Taktik Baru Mata-mata Siber Korut: Kelabui Periset Asing
Seoul, FNN - Adalah hal yang biasa ketika Daniel DePetris, seorang pengamat hubungan luar negeri di Amerika Serikat, mendapatkan surel dari direktur lembaga pemikiran 38 North, yang memintanya untuk menulis sebuah artikel pada Oktober lalu.
Ternyata, faktanya tidak demikian. Sang pengirim surel diduga adalah seorang mata-mata Korea Utara yang ingin mengorek informasi, menurut mereka yang terlibat dan tiga peneliti keamanan siber.
Bukannya merusak atau mencuri data sensitif di komputernya, seperti yang lazim dilakukan para peretas, pengirim surel berusaha meminta pendapatnya tentang isu keamanan Korut dengan berpura-pura sebagai Jenny Town, direktur 38 North.
"Saya menyadari itu tidak benar setelah saya menghubungi orang tersebut (Jenny Town) untuk bertanya lebih jauh dan ternyata tidak ada permintaan seperti itu, dan dia juga menjadi target," kata DePetris kepada Reuters.
"Jadi saya segera sadar ini adalah upaya (serangan) yang meluas."
Surel itu menjadi bagian dari upaya baru dan belum pernah dilaporkan sebelumnya dari kelompok peretas yang dicurigai berasal dari Korut, menurut pakar keamanan siber, lima individu yang menjadi target, dan surel yang dilihat oleh Reuters.
Pakar keamanan siber menduga para peretas menyasar orang-orang berpengaruh di pemerintahan asing untuk lebih memahami ke arah mana kebijakan Barat terhadap Korut.
Kelompok peretas, yang oleh para peneliti dijuluki sebagai Thallium atau Kimsuky --salah satu dari banyak nama lain-- telah lama menggunakan surel untuk melakukan spear phishing, mengelabui target agar memberikan kata sandi atau membuka lampiran atau tautan yang mengandung malware (piranti lunak penyusup).
Spear phising tidak dilakukan dengan cara mengirim surel secara masif dan acak, tetapi menargetkan calon korban tertentu. Biasanya teknik ini dilakukan setelah beberapa informasi dasar tentang calon korban dimiliki, seperti nama dan alamat.
Namun sekarang, tampaknya kelompok peretas itu mencoba strategi baru, yaitu meminta peneliti atau pakar lain untuk memberikan pendapat atau menuliskan laporan.
Menurut surel yang dipelajari Reuters, di antara isu-isu lain yang diangkat adalah reaksi China jika Korut melakukan uji coba baru senjata nuklir dan apakah akan ada pendekatan yang "lebih lunak" terhadap "agresi" Korut.
"Para peretas sering berhasil dengan metode yang sangat, sangat sederhana ini," kata James Elliott dari Microsoft Threat Intelligence Center (MSTIC), seraya menambahkan bahwa taktik baru ini pertama kali muncul pada Januari.
"Para penyerang telah sepenuhnya mengubah proses (cara kerja) mereka."
MSTIC mengatakan telah mengidentifikasi "beberapa" pakar masalah Korut yang telah memberikan informasi ke akun penyerang Thallium.
Sebuah laporan pada 2020 oleh Badan Keamanan Siber Pemerintah AS mengatakan bahwa Thallium telah beroperasi sejak 2012 dan "kemungkinan besar ditugaskan oleh rezim Korea Utara dengan misi pengumpulan data intelijen global."
Menurut Microsoft, Thallium secara historis menargetkan pegawai pemerintah, lembaga pemikiran, akademisi, dan organisasi hak asasi manusia.
"Para penyerang mendapatkan informasi langsung dari yang bersangkutan, jika Anda mau, dan mereka tidak perlu bersusah payah membuat interpretasi karena mereka mendapatkannya langsung dari ahlinya," kata Elliott.
Taktik Baru
Peretas Korut memang telah dikenal dengan serangan-serangan yang meraup jutaan dolar, menyerang Sony Pictures atas film yang dianggap menghina pemimpinnya, dan mencuri data dari perusahaan farmasi dan pertahanan, pemerintah asing dan lainnya.
