Kelompok peretas Korea Utara Lazarus tampaknya telah meningkatkan operasinya baru-baru ini, dengan empat serangan terkonfirmasi yang menargetkan industri enkripsi sejak 3 Juni. Baru-baru ini, mereka dicurigai melakukan serangan kelima. Chief Information Security Officer SlowMist 23pds men-tweet bahwa serangan peretas senilai $55 juta pada pertukaran enkripsi CoinEx disebabkan oleh peretas yang disponsori negara Korea Utara.
Perlu dicatat bahwa peretas yang disponsori Korea Utara telah mencuri sekitar $1,2 miliar mata uang kripto dari seluruh dunia sejak tahun 2017, menurut laporan sebelumnya oleh Associated Press yang mengutip agen mata-mata utama Korea Selatan, National Intelligence Service (NIS). NIS yakin Korea Utara adalah salah satu negara yang paling termotivasi di dunia dalam hal pencurian mata uang kripto, dan negara tersebut mengalihkan fokusnya ke kejahatan dunia maya setelah PBB pada tahun 2017 memperketat sanksi ekonomi sebagai tanggapan terhadap uji coba nuklir dan rudalnya.
Selain itu, selama 104 hari terakhir, kelompok peretas Korea Utara Lazarus telah dipastikan telah mencuri hampir $2,4 juta dari Atomic Wallet ($100 juta), CoinsPaid ($37,3 juta), Alphapo ($60 juta), dan Stake.com ($41 juta) .miliar aset kripto.
Seperti yang ditunjukkan pada gambar di atas, analisis Elliptic menunjukkan bahwa sebagian dana yang dicuri dari CoinEx dikirim ke alamat yang digunakan oleh organisasi Lazarus untuk menyimpan dana yang dicuri dari Stake.com, meskipun pada blockchain yang berbeda. Dana tersebut kemudian dirantai silang ke Ethereum melalui jembatan lintas rantai yang sebelumnya digunakan oleh Lazarus, dan kemudian dikirim kembali ke alamat yang dikendalikan oleh peretas CoinEx.
Elliptic telah mengamati pencampuran dana semacam ini dari berbagai peretas dalam insiden Lazarus, yang terbaru ketika mata uang kripto yang dicuri dari Stake.com dicampur dengan dana yang dicuri dari dompet Atomic. Contoh penggabungan dana dari berbagai peretas ditunjukkan dengan warna oranye pada gambar di bawah.
01. Lazarus melakukan 5 serangan dalam 104 hari
Pada tahun 2022, sejumlah serangan peretasan tingkat tinggi dikaitkan dengan Lazarus, termasuk serangan terhadap Jembatan Horizon Harmony dan Jembatan Ronin Axie Infinity, keduanya terjadi pada paruh pertama tahun lalu. Sejak saat itu hingga Juni tahun ini, tidak ada pencurian mata uang kripto besar-besaran yang secara terbuka dikaitkan dengan Lazarus. Oleh karena itu, berbagai serangan peretasan selama 104 hari terakhir menunjukkan adanya peningkatan aktivitas kelompok peretas asal Korea Utara ini.
Pada tanggal 3 Juni 2023, pengguna dompet mata uang kripto terdesentralisasi non-penahanan, Atomic Wallet, kehilangan lebih dari $100 juta. Elliptic secara resmi menyalahkan Lazarus atas peretasan tersebut pada 6 Juni 2023, setelah mengidentifikasi beberapa faktor yang menunjukkan bahwa kelompok peretas Korea Utara bertanggung jawab, yang kemudian dikonfirmasi oleh FBI.
Pada 22 Juli 2023, Lazarus memperoleh akses ke hot wallet milik platform pembayaran kripto CoinsPaid melalui serangan rekayasa sosial. Akses ini memungkinkan penyerang membuat permintaan otorisasi untuk menarik sekitar $37,3 juta aset kripto dari hot wallet platform. Pada tanggal 26 Juli, CoinsPaid merilis laporan yang mengklaim bahwa Lazarus bertanggung jawab atas serangan tersebut, yang juga dikonfirmasi oleh Biro Investigasi Federal (FBI).
Pada hari yang sama, 22 Juli, Lazarus melakukan serangan tingkat tinggi lainnya, kali ini menargetkan penyedia pembayaran kripto terpusat Alphapo, mencuri aset kripto senilai $60 juta. Penyerang mungkin mendapatkan akses melalui kunci pribadi yang sebelumnya bocor. FBI kemudian mengonfirmasi bahwa Lazarus bertanggung jawab atas serangan tersebut.
Pada tanggal 4 September 2023, platform perjudian mata uang kripto online Stake.com mengalami serangan, dan mata uang virtual senilai total sekitar US$41 juta dicuri, kemungkinan karena pencurian kunci pribadi. FBI mengumumkan pada 6 September bahwa organisasi Lazarus adalah dalang serangan tersebut.
Akhirnya, pada 12 September 2023, pertukaran mata uang kripto terpusat CoinEx mengalami serangan peretas dan $54 juta dicuri. Seperti disebutkan di atas, banyak bukti menunjukkan Lazarus sebagai peretas yang bertanggung jawab atas serangan ini.
