Techverse.asia - Peneliti keamanan telah memperingatkan bahwa peretas atau hacker yang didukung pemerintah oleh Korea Utara menyamar sebagai jurnalis untuk mengumpulkan intelijen strategis guna membantu memandu pengambilan keputusan negara.
Peneliti SentinelLabs mengatakan pada pekan lalu mengumumkan bahwa mereka telah menghubungkan kampanye rekayasa sosial yang menargetkan para ahli dalam urusan Korea Utara dengan kelompok ancaman persisten atau Advanced Persistent Threat (APT) Korea Utara yang dikenal sebagai Kimsuky.
Grup tersebut, juga dikenal sebagai APT43, Thallium dan Black Banshee, telah beroperasi setidaknya sejak 2012 dan dikenal menggunakan rekayasa sosial dan menargetkan email phishing serta mengumpulkan informasi sensitif atas nama rezim Korea Utara.
Kampanye rekayasa sosial terbaru Kimsuky menargetkan pelanggan NK News, situs web berbasis langganan Amerika yang menyediakan cerita dan analisis tentang Korea Utara.
SentinelLabs mengamati Kimsuky menyamar sebagai Chad O'Carroll, pendiri NK News, untuk mengirimkan tautan web Google Documents palsu ke pelanggan NK News, yang dialihkan ke situs web jahat yang dibuat khusus untuk mengambil data kredensial Google dari pelanggan NK News sebagai korbannya.
Dalam beberapa kasus, peretas Kimsuky juga mengirimkan dokumen Microsoft Office yang dipersenjatai yang mengeksekusi malware ReconShark, yang mampu mengekstraksi informasi seperti mekanisme deteksi apa yang digunakan pada perangkat dan informasi tentang perangkat itu sendiri.
Dalam serangan lain yang diamati oleh SentinelLabs, Kimsuky membagikan email yang meminta pelanggan untuk masuk ke layanan berlangganan NK News palsu.
Mendapatkan akses ke kredensial NK News pengguna akan memberi para peretas Korea Utara dengan “wawasan berharga tentang bagaimana komunitas internasional menilai dan menafsirkan perkembangan yang terkait dengan Korea Utara, berkontribusi pada inisiatif pengumpulan-intelijen strategis mereka yang lebih luas,” tulis Peneliti Ancaman Senior di SentinelLabs, Aleksandar Milenkoski disadur pada Senin (12/6/2023).
Kimsuky juga diamati mengirimkan tautan Google Docs yang sah dan dokumen Word yang bebas dari malware untuk mengembangkan hubungan dengan target mereka sebelum memulai aktivitas jahat mereka.
Analisis SentinelLabs muncul beberapa hari setelah pemerintah Amerika Serikat (AS) dan Korea Selatan mengeluarkan peringatan penasehat bahwa Kimsuky telah melakukan serangan spearphishing yang ditargetkan untuk menyalurkan wawasan geopolitik yang berharga dan data curian lainnya ke rezim Korea Utara.
Penasihat bersama memperingatkan bahwa kelompok Kimsuky menyamar sebagai jurnalis, akademisi, peneliti think tank, dan pejabat pemerintah untuk menargetkan individu yang bekerja dalam urusan Korea Utara.
“Aktor dunia maya ini secara strategis menyamar sebagai sumber yang sah untuk mengumpulkan intelijen tentang peristiwa geopolitik, strategi kebijakan luar negeri, dan perkembangan keamanan yang menjadi kepentingan (Korea Utara) di Semenanjung Korea. Pendidikan dan kesadaran adalah garis pertahanan pertama melawan serangan rekayasa sosial ini,” kata Direktur Keamanan Siber Badan Keamanan Nasional atau National Security Agency (NSA) AS, Rob Joyce.
Pada saat itu, Kementerian Luar Negeri Korea Selatan (MOFA) juga memberlakukan sanksi terhadap kelompok peretasan Korea Utara dan mengidentifikasi dua alamat mata uang kripto yang digunakan oleh Kimsuky. Pemerintah juga menuduh kelompok itu terlibat dalam peluncuran satelit mata-mata yang gagal pekan lalu.