Ransomware WannaCry Terkait dengan Korea Utara

Dua perusahaan keamanan terkemuka telah menemukan bukti yang menghubungkan ransomware WannaCry ke sebuah gang cyber Korea Utara yang terkenal yang disebut Lazarus Group.

Dua perusahaan keamanan tersebut, yaitu Kaspersky dan Symantec mengatakan bahwa rincian teknis dalam versi awal kode WannaCry serupa dengan kode yang digunakan pada backdoor pada tahun 2015 yang diciptakan oleh hacker Korea Utara yang terkait dengan pemerintah Korea Utara. Hacker tersebut  terlibat dalam serangan terhadap Sony Pictures pada tahun 2014 dan pencurian uang senilai 81 juta dollar AS dari sebuah bank di Bangladesh pada tahun 2016. Lazarus Group juga diketahui menggunakan dan menargetkan Bitcoin dalam operasi hacking-nya. Kesamaan ini pertama kali ditemukan oleh peneliti keamanan Google Neal Mehta dan disuarakan oleh peneliti lain termasuk Matthieu Suiche dari Comae Technologies yang berbasis di UAE.

Perlu diketahui bahwa kode bersama tidak selalu berarti kelompok hacking yang sama yang bertanggung jawab terhadap suatu tindakang hacking. Bisa saja kelompok yang sama sekali berbeda mungkin telah menggunakan kembali kode backdoor kelompok Lazarus dari tahun 2015 sebagai penanda palsu untuk membingungkan siapa saja yang mencoba mengidentifikasi pelaku. Namun kode yang digunakan kembali tersebut tampaknya telah dihapus dari versi WannaCry yang lebih baru, yang menurut Kaspersky telah mengurangi bobot pada teori penanda palsu.

Menurut Kaspersky, penting bagi peneliti lain di seluruh dunia untuk menyelidiki kesamaan kode tersebut dan mencoba menemukan lebih banyak fakta tentang asal WannaCry. Kaspersky Lab menunjukkan bahwa pada masa awal serangan bank di Bangladesh, ada sedikit petunjuk yang menghubungkannya dengan kelompok Lazarus. Namun, dari waktu ke waktu para periset menemukan lebih banyak petunjuk untuk membangun kasus tersebut melawan cybergang terkait Korea Utara.

Kaspersky merupakan salah satu tim peneliti yang telah mempelajari Lazarus Group selama bertahun-tahun dan pada bulan April yang lalu menerbitkan laporan under the hood rinci yang memperlihatkan modus operandi kelompok tersebut.

Menurut Kaskpersky, tingkat kecanggihan gang tersebut adalah sesuatu yang umumnya tidak ditemukan di dunia cybercriminal. Lazarus membutuhkan organisasi dan kontrol yang ketat di semua tahap operasi. Itulah sebabnya mengapa Lazarus bukan sekadar aktor ancaman tingkat lanjutan sembarangan. Kaspersky juga menemukan serangan yang berasal dari alamat IP di Korea Utara.

Serangan ransomware WannaCry kini telah mencapai lebih dari 200.000 komputer di 150 negara, melumpuhkan rumah sakit, pemerintah dan bisnis. Terkuaknya hubung ke Korea Utara muncul pada saat para periset keamanan dan perusahaan teknologi mengkritik pemerintah AS yang melakukan penimbunan senjata cyber, termasuk perangkat lunak berbahaya yang digunakan di WannaCry.

Eksploitasi WannaCry berasal dari cache eksploitasi yang dicuri dari NSA oleh Shadow Brokers pada bulan Agustus 2016. NSA dan agen pemerintah lainnya di seluruh dunia membuat dan mengumpulkan kerentanan pada perangkat lunak populer (seperti Windows) dan senjata cyber untuk digunakan untuk dalam pengumpulan intelijen dan cyberwarfare.

Sumber: The Guardian

Sumber Foto: Digital Life GR