Kelompok peretas Korea Utara Lazarus tampaknya telah meningkatkan operasinya baru-baru ini. Mereka telah mengkonfirmasi empat serangan terhadap perusahaan mata uang kripto sejak 3 Juni, dan serangan baru-baru ini terhadap bursa mata uang kripto CoinEx kemungkinan besar dilakukan oleh Lazarus. Sebagai tanggapan, CoinEx mengeluarkan beberapa tweet yang menyatakan bahwa alamat dompet yang mencurigakan masih teridentifikasi, sehingga nilai total dana yang dicuri belum jelas, tetapi mungkin mencapai $54 juta.
Selama 100 hari terakhir, Lazarus telah dipastikan telah mencuri hampir $240 juta dari Atomic Wallet ($100 juta), CoinsPaid ($37.3 juta), Alphapo ($60 juta), dan Stake.com ($41 juta).
Seperti yang ditunjukkan di atas, Elliptic menganalisis bahwa sebagian dana yang dicuri dari CoinEx dikirim ke alamat yang digunakan oleh organisasi Lazarus untuk menyimpan dana yang dicuri dari Stake.com, meskipun pada blockchain yang berbeda. Dana tersebut kemudian dirantai silang ke Ethereum melalui jembatan lintas rantai yang sebelumnya digunakan oleh Lazarus, dan kemudian dikirim kembali ke alamat yang diketahui dikendalikan oleh peretas CoinEx. Elliptic telah mengamati pencampuran dana semacam ini dari berbagai peretas dalam insiden Lazarus, yang terbaru ketika dana yang dicuri dari Stake.com dicampur dengan dana yang dicuri dari dompet Atomic. Contoh penggabungan dana dari berbagai peretas ditunjukkan dengan warna oranye pada gambar di bawah.
Lima serangan dalam lebih dari 100 hari
Pada tahun 2022, beberapa peretasan tingkat tinggi dikaitkan dengan Lazarus, termasuk serangan terhadap Jembatan Horizon Harmony dan serangan terhadap Jembatan Ronin Axie Infinity, keduanya terjadi pada paruh pertama tahun lalu. Sejak saat itu hingga Juni tahun ini, tidak ada pencurian mata uang kripto besar-besaran yang secara terbuka dikaitkan dengan Lazarus. Oleh karena itu, berbagai serangan peretasan selama sekitar 100 hari terakhir menunjukkan bahwa kelompok peretas Korea Utara kembali aktif.
Pada tanggal 3 Juni 2023, pengguna dompet mata uang kripto terdesentralisasi non-penahanan, Atomic Wallet, kehilangan lebih dari $100 juta. Elliptic secara resmi menghubungkan peretasan tersebut dengan Lazarus pada 6 Juni 2023, setelah menentukan beberapa faktor yang menunjukkan kelompok peretas Korea Utara bertanggung jawab, yang kemudian dikonfirmasi oleh FBI.
Pada 22 Juli 2023, Lazarus memperoleh akses ke hot wallet milik platform pembayaran kripto CoinsPaid melalui serangan rekayasa sosial. Akses ini memungkinkan penyerang membuat permintaan otorisasi untuk menarik sekitar $37,3 juta aset kripto dari hot wallet platform. Pada tanggal 26 Juli, CoinsPaid merilis laporan yang mengklaim bahwa Lazarus bertanggung jawab atas serangan tersebut, yang dikonfirmasi oleh FBI.
Pada hari yang sama, 22 Juli, Lazarus melakukan serangan lain, kali ini menargetkan penyedia pembayaran kripto terpusat Alphapo, mencuri aset kripto senilai $60 juta. Penyerang mungkin mendapatkan akses melalui kunci pribadi yang sebelumnya bocor. FBI kemudian mengonfirmasi bahwa Lazarus adalah penyerang dalam insiden tersebut.
Pada tanggal 4 September 2023, platform perjudian mata uang kripto online Stake.com diserang dan mata uang kripto senilai sekitar $41 juta dicuri, kemungkinan karena pencurian kunci pribadi. FBI mengeluarkan pengumuman pada 6 September, membenarkan bahwa organisasi Lazarus berada di balik serangan tersebut.
Akhirnya, pada 12 September 2023, pertukaran mata uang kripto terpusat CoinEx menjadi korban serangan peretas dan $54 juta dicuri. Seperti disebutkan di atas, banyak bukti menunjukkan bahwa Lazarus bertanggung jawab atas serangan ini.
Lazarus mengubah "taktiknya"?
