Kelompok peretas Korea Utara pada awal Agustus mengeksploitasi bug yang sebelumnya tidak diketahui di Chrome untuk menargetkan organisasi dengan tujuan mencuri mata uang kripto, menurut Microsoft.
Dalam sebuah laporan yang diterbitkan pada hari JumatPeneliti keamanan siber raksasa teknologi itu mengatakan mereka pertama kali melihat bukti aktivitas peretas pada 19 Agustus, dan mengatakan peretas itu berafiliasi dengan kelompok bernama Citrine Sleet, yang diketahui menargetkan industri kripto.
Menurut laporan tersebut, para peretas mengeksploitasi kelemahan pada mesin inti dalam Chromium, kode dasar Chrome dan peramban populer lainnya, seperti Microsoft Edge. Ketika para peretas mengeksploitasi kerentanan tersebut, saat itu adalah zero-day, yang berarti pembuat perangkat lunak — dalam hal ini, Google — tidak menyadari bug tersebut dan dengan demikian tidak punya waktu untuk mengeluarkan perbaikan sebelum eksploitasinya. Google menambal bug tersebut dua hari kemudian pada tanggal 21 Agustus, menurut Microsoft.
Juru bicara Google Scott Westover mengatakan kepada TechCrunch bahwa Google tidak memberikan komentar apa pun selain mengonfirmasi bahwa bug tersebut telah diperbaiki.
Microsoft menyatakan telah memberitahukan “pelanggan yang menjadi target dan disusupi,” tetapi tidak memberikan informasi lebih lanjut tentang siapa yang menjadi target, atau berapa banyak target dan korban yang menjadi target kampanye peretasan ini.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang peretas pemerintah Korea Utara, atau aktivitas peretasan lain yang disponsori pemerintah? Dari perangkat non-kerja, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau e-mail. Anda juga dapat menghubungi TechCrunch melalui Jatuhkan Aman.
Ketika ditanya oleh TechCrunch, Chris Williams, juru bicara Microsoft, menolak mengatakan berapa banyak organisasi atau perusahaan yang terkena dampak.
Para peneliti menulis bahwa Citrine Sleet “berbasis di Korea Utara dan terutama menargetkan lembaga keuangan, khususnya organisasi dan individu yang mengelola mata uang kripto, untuk keuntungan finansial,” dan kelompok tersebut “telah melakukan pengintaian ekstensif terhadap industri mata uang kripto dan individu yang terkait dengannya” sebagai bagian dari teknik rekayasa sosialnya.
“Pelaku ancaman membuat situs web palsu yang menyamar sebagai platform perdagangan mata uang kripto yang sah dan menggunakannya untuk mendistribusikan lamaran kerja palsu atau memancing target agar mengunduh dompet mata uang kripto yang dijadikan senjata atau aplikasi perdagangan berdasarkan aplikasi yang sah,” demikian bunyi laporan tersebut. “Citrine Sleet paling sering menginfeksi target dengan malware trojan unik yang dikembangkannya, AppleJeus, yang mengumpulkan informasi yang diperlukan untuk menguasai aset mata uang kripto target.”
Serangan peretas Korea Utara dimulai dengan mengelabui korban agar mengunjungi domain web yang dikuasai peretas. Kemudian, karena adanya kerentanan lain pada kernel Windows, peretas dapat memasang rootkit — sejenis malware yang memiliki akses mendalam ke sistem operasi — pada komputer target, menurut laporan Microsoft.
Pada titik tersebut, pada dasarnya permainan berakhir bagi data korban yang menjadi target, karena para peretas telah memperoleh kendali penuh atas komputer yang diretas.
Kripto telah menjadi target empuk bagi para peretas pemerintah Korea Utara selama bertahun-tahun. Sebuah panel Dewan Keamanan Perserikatan Bangsa-Bangsa menyimpulkan bahwa rezim tersebut mencuri $3 miliar dalam bentuk kripto antara tahun 2017 dan 2023. Mengingat pemerintah Kim Jong Un menjadi sasaran sanksi internasional yang ketat, rezim tersebut telah beralih mencuri kripto untuk mendanai program senjata nuklirnya.