02. Lazarus mengubah taktiknya?
Analisis terhadap aktivitas terkini Lazarus menunjukkan bahwa sejak tahun lalu mereka telah mengalihkan fokusnya dari layanan desentralisasi ke layanan terpusat. Empat dari lima peretasan terakhir yang dibahas sebelumnya ditujukan terhadap penyedia layanan aset kripto terpusat. Sebelum tahun 2020, dan sebelum ekosistem keuangan terdesentralisasi (DeFi) berkembang pesat, pertukaran terpusat adalah target utama yang dipilih oleh Lazarus.
Ada beberapa kemungkinan penjelasan mengapa Lazarus sekali lagi mengalihkan perhatiannya ke layanan terpusat.
Serangan protokol DeFi menjadi lebih sulit
Penelitian Elliptic sebelumnya tentang serangan peretasan DeFi pada tahun 2022 menemukan bahwa serangan akan terjadi rata-rata setiap 4 hari pada tahun 2022, dengan rata-rata pencurian $32,6 juta per serangan. Jembatan lintas rantai telah menjadi salah satu jenis protokol DeFi yang paling sering diretas pada tahun 2022. Tren ini mungkin telah mendorong perbaikan dalam audit kontrak pintar dan standar pengembangan, sehingga mempersempit ruang lingkup bagi peretas untuk mengidentifikasi dan mengeksploitasi kerentanan.
Institusi terpusat memiliki kompleksitas hubungan sosial yang tinggi
Dalam banyak serangan peretasan sebelumnya, metode serangan yang dipilih oleh Lazarus Group adalah rekayasa sosial. Misalnya, peretasan Ronin Bridge senilai $540 juta disebabkan oleh mantan karyawan perusahaan yang tertipu oleh tawaran pekerjaan palsu di LinkedIn. Namun, layanan yang terdesentralisasi cenderung tidak memiliki banyak karyawan, dan proyek didesentralisasikan sampai batas tertentu. Oleh karena itu, mendapatkan akses jahat ke pengembang belum tentu sama dengan mendapatkan akses administratif ke kontrak pintar.
Pada saat yang sama, bursa terpusat cenderung mempekerjakan sejumlah besar karyawan, sehingga memperluas jangkauan target yang mungkin dicapai. Mereka juga dapat beroperasi menggunakan sistem teknologi informasi internal yang terpusat, sehingga memberikan peluang lebih besar bagi malware Lazarus untuk menyusup ke bisnis.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
300 juta dolar AS dalam 100 hari, peretas Korea Utara "uang gila" di lingkaran enkripsi
Sumber/elips
Kompilasi/Nick
Kelompok peretas Korea Utara Lazarus tampaknya telah meningkatkan operasinya baru-baru ini, dengan empat serangan terkonfirmasi yang menargetkan industri enkripsi sejak 3 Juni. Baru-baru ini, mereka dicurigai melakukan serangan kelima. Chief Information Security Officer SlowMist 23pds men-tweet bahwa serangan peretas senilai $55 juta pada pertukaran enkripsi CoinEx disebabkan oleh peretas yang disponsori negara Korea Utara.
Perlu dicatat bahwa peretas yang disponsori Korea Utara telah mencuri sekitar $1,2 miliar mata uang kripto dari seluruh dunia sejak tahun 2017, menurut laporan sebelumnya oleh Associated Press yang mengutip agen mata-mata utama Korea Selatan, National Intelligence Service (NIS). NIS yakin Korea Utara adalah salah satu negara yang paling termotivasi di dunia dalam hal pencurian mata uang kripto, dan negara tersebut mengalihkan fokusnya ke kejahatan dunia maya setelah PBB pada tahun 2017 memperketat sanksi ekonomi sebagai tanggapan terhadap uji coba nuklir dan rudalnya.
Selain itu, selama 104 hari terakhir, kelompok peretas Korea Utara Lazarus telah dipastikan telah mencuri hampir $2,4 juta dari Atomic Wallet ($100 juta), CoinsPaid ($37,3 juta), Alphapo ($60 juta), dan Stake.com ($41 juta) .miliar aset kripto.
Seperti yang ditunjukkan pada gambar di atas, analisis Elliptic menunjukkan bahwa sebagian dana yang dicuri dari CoinEx dikirim ke alamat yang digunakan oleh organisasi Lazarus untuk menyimpan dana yang dicuri dari Stake.com, meskipun pada blockchain yang berbeda. Dana tersebut kemudian dirantai silang ke Ethereum melalui jembatan lintas rantai yang sebelumnya digunakan oleh Lazarus, dan kemudian dikirim kembali ke alamat yang dikendalikan oleh peretas CoinEx.
Elliptic telah mengamati pencampuran dana semacam ini dari berbagai peretas dalam insiden Lazarus, yang terbaru ketika mata uang kripto yang dicuri dari Stake.com dicampur dengan dana yang dicuri dari dompet Atomic. Contoh penggabungan dana dari berbagai peretas ditunjukkan dengan warna oranye pada gambar di bawah.