Analisis terhadap aktivitas terkini Lazarus menunjukkan bahwa sejak tahun lalu mereka telah mengalihkan fokusnya dari layanan desentralisasi ke layanan terpusat. Empat dari lima peretasan baru-baru ini yang dibahas sebelumnya menargetkan penyedia layanan aset kripto terpusat. Sebelum tahun 2020, sebelum ekosistem DeFi berkembang pesat, pertukaran terpusat adalah target utama Lazarus.
Ada beberapa kemungkinan penjelasan mengapa Lazarus sekali lagi mengalihkan perhatiannya ke layanan terpusat.
Lebih memperhatikan keamanan: Penelitian Elliptic sebelumnya tentang serangan peretasan DeFi pada tahun 2022 menemukan bahwa serangan akan terjadi rata-rata setiap empat hari pada tahun 2022, dengan rata-rata $32,6 juta dicuri per serangan. Jembatan lintas rantai telah menjadi salah satu jenis protokol DeFi yang paling sering diretas pada tahun 2022. Tren ini mungkin telah mendorong perbaikan dalam audit kontrak pintar dan standar pengembangan, sehingga mempersempit ruang lingkup bagi peretas untuk mengidentifikasi dan mengeksploitasi kerentanan.
Kerentanan terhadap rekayasa sosial: Dalam berbagai serangan peretasan, metode serangan pilihan Grup Lazarus adalah rekayasa sosial. Misalnya, peretasan Ronin Bridge senilai $540 juta adalah "celah" yang ditemukan melalui peluang kerja palsu di LinkedIn. Namun, layanan yang terdesentralisasi cenderung tidak memiliki banyak karyawan dan – sesuai dengan namanya – terdesentralisasi pada tingkat yang berbeda-beda. Oleh karena itu, mendapatkan akses jahat ke pengembang belum tentu sama dengan mendapatkan akses administratif ke kontrak pintar.
Pada saat yang sama, bursa terpusat kemungkinan akan mempekerjakan tenaga kerja yang relatif lebih besar, sehingga memperluas jangkauan target yang mungkin dicapai. Mereka juga dapat beroperasi menggunakan sistem teknologi informasi internal terpusat, sehingga memberikan peluang lebih besar bagi malware Lazarus untuk menyusup ke bisnis.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kelompok peretas Korea Utara, Lazarus, "meraup" $300 juta dalam 100 hari dan menargetkan institusi terpusat
Penulis asli: Elliptic
Teks asli disusun oleh: Babywhale, Foresight News
Kelompok peretas Korea Utara Lazarus tampaknya telah meningkatkan operasinya baru-baru ini. Mereka telah mengkonfirmasi empat serangan terhadap perusahaan mata uang kripto sejak 3 Juni, dan serangan baru-baru ini terhadap bursa mata uang kripto CoinEx kemungkinan besar dilakukan oleh Lazarus. Sebagai tanggapan, CoinEx mengeluarkan beberapa tweet yang menyatakan bahwa alamat dompet yang mencurigakan masih teridentifikasi, sehingga nilai total dana yang dicuri belum jelas, tetapi mungkin mencapai $54 juta.
Selama 100 hari terakhir, Lazarus telah dipastikan telah mencuri hampir $240 juta dari Atomic Wallet ($100 juta), CoinsPaid ($37.3 juta), Alphapo ($60 juta), dan Stake.com ($41 juta).
Seperti yang ditunjukkan di atas, Elliptic menganalisis bahwa sebagian dana yang dicuri dari CoinEx dikirim ke alamat yang digunakan oleh organisasi Lazarus untuk menyimpan dana yang dicuri dari Stake.com, meskipun pada blockchain yang berbeda. Dana tersebut kemudian dirantai silang ke Ethereum melalui jembatan lintas rantai yang sebelumnya digunakan oleh Lazarus, dan kemudian dikirim kembali ke alamat yang diketahui dikendalikan oleh peretas CoinEx. Elliptic telah mengamati pencampuran dana semacam ini dari berbagai peretas dalam insiden Lazarus, yang terbaru ketika dana yang dicuri dari Stake.com dicampur dengan dana yang dicuri dari dompet Atomic. Contoh penggabungan dana dari berbagai peretas ditunjukkan dengan warna oranye pada gambar di bawah.
Lima serangan dalam lebih dari 100 hari
Pada tahun 2022, beberapa peretasan tingkat tinggi dikaitkan dengan Lazarus, termasuk serangan terhadap Jembatan Horizon Harmony dan serangan terhadap Jembatan Ronin Axie Infinity, keduanya terjadi pada paruh pertama tahun lalu. Sejak saat itu hingga Juni tahun ini, tidak ada pencurian mata uang kripto besar-besaran yang secara terbuka dikaitkan dengan Lazarus. Oleh karena itu, berbagai serangan peretasan selama sekitar 100 hari terakhir menunjukkan bahwa kelompok peretas Korea Utara kembali aktif.
