Lazarus Group (juga dikenal sebagai HIDDEN COBRA ) adalah kelompok cybercrime yang terdiri dari jumlah individu yang tidak diketahui. Meskipun tidak banyak yang diketahui tentang Grup Lazarus, para peneliti telah menghubungkan banyak serangan dunia maya dengan mereka selama dekade terakhir.
 |
| Salah satu peretas dari grup hacker Lazarus |
Serangan paling awal yang diketahui bahwa kelompok ini bertanggung jawab
dikenal sebagai "Operasi Troy", yang berlangsung dari 2009-2012. Ini adalah kampanye spionase dunia maya yang menggunakan teknik serangan denial-of-service (DDoS) terdistribusi yang tidak canggih untuk menargetkan pemerintah Korea Selatan di Seoul. Mereka juga bertanggung jawab atas serangan pada 2011 dan 2013. Ada kemungkinan bahwa mereka juga berada di belakang serangan 2007 yang menargetkan Korea Selatan, tetapi itu masih belum pasti. Serangan penting yang diketahui kelompok ini adalah serangan 2014 terhadap Sony Pictures . Serangan Sony menggunakan teknik yang lebih canggih dan menyoroti seberapa canggih kelompok ini dari waktu ke waktu.
Grup Lazarus dilaporkan mencuri $ 12 juta dari Banco del Austro di Ekuador dan US $ 1 juta dari Bank Tien Phong Vietnam pada tahun 2015. Mereka juga menargetkan bank-bank di Polandia dan Meksiko. termasuk serangan terhadap Bank Bangladesh , berhasil mencuri US $ 81 juta dan dikaitkan dengan kelompok. Pada tahun 2017 kelompok Lazarus dilaporkan telah mencuri US $ 60 juta dari Far Eastern International Bank of Taiwan meskipun jumlah sebenarnya yang dicuri tidak jelas dan sebagian besar dana telah pulih.
Tidak jelas siapa yang sebenarnya berada di belakang kelompok itu, tetapi laporan media menyarankan kelompok itu memiliki hubungan dengan Korea Utara. Kaspersky Lab melaporkan pada tahun 2017 bahwa Lazarus cenderung berkonsentrasi pada mata-mata dan infiltrasi serangan cyber sedangkan sub-kelompok dalam organisasi mereka, yang Kaspersky sebut Bluenoroff, khusus dalam serangan cyber finansial. Kaspersky menemukan banyak serangan di seluruh dunia dan tautan langsung ( alamat IP ) antara Bluenoroff dan Korea Utara. [8]
Namun, Kaspersky juga mengakui bahwa pengulangan kode itu bisa menjadi "bendera palsu" yang dimaksudkan untuk menyesatkan penyelidik dan menyematkan serangan ke Korea Utara, mengingat bahwa serangan cacing WannaCry di seluruh dunia juga disalin teknik cyber dari NSA. Ransomware ini memanfaatkan eksploitasi NSA yang dikenal sebagai EternalBlue yang kelompok hacker yang dikenal sebagai Shadow Brokers dipublikasikan pada April 2017. Symantec melaporkan pada 2017 bahwa "sangat mungkin" bahwa Lazarus berada di belakang serangan WannaCry.
WannaCry Malware yang memengaruhi sebanyak 300.000 komputer di seluruh dunia kemungkinan besar ditulis oleh peretas dari Cina selatan, Hong Kong, Taiwan atau Singapura, kata perusahaan intelijen AS. Presiden Microsoft menghubungkan serangan WannaCry ke Korea Utara.
Operation Blockbuster
Dengan nama "Operation Blockbuster", sebuah koalisi perusahaan keamanan, yang dipimpin oleh Novetta, dapat menganalisis sampel malware yang ditemukan dalam berbagai insiden keamanan cyber. Dengan menggunakan data itu, tim dapat menganalisis metode yang digunakan oleh para peretas. Mereka menautkan Grup Lazarus ke sejumlah serangan melalui pola penggunaan ulang kode.
