Breaking News

Peretas Korea Utara telah mencuri miliaran mata uang kripto dengan menyamar sebagai pemodal ventura, perekrut, dan pekerja TI

Peretas Korea Utara telah mencuri miliaran mata uang kripto dengan menyamar sebagai pemodal ventura, perekrut, dan pekerja TI

Seorang pemodal ventura, perekrut perusahaan besar, dan pekerja TI jarak jauh yang baru direkrut tampaknya tidak memiliki banyak kesamaan, namun mereka semua telah ditangkap sebagai penipu yang diam-diam bekerja untuk rezim Korea Utara, menurut peneliti keamanan.

Pada hari Jumat di Cyberwarcon, sebuah konferensi tahunan di Washington DC yang berfokus pada ancaman yang mengganggu di dunia maya, para peneliti keamanan menawarkan penilaian terkini mereka terhadap ancaman Korea Utara. Para penyelidik memperingatkan adanya upaya berkelanjutan yang dilakukan para peretas di negara tersebut untuk berpura-pura menjadi karyawan potensial yang mencari pekerjaan di perusahaan multinasional, dengan tujuan menghasilkan uang bagi rezim Korea Utara dan mencuri rahasia perusahaan yang bermanfaat bagi program senjata rezim tersebut. Para penipu ini telah mengumpulkan miliaran dolar dalam bentuk mata uang kripto curian selama dekade terakhir untuk mendanai program senjata nuklir negara tersebut, menghindari serangkaian sanksi internasional.

Peneliti keamanan Microsoft James Elliott mengatakan dalam pembicaraan Cyberwarcon bahwa pekerja TI Korea Utara telah menyusup ke “ratusan” organisasi di seluruh dunia dengan membuat identitas palsu, sambil mengandalkan fasilitator yang berbasis di AS untuk mengelola tempat kerja mereka dan keuntungan yang diberikan oleh perusahaan untuk menghindarinya. sanksi keuangan yang berlaku terhadap Korea Utara.

Para peneliti yang menyelidiki kemampuan dunia maya negara tersebut melihat ancaman yang semakin meningkat dari Korea Utara saat ini sebagai sekelompok kelompok peretas yang berbeda-beda dengan taktik dan teknik yang berbeda, namun dengan tujuan kolektif untuk mencuri mata uang kripto. Rezim ini hanya menghadapi sedikit risiko akibat serangannya: negara tersebut sudah dikepung oleh sanksi.

Sekelompok peretas Korea Utara yang oleh Microsoft disebut “Ruby Sleet” perusahaan kedirgantaraan dan pertahanan yang berkomitmen dengan tujuan mencuri rahasia industri yang dapat membantu mengembangkan lebih lanjut senjata dan sistem navigasi mereka.

Microsoft terperinci dalam postingan blog kelompok peretas Korea Utara lainnya, yang disebut “Sapphire Sleet,” yang menyamar sebagai perekrut dan pemodal ventura dalam kampanye yang bertujuan mencuri mata uang kripto dari individu dan perusahaan. Setelah menghubungi target mereka dengan umpan atau pendekatan awal, para peretas Korea Utara akan menjadwalkan pertemuan virtual, namun pertemuan tersebut sebenarnya dirancang untuk dimuat secara tidak benar.

Dalam skenario VC palsu, penipu akan menekan korban untuk mengunduh malware yang disamarkan sebagai alat untuk memperbaiki pertemuan virtual yang rusak. Dalam kampanye perekrutan palsu, penipu meminta calon kandidat untuk mengunduh dan menyelesaikan penilaian keterampilan, yang sebenarnya mengandung malware. Setelah terinstal, malware dapat mengakses materi lain di komputer, termasuk dompet mata uang kripto. Microsoft mengatakan peretas mencuri setidaknya $10 juta mata uang kripto dalam periode enam bulan saja.

Namun sejauh ini kampanye yang paling gigih dan sulit untuk diberantas adalah upaya peretas Korea Utara untuk dipekerjakan sebagai pekerja jarak jauh di perusahaan-perusahaan besar, dengan memanfaatkan booming kerja jarak jauh yang dimulai selama pandemi Covid-19.

Microsoft menyebut pekerja IT Korea Utara sebagai “ancaman rangkap tiga” karena kemampuan mereka untuk mendapatkan pekerjaan di perusahaan besar dan menghasilkan uang untuk rezim Korea Utara, sambil mencuri rahasia perusahaan dan kekayaan intelektual, dan kemudian memeras perusahaan dengan ancaman untuk mengungkapkan informasi. informasi.

