa orang tersebut akan menggunakan kata-kata atau frasa yang tidak ada dalam bahasa tersebut.
Pekerja IT yang dimaksud juga mengklaim bahwa mereka memiliki rekening bank di China, tetapi alamat IP mereka menunjukkan bahwa mereka berasal dari Rusia.
Dalam beberapa tahun terakhir, pemerintah AS telah mengeluarkan sanksi terhadap organisasi yang terkait dengan Korea Utara.
Tahun ini, beberapa individu yang membantu pelaku ancaman ini atau mengelola pabrik laptop juga telah ditangkap,
tetapi, menurut para peneliti, masalah ini hanya dapat diperbaiki dengan memeriksa calon potensial dengan lebih baik.