Google Menemukan Peretas Korea Utara yang Menargetkan Peneliti Keamanan Melalui Media Sosial

JURNALPALOPO - Google hari ini mengatakan bahwa kelompok peretas pemerintah Korea Utara telah menargetkan anggota komunitas keamanan dunia maya yang terlibat dalam penelitian kerentanan.

Serangan tersebut telah ditemukan oleh Google Threat Analysis Group (TAG), sebuah tim keamanan Google yang berspesialisasi dalam berburu grup Advanced Persistent Ancaman (APT).

Dalam laporan yang diterbitkan sebelumnya hari ini, Google mengatakan peretas Korea Utara menggunakan banyak profil di berbagai jejaring sosial, seperti Twitter, LinkedIn, Telegram, Discord, dan Keybase, untuk menjangkau peneliti keamanan menggunakan persona palsu.

Baca Juga: Kuis : Pecahkan Teka-Teki Matematika dengan Mencari Deret Angka Aritmetika yang Tepat

Email juga digunakan dalam beberapa kasus, kata Google.

"Setelah membangun komunikasi awal, para pelaku akan bertanya kepada peneliti yang dituju apakah mereka ingin berkolaborasi dalam penelitian kerentanan bersama, dan kemudian memberikan Proyek Studio Visual kepada peneliti," kata Adam Weidemann, peneliti keamanan Google TAG.

Proyek Visual Studio berisi kode berbahaya yang menginstal malware di sistem operasi peneliti yang ditargetkan. 

Malware bertindak sebagai pintu belakang, menghubungi perintah remote dan server kontrol dan menunggu perintah.

Baca Juga: Brand Lokal Favorit Masyarakat Kini Hadir Jadi Merchant Baru ShopeePay

Tetapi Wiedemann mengatakan bahwa para penyerang tidak selalu mendistribusikan file berbahaya ke target mereka. 

Dalam beberapa kasus lain, mereka meminta peneliti keamanan untuk mengunjungi blog yang mereka hosting di  blog [.] Br0vvnn [.] Io (jangan akses).

Google mengatakan blog tersebut menghosting kode berbahaya yang menginfeksi komputer peneliti keamanan setelah mengakses situs tersebut.

"Sebuah layanan jahat dipasang pada sistem peneliti dan pintu belakang dalam memori akan mulai menyuarakan ke server perintah dan kontrol yang dimiliki aktor," kata Weidemann.

Baca Juga: India Kembali Bentrok dengan Tiongkok di Daerah Perbatasan Sikkim

Google TAG juga menambahkan bahwa banyak korban yang mengakses situs tersebut juga menjalankan versi browser Windows 10 dan Chrome yang sepenuhnya ditambal dan diperbarui dan masih terinfeksi.

Detail tentang serangan berbasis browser masih sedikit, tetapi beberapa peneliti keamanan percaya bahwa grup Korea Utara kemungkinan besar menggunakan kombinasi kerentanan zero-day Chrome dan Windows 10 untuk menyebarkan kode berbahaya mereka.

Akibatnya, tim Google TAG saat ini meminta komunitas keamanan dunia maya untuk membagikan lebih banyak detail tentang serangan tersebut, jika ada peneliti keamanan yang yakin bahwa mereka terinfeksi.

Contoh analisis yang dilakukan oleh peretas tentang kerentanan yang diungkapkan kepada publik.

Baca Juga: Kuis : Temukan Emoji Berbeda dalam Tumpukan Kepala Pria, Selesaikan dalam Lima Detik

Laporan  Google TAG menyertakan daftar tautan profil media sosial palsu yang digunakan aktor Korea Utara untuk memikat dan mengelabui anggota komunitas infosec.

Peneliti keamanan disarankan untuk meninjau riwayat penelusuran mereka dan melihat apakah mereka berinteraksi dengan salah satu profil ini atau jika mereka mengakses domain blog.br0vvnn.io (jangan diakses) yang berbahaya.

Jika ya, kemungkinan besar mereka telah terinfeksi, dan langkah-langkah tertentu perlu diambil untuk menyelidiki sistem mereka sendiri.

Alasan untuk menargetkan peneliti keamanan cukup jelas karena dapat memungkinkan kelompok Korea Utara mencuri eksploitasi untuk kerentanan yang ditemukan oleh peneliti yang terinfeksi, kerentanan yang dapat disebarkan oleh kelompok ancaman dalam serangannya sendiri dengan sedikit atau tanpa biaya pengembangan.

Baca Juga: Ketahui Bagian Tubuh yang Cenderung Anda Abaikan dan Cara Merawatnya

Sementara itu, beberapa peneliti keamanan telah mengungkapkan di media sosial bahwa mereka menerima pesan dari akun penyerang, meskipun, tidak ada yang mengaku memiliki sistem yang dikompromikan.

WARNING! I can confirm this is true and I got hit by @z0x55g who sent me a Windows kernel PoC trigger. The vulnerability was real and complex to trigger. Fortunately I only ran it in VM.. in the end the VMDK I was using was actually corrupted and non-bootable, so it self-imploded https://t.co/dvdCWsZyne— Richard Johnson (@richinseattle) January 26, 2021

***