Cyberthreat.id – Perusahaan keamanan siber ESET, mengungkapkan bahwa kelompok APT yang disponsori Korea Utara Lazarus menargetkan kontraktor pertahanan dan dan kedirgantaraan di seluruh dunia.

Menurut Direktur ESET Threat Research, Jean-Ian Boutin, kampanye tersebut dilakukan antara akhir 2021 dan Maret 2022. Lazarus diketahui menargetkan perusahaan yang berada di Eropa (Prancis, Italia, Jerman, Belanda, Polandia, dan Ukraina) dan Amerika Latin (Brasil).

“Meskipun tujuan utama dari operasi Lazarus ini adalah spionase dunia maya, kelompok tersebut juga berupaya untuk menarik uang namun tidak berhasil, kata Boutin dalam keterangan yang diterima Cyberthreat.id, Kamis (2 Juni 2022).

Boutin mengatakan, kelompok ancaman Lazarus menunjukkan kemampuan mereka dengan menerapkan perangkat mutakhir. Termasuk, komponen mode pengguna yang dapat mengeksploitasi driver Dell yang rentan untuk menulis ke memori kernel.

Trik canggih ini digunakan dalam upaya untuk melewati pemantauan solusi keamanan. Sehingga, mereka tidak akan terdeteksi di perangkat manapun saat sedang meluncurkan serangan mereka.

Boutin menambahkan, pada awal tahun 2020, peneliti ESET telah mendokumentasikan kampanye yang dilakukan oleh sub-kelompok Lazarus melawan Kontraktor Pertahanan dan Kedirgantaraan Eropa yang disebut sebagai operasi In(ter)ception. Operasi ini patut diperhatikan karena menggunakan media sosial, terutama LinkedIn untuk membangun kepercayaan antara peretas dan karyawan yang tidak curiga sebelum mengirimi mereka komponen berbahaya yang menyamar sebagai deskripsi pekerjaan atau aplikasi.

“Saat itu, perusahaan di Brasil, Republik Ceko, Qatar, Turki, dan Ukraina sudah menjadi sasaran, kata Boutin.

Peneliti ESET meyakini, bahwa tindakan serangan sebagian besar diarahkan kepada perusahaan-perusahaan Eropa. Tetapi melalui pelacakan sejumlah sub-kelompok Lazarus yang melakukan operasi serupa melawan kontraktor pertahanan, mereka segera menyadari bahwa kampanye itu menyebar jauh lebih luas.

Meskipun malware yang digunakan dalam berbagai kampanye berbeda, modus operandi (MO) awal selalu tetap sama, di mana perekrut palsu menghubungi seorang karyawan melalui LinkedIn dan akhirnya mengirim komponen jahat. Mereka akan melanjutkan dengan MO seperti di masa lalu. Namun, peneliti ESET juga telah mendokumentasikan penggunaan kembali elemen kampanye perekrutan yang sah untuk menambahkan legitimasi pada kampanye perekrut palsu mereka.

“Pelaku telah menggunakan layanan seperti WhatsApp atau Slack dalam kampanye jahat mereka, tambah Boutin.

Sebagai informasi, pada tahun 2021, Departemen Kehakiman Amerika Serikat mendakwa tiga programmer TI atas serangan siber saat mereka bekerja untuk militer Korea Utara. Menurut pemerintah AS, mereka milik unit peretas militer Korea Utara yang dikenal di komunitas infosec sebagai Grup Lazarus.