Kedutaan Besar Korut di London tidak menanggapi permintaan untuk berkomentar, tetapi membantah terlibat dalam kejahatan di dunia maya.
Dalam serangan lain, Thallium dan peretas lainnya menghabiskan waktu berminggu-minggu atau berbulan-bulan untuk membangun kepercayaan dengan target sebelum mengirim perangkat lunak berbahaya, kata Saher Naumaan, analis intelijen ancaman utama di BAE Systems Applied Intelligence.
Namun, menurut Microsoft, kelompok itu sekarang juga terlibat dengan para ahli dalam beberapa kasus tanpa pernah mengirim dokumen atau tautan berbahaya, bahkan setelah korbannya merespons.
Taktik ini bisa lebih cepat daripada meretas akun seseorang dan membobol surel mereka, melewati program keamanan tradisional yang akan memindai dan menandai pesan sebagai elemen jahat, dan memungkinkan sang mata-mata mendapatkan secara langsung pemikiran para ahli, kata Elliott.
"Bagi kami, sangat, sangat sulit untuk menghentikan surel-surel ini," katanya, sambil menambahkan bahwa dalam kebanyakan kasus, penerima dapat mengetahuinya.
Town mengatakan beberapa pesan yang mengaku berasal dari dirinya telah menggunakan alamat surel yang diakhiri dengan ".live", bukan ".org" seperti akun resminya, tetapi menggunakan salinan tanda tangannya.
Dalam kasus lain, katanya, dia juga pernah bertukar surel dengan tersangka peretas, yang menyamar sebagai dirinya.
DePetris, yang bekerja di Defence Priorities dan seorang kolumnis di beberapa surat kabar, mengatakan bahwa surel yang dia terima seolah-olah ditulis oleh seorang peneliti yang memintanya untuk mengirim makalah atau komentar.
"Mereka cukup canggih, dengan logo lembaga pemikiran itu disematkan dalam korespondensi agar seolah-olah permintaan itu benar-benar ada," katanya.
Sekitar tiga minggu setelah menerima surel palsu dari 38 North, seorang peretas lain mengirim surel ke seorang peneliti lain untuk melihat draf tulisannya, kata DePetris.
Surel itu, yang diperlihatkan DePetris kepada Reuters, menawarkan honor 300 dolar AS (sekitar Rp4,7 juta) untuk artikel tentang program nuklir Korut dan meminta rekomendasi untuk mencari peneliti lainnya.
Elliot mengatakan para peretas tidak pernah membayar kepada siapa pun dan tidak akan pernah melakukannya.
Mengumpulkan Informasi
Memalsukan identitas menjadi metode umum mata-mata di seluruh dunia, tetapi karena Korut semakin terisolasi akibat sanksi dan pandemi, badan intelijen Barat yakin Pyongyang telah menjadi sangat bergantung pada aksi di dunia maya, kata seorang sumber keamanan di Seoul kepada Reuters, yang berbicara secara anonim.
Dalam laporan Maret 2022, panel ahli yang menyelidiki sanksi PBB Korut menyebut upaya Thallium sebagai salah satu kegiatan "spionase yang dimaksudkan untuk menginformasikan dan membantu" Korut untuk menyiasati sanksi.
Town mengatakan bahwa dalam beberapa kasus, para penyerang telah meminta makalah dan peneliti pun telah memberikan laporan lengkap atau ulasan mereka sebelum menyadari apa yang terjadi.
DePetris mengatakan para peretas bertanya kepadanya tentang topik yang sedang dia kerjakan, termasuk tanggapan Jepang terhadap kegiatan militer Korut.
Surel lain dari seseorang yang mengaku sebagai reporter Kyodo News Jepang bertanya kepada staf 38 North bagaimana pendapat mereka tentang posisi Korut dalam perang di Ukraina, dan mengajukan pertanyaan tentang kebijakan AS, China, dan Rusia.
“Orang hanya dapat menduga bahwa Korea Utara mencoba mendapatkan pandangan yang jujur dari para ahli untuk lebih memahami kebijakan AS di Korea Utara dan ke mana arahnya,” kata DePetris.(ida/ANTARA/Reuters)