Para hacker Korea Utara yang didukung oleh negara telah mencuri 1,5 miliar dolar atau setara dengan Rp 24 triliun mata uang kripto dalam pencurian terbesar dalam sejarah.
Agen-agen dari Pyongyang berhasil membobol sistem bursa yang berbasis di Dubai, Bybit, untuk mencuri koin digital Ether, menurut analis keamanan.
Para hacker mencuri lebih banyak mata uang kripto dalam satu serangan dibandingkan dengan seluruh dana yang dicuri oleh penjahat siber Korea Utara pada tahun 2024, ketika para penyerang siber negara itu berhasil membawa kabur sekitar 1,3 miliar dolar dalam bentuk koin digital, demikian menurut analis mata uang kripto Chainalysis.
Total USD 1,5 miliar ini melampaui pencurian bank terbesar sepanjang masa, ketika Saddam Hussein mengamankan USD 1 miliar dari bank sentral Irak menjelang invasi Amerika Serikat pada Perang Irak pada tahun 2003.
Rekor pencurian ini terjadi ketika Kim Jong-un, pemimpin tertinggi Korea Utara, beralih ke unit elit hacker komputer untuk menopang ekonomi negara diktator Komunis tersebut yang sedang mengalami kemerosotan.
Chainalysis mengatakan bahwa serangan tersebut merupakan “pengingat keras” akan taktik canggih yang digunakan oleh para hacker di negara tersebut. Selain keterampilan teknis, para hacker Korea Utara juga mahir dalam apa yang dikenal sebagai “rekayasa sosial”yaitu memanipulasi orang untuk melakukan apa yang mereka inginkan untuk membuka jalan bagi pencurian.
Hal ini dapat melibatkan pengembangan hubungan dengan target melalui email dan obrolan digital, terkadang selama berbulan-bulan.
Pakar keamanan siber meyakini bahwa Kelompok Lazarus yang terkenal kejam di Korea Utara adalah dalang di balik serangan terbaru ini. Kelompok ini telah meneror bisnis Barat selama lebih dari satu dekade dengan serangkaian pelanggaran dunia maya yang menyebabkan kerugian miliaran dolar.
Lazarus Group juga disalahkan atas pencurian senilai hampir $1 miliar dari bank Bangladesh pada tahun 2016 dan serangan siber global Wannacry, yang membuat ratusan ribu komputer offline dengan ransomware yang merusak, termasuk sistem NHS.
Meskipun Pyongyang pernah mengandalkan kader-kader hacker elitnya untuk melakukan spionase atau mencuri rahasia dagang, namun kini mereka semakin sering digunakan sebagai senjata perang ekonomi untuk menambah pundi-pundi keuangan rezim yang mendapat sanksi keras itu.
“Korea Utara mulai menggunakan serangan siber untuk spionase, mencuri hasil penelitian dan pengembangan serta kekayaan intelektual,” kata Rafe Pilling, dari perusahaan keamanan siber Secureworks. “Setelah itu, mereka benar-benar memanfaatkannya sebagai sumber pendapatan.”
Fokus gaya Soviet pada sains dan teknologi telah menciptakan “jalur pendidikan yang menyeluruh” bagi para ahli siber di masa depan, kata Pilling. Para ahli sains Korea Utara diidentifikasi sejak usia muda, sebelum mereka didorong untuk berkompetisi dalam kompetisi matematika dan pemrograman internasional.
Hacker di negara itu sangat produktif. Pada tahun 2024, mereka berhasil membawa kabur sekitar 61% dari $ 2,2 miliar mata uang kripto yang dicuri secara global, menurut Chainalysis. Termasuk serangan minggu lalu, hacker Korea Utara telah mencuri lebih dari $6 miliar mata uang kripto selama satu dekade terakhir.
Pencurian ini memberikan dorongan besar bagi perekonomian negara yang terkepung dan membantu mendukung pengeluaran militernya, termasuk program rudal balistik. PDB Korea Utara diperkirakan hanya sebesar $28 miliar dan sangat bergantung pada pertanian dan perdagangan dengan sekutu utamanya, Cina.
Meskipun sebagian besar anggota Lazarus Group tidak diketahui, AS telah mengeluarkan dakwaan terhadap beberapa tokoh militer Korea Utara yang diyakini terkait dengan kelompok tersebut.
Korea Utara mengandalkan berbagai teknik peretasan yang berbeda, mulai dari mengungkap apa yang disebut peretasan “zero day” yang dapat membobol TI menggunakan kelemahan yang sebelumnya tidak diketahui hingga menggunakan kontraktor pekerja jarak jauh palsu untuk menyusup ke perusahaan-perusahaan AS.
Perusahaan analisis mata uang kripto termasuk Arkham Intelligence dan Elliptic mengidentifikasi Lazarus Group sebagai hacker Bybit. Para peneliti dapat melacak dompet digital yang digunakan oleh para hacker untuk mencuci dana mereka dengan cepat, yang dicatat pada teknologi “blockchain” yang digunakan oleh industri mata uang kripto.
Beberapa dana berpindah melalui dompet yang diyakini terkait dengan serangan peretasan Korea Utara di masa lalu. TRM, sebuah perusahaan keamanan siber, mengatakan bahwa ada “tumpang tindih substansial yang diamati antara alamat yang dikendalikan oleh hacker Bybit dan alamat yang terkait dengan pencurian Korea Utara sebelumnya”.
Peretas Korea Utara mampu mencuri hasil tangkapan kripto yang sangat besar melalui serangan berlapis-lapis dan terencana, menurut Chainalysis. Hacker mendapatkan akses ke sistem internal Bybit menggunakan apa yang disebut email “phishing”, yang mendorong karyawan untuk memasukkan detail login mereka ke situs web yang tampaknya sah yang sebenarnya telah disusupi.
Para peretas kemudian dapat memperoleh akses ke apa yang disebut “cold wallet” – perangkat penyimpanan mata uang kripto yang seharusnya aman untuk menyimpan koin.