Operation Flame
Serangan paling awal yang mungkin dikaitkan dengan Grup Lazarus terjadi pada tahun 2007. Serangan ini bernama "Operation Flame" dan memanfaatkan malware generasi pertama terhadap pemerintah Korea Selatan. Menurut beberapa peneliti, aktivitas yang hadir dalam serangan ini dapat dikaitkan dengan serangan kemudian seperti "Operasi 1Misi," Operasi Troy, "dan serangan DarkSeoul pada 2013. Insiden berikutnya terjadi pada 4 Juli 2009 dan memicu awal "Operasi Troy." Serangan ini memanfaatkan malware Mydoom dan Dozer untuk meluncurkan serangan DDoS skala besar, namun tidak canggih terhadap situs web AS dan Korea Selatan. Voli serangan menyerang sekitar tiga lusin situs web dan menempatkan teks "Memory of Independence Day"
Ten Days of Rain
Seiring waktu, serangan dari grup ini telah tumbuh lebih canggih; teknik dan alat mereka telah berkembang lebih baik dan lebih efektif. Serangan Maret 2011 yang dikenal sebagai " Ten Days of Rain " menargetkan media, keuangan, dan infrastruktur kritis Korea Selatan, dan terdiri dari serangan DDoS yang lebih canggih yang berasal dari komputer yang dikompromikan di Korea Selatan. Serangan berlanjut pada 20 Maret 2013 dengan DarkSeoul, serangan penghapus yang menargetkan tiga perusahaan siaran Korea Selatan, lembaga keuangan, dan ISP. Pada saat itu, dua kelompok lain, Tim Tentara Cyber NewRomanic dan Tim WhoIs, mengambil pujian atas serangan itu tetapi para peneliti sekarang tahu bahwa Grup Lazarus ada di belakangnya.
Sony Breach
Serangan Grup Lazarus memuncak pada 24 November 2014. Pada hari itu, sebuah pos Reddit muncul yang menyatakan bahwa Sony Pictures telah diretas . Tidak ada yang tahu pada saat itu, tetapi ini adalah awal dari salah satu pelanggaran korporasi terbesar dalam sejarah baru-baru ini. Pada saat serangan, kelompok itu mengidentifikasi diri mereka sebagai Penjaga Perdamaian (GOP) dan mereka dapat meretas jalan mereka ke jaringan Sony, meninggalkannya lumpuh selama berhari-hari. Kelompok ini mengklaim bahwa mereka berada di jaringan Sony selama setahun sebelum mereka ditemukan, dan tentu saja mungkin itu benar. Serangan itu sangat mengganggu sehingga para peretas bisa mendapatkan akses ke informasi orang dalam yang berharga termasuk film yang belum pernah dirilis sebelumnya dan informasi pribadi sekitar 4.000 karyawan masa lalu dan sekarang. Kelompok ini juga dapat mengakses email internal dan mengungkapkan beberapa praktik yang sangat spekulatif yang terjadi di Sony.
Cryptocurrency Attack
Pada tahun 2018, Recorded Future mengeluarkan laporan yang menghubungkan Grup Lazarus dengan serangan terhadap pengguna cryptocurrency Bitcoin dan Monero yang kebanyakan di Korea Selatan. Serangan ini dilaporkan secara teknis mirip dengan serangan sebelumnya menggunakan ransomware WannaCry dan serangan terhadap Sony Pictures. Salah satu taktik yang digunakan oleh Lazarus hacker adalah untuk mengeksploitasi kerentanan dalam Hancom 's Hangul , sebuah perangkat lunak pengolah kata Korea Selatan. Taktik lain adalah menggunakan phishing tombak umpan berisi malware dan yang dikirim ke siswa dan pengguna Cryptocurrency Korea Selatan seperti Coinlink. Jika pengguna membuka malware itu mencuri alamat email dan kata sandi. Coinlink menolak email atau kata sandi situs atau pengguna mereka diretas. Laporan tersebut menyimpulkan bahwa “Kampanye akhir 2017 ini merupakan kelanjutan dari minat Korea Utara terhadap cryptocurrency, yang sekarang kita ketahui mencakup berbagai kegiatan termasuk penambangan, ransomware, dan pencurian langsung ...” Laporan juga mengatakan bahwa Korea Utara menggunakan serangan cryptocurrency ini untuk mendapatkan sanksi keuangan internasional. Peretas Korea Utara mencuri US $ 7 juta dari Bithumb, pertukaran Korea Selatan pada Februari 2017. Youbit, perusahaan pertukaran Bitcoin Korea Selatan lainnya, mengajukan kebangkrutan pada Desember 2017 setelah 17% dari asetnya dicuri oleh serangan dunia maya setelah serangan sebelumnya pada April 2017. Lazarus dan peretas Korea Utara disalahkan atas serangan itu. Nicehash , pasar cloud mining cryptocurrency kehilangan lebih dari 4.500 Bitcoin pada Desember 2017. Pembaruan tentang investigasi mengklaim bahwa serangan itu terkait dengan Grup Lazarus.
No comments:
Post a Comment