Dari ratusan perusahaan yang secara tidak sengaja mempekerjakan mata-mata Korea Utara, hanya segelintir perusahaan yang secara terbuka menyatakan diri sebagai korban. Kata perusahaan keamanan KnowBe4 awal tahun ini dia ditipu untuk mempekerjakan pegawai Korea Utaranamun perusahaan memblokir akses jarak jauh pekerja tersebut setelah menyadari bahwa pekerja tersebut telah ditipu dan mengatakan tidak ada data perusahaan yang diambil.

Bagaimana pekerja IT Korea Utara mengelabui perusahaan agar mempekerjakan mereka

Kampanye pekerja IT di Korea Utara biasanya menciptakan serangkaian akun online, seperti profil LinkedIn dan halaman GitHub, untuk membangun tingkat kredibilitas profesional. Pekerja TI dapat menghasilkan identitas palsu menggunakan AI, termasuk penggunaan teknologi pertukaran wajah dan pengubah suara.

Setelah dipekerjakan, perusahaan mengirimkan laptop baru karyawan tersebut ke alamat tertentu di Amerika Serikat yang, tanpa sepengetahuan perusahaan, dijalankan oleh seorang fasilitator, yang bertugas menyiapkan kumpulan laptop yang disediakan perusahaan. Fasilitator juga memasang perangkat lunak akses jarak jauh di laptop, memungkinkan mata-mata Korea Utara di belahan dunia lain untuk masuk dari jarak jauh tanpa mengungkapkan lokasi sebenarnya mereka.

Microsoft mengatakan pihaknya juga mengamati mata-mata negara tersebut beroperasi tidak hanya dari Korea Utara tetapi juga dari Rusia dan Tiongkok, dua sekutu dekat negara yang memisahkan diri tersebut, sehingga lebih sulit bagi perusahaan untuk mengidentifikasi tersangka mata-mata Korea Utara dalam jaringan mereka.

Elliott dari Microsoft mengatakan perusahaannya mendapat keberuntungan ketika secara tidak sengaja menerima repositori publik milik seorang pekerja TI Korea Utara, yang berisi spreadsheet dan dokumen yang menguraikan kampanye secara rinci, termasuk file identitas palsu dan resume para pekerja TI Korea Utara. mereka gunakan untuk dipekerjakan dan jumlah uang yang diperoleh selama operasi. Elliott menggambarkan repositori tersebut memiliki “panduan lengkap” bagi peretas untuk melakukan pencurian identitas.

Pemerintah Korea Utara juga akan menggunakan trik yang dapat mengekspos akun mereka sebagai akun palsu, seperti segera memverifikasi akun LinkedIn mereka dari identitas palsu segera setelah mereka mendapatkan alamat email perusahaan untuk memberikan persepsi legitimasi yang lebih besar pada akun tersebut.

Ini bukan satu-satunya contoh yang diberikan penyelidik mengenai kecerobohan para peretas yang membantu mengungkap sifat sebenarnya dari operasi mereka.

Hoi Myong, dan seorang peneliti bernama SttyK, mengatakan mereka mengidentifikasi tersangka pekerja TI Korea Utara dengan menghubungi mereka untuk mengungkap lubang dalam identitas palsu mereka, yang tidak selalu dibuat dengan hati-hati.

Dalam pembicaraan Cyberwarcon mereka, Myong dan SttyK mengatakan bahwa mereka berbicara dengan seorang yang diduga pekerja IT Korea Utara yang mengaku sebagai orang Jepang, namun membuat kesalahan linguistik dalam pesannya, seperti menggunakan kata atau frasa yang pada dasarnya tidak ada dalam bahasa Jepang. Identitas pekerja TI tersebut memiliki kelemahan lain, seperti mengaku memiliki rekening bank di Tiongkok tetapi memiliki alamat IP yang menempatkan individu tersebut di Rusia.

Pemerintah AS sudah melakukannya menjatuhkan sanksi terhadap organisasi yang terkait dengan Korea Utara dalam beberapa tahun terakhir sebagai tanggapan terhadap rencana pekerja TI. FBI juga telah melakukannya memperingatkan bahwa pelaku kejahatan sering kali menggunakan gambar yang dihasilkan AIatau “deepfakes”, yang sering kali berasal dari identitas yang dicuri, hingga mendapatkan pekerjaan di bidang teknologi. Pada tahun 2024, jaksa AS mengajukan tuntutan terhadap beberapa individu dengan menjalankan peternakan laptop yang membuatnya lebih mudah untuk menghindari sanksi.

Namun perusahaan juga perlu memeriksa calon karyawannya dengan lebih baik, desak para peneliti.

“Mereka tidak akan pergi,” kata Elliott. “Mereka akan berada di sini untuk waktu yang lama.”

Foto logo Cyberwarcon yang diproyeksikan di dinding pada konferensi keamanan siber Washington DC.Kredit gambar:TechCrunch.dll

Sumber