01. Lazarus melakukan 5 serangan dalam 104 hari
Pada tahun 2022, sejumlah serangan peretasan tingkat tinggi dikaitkan dengan Lazarus, termasuk serangan terhadap Jembatan Horizon Harmony dan Jembatan Ronin Axie Infinity, keduanya terjadi pada paruh pertama tahun lalu. Sejak saat itu hingga Juni tahun ini, tidak ada pencurian mata uang kripto besar-besaran yang secara terbuka dikaitkan dengan Lazarus. Oleh karena itu, berbagai serangan peretasan selama 104 hari terakhir menunjukkan adanya peningkatan aktivitas kelompok peretas asal Korea Utara ini.
Pada tanggal 3 Juni 2023, pengguna dompet mata uang kripto terdesentralisasi non-penahanan, Atomic Wallet, kehilangan lebih dari $100 juta. Elliptic secara resmi menyalahkan Lazarus atas peretasan tersebut pada 6 Juni 2023, setelah mengidentifikasi beberapa faktor yang menunjukkan bahwa kelompok peretas Korea Utara bertanggung jawab, yang kemudian dikonfirmasi oleh FBI.
Pada 22 Juli 2023, Lazarus memperoleh akses ke hot wallet milik platform pembayaran kripto CoinsPaid melalui serangan rekayasa sosial. Akses ini memungkinkan penyerang membuat permintaan otorisasi untuk menarik sekitar $37,3 juta aset kripto dari hot wallet platform. Pada tanggal 26 Juli, CoinsPaid merilis laporan yang mengklaim bahwa Lazarus bertanggung jawab atas serangan tersebut, yang juga dikonfirmasi oleh Biro Investigasi Federal (FBI).
Pada hari yang sama, 22 Juli, Lazarus melakukan serangan tingkat tinggi lainnya, kali ini menargetkan penyedia pembayaran kripto terpusat Alphapo, mencuri aset kripto senilai $60 juta. Penyerang mungkin mendapatkan akses melalui kunci pribadi yang sebelumnya bocor. FBI kemudian mengonfirmasi bahwa Lazarus bertanggung jawab atas serangan tersebut.
Pada tanggal 4 September 2023, platform perjudian mata uang kripto online Stake.com mengalami serangan, dan mata uang virtual senilai total sekitar US$41 juta dicuri, kemungkinan karena pencurian kunci pribadi. FBI mengumumkan pada 6 September bahwa organisasi Lazarus adalah dalang serangan tersebut.
Akhirnya, pada 12 September 2023, pertukaran mata uang kripto terpusat CoinEx mengalami serangan peretas dan $54 juta dicuri. Seperti disebutkan di atas, banyak bukti menunjukkan Lazarus sebagai peretas yang bertanggung jawab atas serangan ini.
02. Lazarus mengubah taktiknya?
Analisis terhadap aktivitas terkini Lazarus menunjukkan bahwa sejak tahun lalu mereka telah mengalihkan fokusnya dari layanan desentralisasi ke layanan terpusat. Empat dari lima peretasan terakhir yang dibahas sebelumnya ditujukan terhadap penyedia layanan aset kripto terpusat. Sebelum tahun 2020, dan sebelum ekosistem keuangan terdesentralisasi (DeFi) berkembang pesat, pertukaran terpusat adalah target utama yang dipilih oleh Lazarus.
Ada beberapa kemungkinan penjelasan mengapa Lazarus sekali lagi mengalihkan perhatiannya ke layanan terpusat.
Serangan protokol DeFi menjadi lebih sulit
Penelitian Elliptic sebelumnya tentang serangan peretasan DeFi pada tahun 2022 menemukan bahwa serangan akan terjadi rata-rata setiap 4 hari pada tahun 2022, dengan rata-rata pencurian $32,6 juta per serangan. Jembatan lintas rantai telah menjadi salah satu jenis protokol DeFi yang paling sering diretas pada tahun 2022. Tren ini mungkin telah mendorong perbaikan dalam audit kontrak pintar dan standar pengembangan, sehingga mempersempit ruang lingkup bagi peretas untuk mengidentifikasi dan mengeksploitasi kerentanan.
Institusi terpusat memiliki kompleksitas hubungan sosial yang tinggi
Dalam banyak serangan peretasan sebelumnya, metode serangan yang dipilih oleh Lazarus Group adalah rekayasa sosial. Misalnya, peretasan Ronin Bridge senilai $540 juta disebabkan oleh mantan karyawan perusahaan yang tertipu oleh tawaran pekerjaan palsu di LinkedIn. Namun, layanan yang terdesentralisasi cenderung tidak memiliki banyak karyawan, dan proyek didesentralisasikan sampai batas tertentu. Oleh karena itu, mendapatkan akses jahat ke pengembang belum tentu sama dengan mendapatkan akses administratif ke kontrak pintar.
Pada saat yang sama, bursa terpusat cenderung mempekerjakan sejumlah besar karyawan, sehingga memperluas jangkauan target yang mungkin dicapai. Mereka juga dapat beroperasi menggunakan sistem teknologi informasi internal yang terpusat, sehingga memberikan peluang lebih besar bagi malware Lazarus untuk menyusup ke bisnis.