Sumber: Reuters | Editor: Barratut Taqiyyah Rafie
KONTAN.CO.ID - SEOUL. Ketika Daniel DePetris, seorang analis urusan luar negeri yang berbasis di AS, menerima email pada bulan Oktober dari direktur think-tank 38 North yang menugaskan sebuah artikel, tampaknya bisnis berjalan seperti biasa.
Tapi ternyata tidak.
Menurut mereka yang terlibat dan tiga peneliti keamanan siber, pengirim sebenarnya adalah tersangka mata-mata Korea Utara yang mencari informasi.
Alih-alih menginfeksi komputernya dan mencuri data sensitif, seperti yang biasanya dilakukan peretas, pengirim tampaknya mencoba untuk mendapatkan pemikirannya tentang masalah keamanan Korea Utara dengan berpura-pura menjadi direktur 38 Utara Jenny Town.
"Saya menyadari itu tidak sah setelah saya menghubungi orang tersebut dengan pertanyaan lanjutan dan ternyata tidak ada permintaan yang dibuat, dan bahwa orang ini juga menjadi target," kata DePetris kepada Reuters, mengacu pada Town.
"Jadi saya segera mengetahui bahwa ini adalah kampanye yang tersebar luas."
Baca Juga: Korea Utara Tembakkan Artileri ke Perbatasan Merespon Latihan Militer Korea Selatan
Menurut pakar keamanan dunia maya, lima individu yang ditargetkan, dan email yang ditinjau oleh Reuters, email tersebut merupakan bagian dari kampanye baru dan yang sebelumnya tidak dilaporkan oleh kelompok peretas yang dicurigai Korea Utara.
Pakar keamanan siber menduga para peretas menargetkan orang-orang yang berpengaruh di pemerintahan asing untuk lebih memahami ke mana arah kebijakan Barat terhadap Korea Utara.
Grup peretasan, yang oleh para peneliti dijuluki Thallium atau Kimsuky, di antara nama-nama lain, telah lama menggunakan email "spear-phishing" yang mengelabui target agar memberikan kata sandi atau mengklik lampiran atau tautan yang memuat malware. Namun sekarang, tampaknya juga hanya meminta peneliti atau pakar lain untuk memberikan pendapat atau menulis laporan.
Menurut email yang ditinjau oleh Reuters, di antara masalah lain yang diangkat adalah reaksi China jika terjadi uji coba nuklir baru; dan apakah pendekatan "lebih tenang" terhadap "agresi" Korea Utara mungkin diperlukan.
"Para penyerang mendapatkan banyak kesuksesan dengan metode yang sangat, sangat sederhana ini," kata James Elliott dari Microsoft Threat Intelligence Center (MSTIC).
Dia menambahkan bahwa taktik baru ini pertama kali muncul pada bulan Januari.
Baca Juga: Korsel Klaim Korea Utara Tembakan Lebih Dari 100 Peluru Artileri Saat Latihan Militer
"Para penyerang telah sepenuhnya mengubah prosesnya," imbuhnya.
MSTIC mengatakan telah mengidentifikasi "beberapa" pakar Korea Utara yang telah memberikan informasi ke akun penyerang Thallium.
Sebuah laporan tahun 2020 oleh badan keamanan siber pemerintah AS mengatakan Thallium telah beroperasi sejak 2012 dan "kemungkinan besar ditugaskan oleh rezim Korea Utara dengan misi pengumpulan intelijen global."
Menurut Microsoft, Thallium secara historis menargetkan pegawai pemerintah, think tank, akademisi, dan organisasi hak asasi manusia.
"Para penyerang mendapatkan informasi langsung dari mulut kuda, jika Anda mau, dan mereka tidak perlu duduk di sana dan membuat interpretasi karena mereka mendapatkannya langsung dari ahlinya," kata Elliott.
Taktik baru
Peretas Korea Utara terkenal karena serangan yang menghasilkan jutaan dolar, menargetkan Sony Pictures atas film yang dianggap menghina pemimpinnya, dan mencuri data dari perusahaan farmasi dan pertahanan, pemerintah asing, dan lainnya.
Kedutaan Korea Utara di London tidak menanggapi permintaan komentar, tetapi membantah terlibat dalam kejahatan dunia maya.
Dalam serangan lain, Thallium dan peretas lainnya telah menghabiskan waktu berminggu-minggu atau berbulan-bulan mengembangkan kepercayaan dengan target sebelum mengirim perangkat lunak berbahaya, kata Saher Naumaan, analis intelijen ancaman utama di BAE Systems Applied Intelligence.
Namun menurut Microsoft, grup tersebut sekarang juga terlibat dengan para ahli dalam beberapa kasus tanpa pernah mengirim file atau tautan berbahaya bahkan setelah korban merespons.
Taktik ini bisa lebih cepat daripada meretas akun seseorang dan mengarungi email mereka, melewati program keamanan teknis tradisional yang akan memindai dan menandai pesan dengan elemen jahat, dan memungkinkan mata-mata mengakses langsung ke pemikiran para ahli, kata Elliott.
Baca Juga: Pentagon: China akan Punya 1.500 Hulu Ledak Nuklir Pada 2035
"Bagi kami sebagai pembela, sangat, sangat sulit untuk menghentikan email-email ini," katanya, menambahkan bahwa dalam kebanyakan kasus, penerima dapat mengetahuinya.
Town mengatakan beberapa pesan yang mengaku berasal darinya telah menggunakan alamat email yang diakhiri dengan ".live" daripada akun resminya, yang diakhiri dengan ".org", tetapi telah menyalin baris tanda tangan lengkapnya.
Dalam satu kasus, katanya, dia terlibat dalam pertukaran email surealis di mana tersangka penyerang, yang menyamar sebagai dia, memasukkannya ke dalam balasan.
DePetris, seorang rekan dengan Prioritas Pertahanan dan seorang kolumnis untuk beberapa surat kabar, mengatakan email yang dia terima ditulis seolah-olah seorang peneliti meminta pengiriman makalah atau komentar pada draf.
"Mereka cukup canggih, dengan logo lembaga think tank ditempelkan pada korespondensi agar seolah-olah penyelidikan itu sah," katanya.
Sekitar tiga minggu setelah menerima email palsu dari 38 North, seorang hacker terpisah menirunya, mengirim email ke orang lain untuk melihat drafnya, kata DePetris.
Email itu, yang dibagikan DePetris dengan Reuters, menawarkan dana US$ 300 untuk meninjau naskah tentang program nuklir Korea Utara dan meminta rekomendasi untuk peninjau lain yang memungkinkan. Elliot mengatakan para peretas tidak pernah membayar siapa pun untuk penelitian atau tanggapan mereka, dan tidak akan pernah berniat melakukannya.
