Image credit: Freepix
Para peneliti keamanan siber dari ESET baru-baru ini menemukan gelombang serangan siber baru yang sangat terencana.
Serangan ini, yang mereka sebut Operation DreamJob, adalah bagian dari kampanye spionase siber yang diyakini didalangi oleh kelompok peretas (hacker) yang terafiliasi dengan Korea Utara, yaitu Lazarus.
Yang membuat serangan ini menarik adalah targetnya: perusahaan-perusahaan Eropa yang bergerak di industri pertahanan, khususnya yang aktif dalam pengembangan teknologi drone atau Pesawat Udara Nir Awak (UAV).
Mengapa Targetnya Drone?
Target yang dipilih oleh Lazarus kali ini sangat sesuai dengan laporan-laporan terbaru mengenai program drone Korea Utara.
- Korea Utara dilaporkan sedang gencar meningkatkan kemampuan pembuatan drone dalam negeri. Serangan ini bertujuan mencuri informasi hak milik (proprietary information) dan “know-how” manufaktur dari perusahaan-perusahaan maju di Eropa.
- Beberapa perusahaan yang diserang memproduksi peralatan militer yang sedang digunakan di Ukraina. Ada kemungkinan Lazarus ingin mengumpulkan informasi sensitif tentang sistem senjata Barat yang digunakan dalam konflik tersebut.
- Korea Utara dikenal sering menggunakan reverse engineering (meniru produk dari produk jadi) dan pencurian properti intelektual untuk mengembangkan militernya. Contohnya, drone pengintai andalan mereka, Saetbyol-4, tampak sangat mirip dengan drone RQ-4 Global Hawk milik AS. Serangan siber adalah salah satu cara mereka mendapatkan cetak biru dan proses pembuatannya.
|
Baca juga: Mitigasi Spionase Perusahaan |
Trik Umpan “Pekerjaan Impian” (DreamJob)
Lazarus berhasil mendapatkan akses awal ke perusahaan-perusahaan ini dengan metode yang khas dari Operation DreamJob, yaitu rekayasa sosial (social engineering):
- Umpan “Pekerjaan Impian”: Target akan menerima tawaran pekerjaan palsu yang sangat menggiurkan (seperti “pekerjaan impian”).
- Malware Terselubung: Umpan tersebut disertai dokumen jebakan, seperti deskripsi pekerjaan, yang harus dibuka menggunakan aplikasi pembaca PDF yang ternyata sudah disusupi malware (disebut Trojanized PDF Reader).
- Peluncuran Alat Peretas: Begitu korban menjalankan file tersebut, malware yang disebut ScoringMathTea akan terpasang. Ini adalah RAT (Remote Access Trojan) yang memberi peretas kendali penuh atas komputer korban.
Poin Penting: Penamaan file dropper (penyebar malware) yang ditemukan oleh ESET sangat mencolok, yaitu DroneEXEHijackingLoader.dll, yang semakin memperkuat hipotesis bahwa target utama serangan ini memang teknologi drone.
Tentang Kelompok Lazarus
Lazarus (juga dikenal sebagai HIDDEN COBRA) adalah kelompok Advanced Persistent Threat (APT) yang sudah aktif setidaknya sejak tahun 2009 dan terkait dengan Korea Utara.
- Multifungsi: Kelompok ini dikenal karena keragaman operasinya. Mereka terlibat dalam tiga pilar utama aktivitas siber: spionase siber (mencuri data), sabotase siber (merusak sistem), dan pencarian keuntungan finansial (perampokan siber skala besar).
- Kasus Ikonik: Lazarus bertanggung jawab atas insiden terkenal seperti peretasan Sony Pictures Entertainment dan wabah ransomware WannaCry pada tahun 2017.
|
Baca juga: Serangan Supply Chain Perusak dan Spionase |
Konklusi
Meskipun strategi Lazarus menggunakan umpan pekerjaan palsu dan menyusupkan malware melalui aplikasi open-source sudah sering terungkap, kampanye ini menunjukkan bahwa metode tersebut masih efektif.
Hal ini menjadi pengingat penting bagi semua orang yang bekerja di sektor sensitif (pertahanan, teknologi, dan rekayasa) bahwa kesadaran karyawan terhadap potensi risiko dari proses perekrutan yang mencurigakan harus ditingkatkan.
Karena Korea Utara terus mengembangkan persenjataan dan industri drone-nya, perusahaan lain di sektor ini kemungkinan besar akan menjadi target berikutnya.
Sumber berita:
