Lazarus, Cybercrime Group Dari Korea Utara

 Apa/Siapa itu Lazarus

Lazarus adalah cybercrime group yang berasal dari korea utara. Target utama dari Lazarus adalah organisasi atau perusahaan yang terkenal dan memiliki value yang tinggi seperti Bank, Kasino, Investasi Financial, Pengembang Aplikasi atau cryptocurrency. Lazarus telah menyerang beberapa organisasi atau perusahaan di 18 negara, diatarnya adalah Korea Selatan, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malaysia, Poland, Iraq, Ethiopia, Kenya, Nigeria, Uruguay, Gabon, Thailand dan lain-lain. Beberapa perusahaan yang telah menjadi target serangan dari group Lazarus menurut Symantec adalah Bank Bangladesh, Sony dan korea selatan. Lazarus konon di kontrol oleh Bereau 121 yang merupakan bagian dari Badan intellegence korea utara. Lazarus mulai terkenal semenjak tahun 2014 sewaktu melakukan hacking ke Sony, namun aktivitas Lazarus sudah dimulai semenjak akhir 2009. Symantec researcher juga menemukan bukti yang kuat terkait WannaCry Ransomeware dengan group hacking Lazarus.

Lazarus memiliki beberapa group operation, sesuai dengan aktivitas masing-masing. Berikut ini adalah group yang ada pada Lazarus:
1. Bluenoroff. Merupakan group pada Lazarus yang berfokus pada penyerangn institusi financial. Mereka bertanggung jawab pada penyerangan beberapa institusi finansial termasuk dalam hal ini adalah Bank Bangladesh
2. Andariel. Group yang berfokus pada penyerangan ke organisasi atau bisnis di korea selatan.

Bagaimana Lazarus Beraksi?

Dalam aksinya, group Lazarus banyak menggunakan teknik attack yang cukup sophisticated. Mulai dari teknik phishing, watering hole atau supply chain attack. Ada banyak kerugian yang disebabkan oleh serangan yang dilakukan Lazarus. Mungkin yang paling teringat adalah serangan Wannacry Ransomeware. Lalu bagaimana selama Lazarus melakukan setiap aksinya? Setidaknya ada beberapa teknik yang dilakukan oleh Lazarus.

1. Disruption. Operasi yang sifatnya menghancurkan ini dilakukan Lazarus dengan menggunakan Serangan DDoS

2. Missdirection. Teknik ini merupakan teknik menyesatkan terkait attack yang dilakukan oleh Lazaru. Lazarus akan menduplikasi teknik attack yang biasa dilakukan oleh hacktivist group yang lain, sehingga group tersebut yang akan menjadi tersangka terhadap suatu penyerangan. Beberapa group yang pernah ditiru oleh Lazarus adalah GOP, WhoAmI atau New Romanic Army.

3. Watering Hole Attack. Teknik adalah sebuah teknik dimana attacker melakukan serangan ke website resmi atau legal pada suatu organisasi. Selanjutnya setelah web atau sistem tersebut berhasil diserang, attacker akan menyimpan malware atau bot untuk mengumpulkan informasi semua user yang berkunjung ke website tersebut. Bisa juga attacker memanfaatkan webiste tersebut untuk mendistribusikan malware yang mereka miliki sehingga semua user yang mengunjungi website tersebut. Dikarenakan website tersebut merupakan website yang resmi, maka tidak akan ada kecurigaan dari user, sehingga hal ini akan mempermudah penyebaran malware atau pengumpulan informasi. Contoh dari serangan tipe ini yang dilakukan oleh Lazarus adalah serangan dilakukan kepada lembaga keuangan Polandia yang analisanya dipublikasikan oleh badcyber.com pada tahun 2017. Pada watering hole attack yang dilakukan oleh Lazarus ini, Lazarus menyisipkan file javascript pada website yang akan menyebabkan user akan mendownload malware dan menginstallnya pada device dari korban.

4. Supply Chain Attack. Teknik ini hampir sama dengan watering hole attack, tapi untuk supply chain attacker akan menyisipkan malware pada tools atau software yang biasa dipakai oleh orang-orang. Biasanya ini terjadi pada tools atau software berbayar yang dibajak. Dengan ini imang-imang tidak usah membeli license lagi, maka orang-orang akan menginstall software atau tools tersebut otomatis akan menginstall malware dari attacker. Namun, sebenarnya tidak harus menggunakan case diatas. Bisa juga tidak ada iming-iming software gratis karena sudah di crack. Jika sudah targeted attack, biasanya attacker bisa menggunakan supply chain attack pada software spesifik yang dipakai oleh target. Pada dasarnya, supply chain attack akan menyisipkan malware pada softeware yang umum digunakan oleh orang-orang yang sudah terpercaya. Dengan jalan tersebut, malware dari attacker bisa terinstall pada device korban. Contoh serangan supply chain yang dilakukan oleh Lazarus adalah serangan ke Korea Selatan. Analisa serangan ini dipublikasikan oleh ESET. Serangan supply chain ini memanfaatkan software WIZVERA Verport. Software ini merupakan software yang umumnya digunakan oleh pemerintah dan website bank di korea selatan. Untuk laporan lengkap terkait serangan ini dapat dibaca disini

Incident Terkait Lazarus

Jika berbicara mengenai insden kemanan apa saja yang terlibat dengan Lazarus, mungkin group ini merupakan salah satu group yang paling banyak melakukan serangan dengan tingkat serangan yang cukup sophisticated. Artinya pada group Lazarus terdapat banyak hacker-hacker terlatih yang tidak bisa dianggap remeh. Oleh karena itu, sebagai orang security engineer harus selalu memperhatikan aktivitas dari group ini karena jangan sampai tempat kita menjadi target serangan dari group Lazarus. Diatas sudah disebutkan bahwa Indonesia menjadi salah satu negara target serangan group Lazarus. Untuk insiden apa saja yang terkait dengan Lazarus dapat dilihat pada gambar dibawah ini yang diambil dari website resmi trendmicro.

Kalau dilihat dari gambar diatas, maka dapat dilihat aktivitas hacking Lazarus mulai terdeteksi pada tahun 2007 dimana targetnya adalah pemerintahan Korea Selatan. Selain Lazarus secara group globalnya, penyerangan juga dilakukan oleh subgroup yang ada pada Lazarus, yaitu Andariel dan Bluenoroff. Dari penjelasan sebelumnya subgroup tersebut memiliki objective berbeda dalam melakukan serangan.

Pada tahun 2009, Lazarus diduga menjadi dalang atas penyerangan siber beberapa sistem penting miliki pemerintah US dan Korea Selatan, dimana dalam hal ini yang diserang adalah Gedung Putih, Pentagon, New York Stock Exchange dan presidential blue house di Korea Selatan. Methode attack yang dilakukan adalah dengan menggunakan DDoS. Untuk serangan ini dikenal dengan nama Operation Troy. Pada tahun 2013, Lazarus diduga kembali melakukan serangan ke Korea Selatan yang menargetkan 3 bank utama di Korea Selatan. Teknik penyerangan yang dilakukan adalah dengan menyebarkan virus, mencuri dan mengahapus informasi. Impact dari serangan ini adalah warga Korea Selatan tidak dapat melakukan penarikan uang di ATM selama penyerangan dilakukan. Serangan ini dikenal dengan nama Operation Ten Days of Rain/DarkSeoul. Setehun setelah serangan ke Operation DarkSeoul, tepatnya November 2014, Lazarus kembali melakukan aksinya. Lazarus diduga menjadi serangan ke Sony Picture Entertainment. Serangan ini yang membuat Lazarus semakin dikenal oleh dunia karena Lazarus berhasil mencuri data-data milik Sony Picture Entertainment, seperti data internal karyawan dan eksekutif senior dari Sony. Karena serangan tersebut, Sony akhirnya shutdown semua jaringan perusahaan mereka setelah mendapatkan pesan ancaman dari Lazarus dengan gambar tengkorak yang ada pada layar komputer karyawan Sony. Pada pesan tertulis bahwa mereka berasal dari group peretas Guardian of Peace (GOP). Mereka memberitahukan bahawa serangan yang dilakukan masih permulaan dan mereka masih akan melanjutkan serangan mereka sampai permintaan mereka dituruti. Untuk penanganan insiden ini, FBI sampai turun tangan untuk membantu Sony memitigasi serangan dari Lazarus. Untuk serangan ini dikenal dengan nama Operation Blockbuster. Kemudian di tahun 2017, Lazarus kembali melakukan serangan ke seluruh dunia dengan menggunakan WannaCry. WannaCry ini berhasil menyerang hampir 100 negara dalam waktu yang sangat singkat dan lebih dari 200.000 system di seluruh dunia terinfeksi. Kenapa WannCry bisa tersebar begitu cepat? setidaknya ada 2 faktor yang mendukung hal tersebut. Pertama WannaCry ini memanfaatkan exploit pada windows yang bernama Eternal Blue, dimana exploit tersebut dikembangkan oleh National Security Agency (NSA) U.S. Faktor kedua yang menybebkan WannaCry bisa menyebar adalah karena banyak komputer di dunia yang menggunakan service SMB yang running di port 445 yang terkespose ke internet. Hal ini menyebabkan WannCry menjadi cepat tersebar dengan cepat. Jika suatu sistem terinfeksi dengan WannCry, maka semua file yang ada pada sistem tersebut akan di enkrip oleh WannCry sehingga banyak sistem yang down karena hal ini. Bahkan WannCry sampai menyebabkan beberapa rumah sakit menjadi korban.

Masih banyak lagi insiden-insiden yang disebabkan oleh Lazarus group yang menyebabkan kerugian bagi korbannya. Kita sebagai pengguna internet tidak bisa hanya duduk diam tanpa melakukan apa-apa. Bisa jadi kita menjadi korban dari serangan Lazarus. Selain itu, cybercrime group tidak hanya Lazarus saja. Ada banyak sekali group-group seperti Lazarus ini yang mudah-mudahan kedepannya kita bisa bahas. Dengan makin maraknya serangan-serangan seperti ini, diharapkan kita makin sadar akan pentingnya kemanan informasi. Kita makin sadar akan apa yang buka di internet, apa yang kita lakukan di internet dan bagaimana kita memaintain keamanan informasi yang kita miliki di Internet. Jangan sampai kita menjadi korban akan serangan cybercrime group seperti Lazarus dan menderita kerugian.