Jakarta (PARADE.ID)- Korea Utara kemungkinan besar berada di balik serangkaian spionase siber yang menargetkan sektor pertahanan dan kedirgantaraan Amerika Serikat pada awal tahun ini. Ini terungkap dalam laporan terbaru McAfee yang dirilis pada Rabu (29 Juli 2020).
Dilansir dari Infosecurity Magazine, para peneliti yang tergabung dalam McAfee Advanced Threat Research mengatakan mereka mendeteksi kesamaan teknik, taktik dan prosedur dengan kampanye pada 2017 dan 2019 yang dikaitkan dengan Hidden Cobra – istilah yang dipakai pemerintah Amerika yang merujuk pada kelompok peretas yangg disponsori negara Korea Utara seperti Lazarus, Kimsuky, KONNI dan APT37 Pyongyang.
Serangan yang disebut sebagai “Operation North Star” baru, terdeteksi dilakukan pada bulan Maret hingga Mei, menggunakan jebakan email phishing dengan menyamar sebagai iklan tawaran pekerjaan di kontraktor pertahanan.
“Kampanye terbaru ini menggunakan dokumen berbahaya untuk menginstal malware pada sistem yang ditargetkan menggunakan serangan injeksi templat,” kata McAfee.
“Teknik ini memungkinkan dokumen yang dipersenjatai untuk mengunduh template Word eksternal yang berisi makro yang akan dieksekusi. Ini adalah trik yang dikenal digunakan untuk mem-bypass analisis dokumen berbahaya statis, serta deteksi, karena makro tertanam dalam templat yang diunduh. ”
Menurut laporan itu, para korban juga menjadi sasaran melalui media sosial.
Infrastruktur yang dikompromikan di negara-negara Eropa digunakan untuk meng-hostserver perintah dan kontrol (C2) dan mendistribusikan implan ke mesin yang ditargetkan.
Namun, infrastruktur C2 tidak aktif pada saat analisis dilakukan. Akibatnya, McAfee tidak dapat mengklarifikasi dengan tepat organisasi mana yang menjadi target karena tidak dapat mengambil email phishing dimaksud.
McAfee tahu bahwa email yang dijadikan umpan adalah iklan pekerjaan di posisi teknik dan manajemen proyek di berbagai program pertahanan AS, termasuk: jet tempur F-22; Pertahanan, Luar Angkasa dan Keamanan (DSS); fotovoltaik untuk sel surya ruang angkasa dan Aeronautics Integrated Fighter Group.
Menurut ZDnet, inti dari serangan ini jelas merupakan bagian dari upaya spionase siber dan mengumpulan informasi intelijen oleh Korea Utara.
Diketahui, dengan kondisi mendapat sanksi ekonomi berat dan tidak memiliki kompleks indutri militer yang mandiri, negara itu hanya dapat mendukung program senjata nuklirnya dengan mencuri informasi yang dibutuhkan – dalam hal ini diharapkan dapat diperoleh dari kontraktor pertahanan dan kedirgantaraan Amerika.
Baru-baru ini, perusahaan keamanan Kaspersky juga menerbitkan penelitian yang mengaitkan peretas Korea Utara dengan jenis ransomware baru bernama VHD.
Sebelumnya, grup ini juga dikaitkan dengan sejumlah kejahatan dunia maya seperti serangan Magecart, pencurian informasi perbankan, peretasan uang kripto dan penggunaan bot untuk menambang uang kripto secara ilegal pada perangkat komputer yang terhubung dengan koneksi internet.
(Cyberthreat/PARADE.ID)