Pada tanggal 3 Juni 2023, pengguna dompet mata uang kripto terdesentralisasi non-penahanan, Atomic Wallet, kehilangan lebih dari $100 juta. Elliptic secara resmi menghubungkan peretasan tersebut dengan Lazarus pada 6 Juni 2023, setelah menentukan beberapa faktor yang menunjukkan kelompok peretas Korea Utara bertanggung jawab, yang kemudian dikonfirmasi oleh FBI.
Pada 22 Juli 2023, Lazarus memperoleh akses ke hot wallet milik platform pembayaran kripto CoinsPaid melalui serangan rekayasa sosial. Akses ini memungkinkan penyerang membuat permintaan otorisasi untuk menarik sekitar $37,3 juta aset kripto dari hot wallet platform. Pada tanggal 26 Juli, CoinsPaid merilis laporan yang mengklaim bahwa Lazarus bertanggung jawab atas serangan tersebut, yang dikonfirmasi oleh FBI.
Pada hari yang sama, 22 Juli, Lazarus melakukan serangan lain, kali ini menargetkan penyedia pembayaran kripto terpusat Alphapo, mencuri aset kripto senilai $60 juta. Penyerang mungkin mendapatkan akses melalui kunci pribadi yang sebelumnya bocor. FBI kemudian mengonfirmasi bahwa Lazarus adalah penyerang dalam insiden tersebut.
Pada tanggal 4 September 2023, platform perjudian mata uang kripto online Stake.com diserang dan mata uang kripto senilai sekitar $41 juta dicuri, kemungkinan karena pencurian kunci pribadi. FBI mengeluarkan pengumuman pada 6 September, membenarkan bahwa organisasi Lazarus berada di balik serangan tersebut.
Akhirnya, pada 12 September 2023, pertukaran mata uang kripto terpusat CoinEx menjadi korban serangan peretas dan $54 juta dicuri. Seperti disebutkan di atas, banyak bukti menunjukkan bahwa Lazarus bertanggung jawab atas serangan ini.
Lazarus mengubah "taktiknya"?
Analisis terhadap aktivitas terkini Lazarus menunjukkan bahwa sejak tahun lalu mereka telah mengalihkan fokusnya dari layanan desentralisasi ke layanan terpusat. Empat dari lima peretasan baru-baru ini yang dibahas sebelumnya menargetkan penyedia layanan aset kripto terpusat. Sebelum tahun 2020, sebelum ekosistem DeFi berkembang pesat, pertukaran terpusat adalah target utama Lazarus.
Ada beberapa kemungkinan penjelasan mengapa Lazarus sekali lagi mengalihkan perhatiannya ke layanan terpusat.
Lebih memperhatikan keamanan: Penelitian Elliptic sebelumnya tentang serangan peretasan DeFi pada tahun 2022 menemukan bahwa serangan akan terjadi rata-rata setiap empat hari pada tahun 2022, dengan rata-rata $32,6 juta dicuri per serangan. Jembatan lintas rantai telah menjadi salah satu jenis protokol DeFi yang paling sering diretas pada tahun 2022. Tren ini mungkin telah mendorong perbaikan dalam audit kontrak pintar dan standar pengembangan, sehingga mempersempit ruang lingkup bagi peretas untuk mengidentifikasi dan mengeksploitasi kerentanan.
Kerentanan terhadap rekayasa sosial: Dalam berbagai serangan peretasan, metode serangan pilihan Grup Lazarus adalah rekayasa sosial. Misalnya, peretasan Ronin Bridge senilai $540 juta adalah "celah" yang ditemukan melalui peluang kerja palsu di LinkedIn. Namun, layanan yang terdesentralisasi cenderung tidak memiliki banyak karyawan dan – sesuai dengan namanya – terdesentralisasi pada tingkat yang berbeda-beda. Oleh karena itu, mendapatkan akses jahat ke pengembang belum tentu sama dengan mendapatkan akses administratif ke kontrak pintar.
Pada saat yang sama, bursa terpusat kemungkinan akan mempekerjakan tenaga kerja yang relatif lebih besar, sehingga memperluas jangkauan target yang mungkin dicapai. Mereka juga dapat beroperasi menggunakan sistem teknologi informasi internal terpusat, sehingga memberikan peluang lebih besar bagi malware Lazarus untuk menyusup ke bisnis.