Lazarus Group, Dalang Dibalik Peretasan Crypto Axie Infinity Senilai $540 Juta

Departemen Keuangan Amerika Serikat telah menuduh Lazarus Hacker Group yang didukung Korea Utara (alias Hidden Cobra) mencuri $540 juta dari Ronin Network milik Axie Infinity bulan lalu.

Pada hari Kamis, Departemen Keuangan menautkan alamat dompet Ethereum yang menerima uang curian ke aktor ancaman dan menyetujui uang tersebut dengan menambahkan alamat ke Office of Foreign Assets Control's (OFAC).

"FBI, bekerja sama dengan Departemen Keuangan dan mitra pemerintah AS lainnya, akan terus mengungkap dan memerangi eksploitasi kegiatan ilegal DPRK untuk menghasilkan pendapatan bagi rezim, termasuk kejahatan dunia maya dan pencurian mata uang kripto," kata badan intelijen dan penegak hukum dalam sebuah pernyataannya.

Pada tanggal 23 Maret 2022, jembatan lintas rantai Ronin, yang memungkinkan pengguna untuk memindahkan aset digital mereka dari satu jaringan kripto ke jaringan kripto lainnya, dirampok 173.600 Ether (ETH) dan 25,5 juta USD Koin, menjadikannya sebagai pencurian terbesar kedua di dunia maya sampai saat ini.

"Penyerang menggunakan kunci pribadi yang diretas untuk menghasilkan penarikan palsu," ungkap Ronin Network dalam laporan pengungkapannya yang dirilis seminggu setelah insiden tersebut.

Sanksi tersebut melarang orang dan entitas AS untuk bertransaksi dengan alamat yang dimaksud, memastikan bahwa kelompok yang disponsori negara tidak dapat mencairkan dana lebih lanjut. Menurut Elliptic, pada 14 April, aktor tersebut telah berhasil mencuci 18% dari aset digital yang dicuri (sekitar $97 juta).

"Pertama, USDC yang dicuri ditukar dengan ETH menggunakan pertukaran terdesentralisasi (DEX) untuk menghindari penyitaan," jelas Elliptic. "Dengan mengubah token di DEX, peretas menghindari prosedur anti pencucian uang (AML) dan 'know your customer' (KYC) yang dilakukan bursa terpusat."

Tornado Cash, layanan pencampuran di blockchain Ethereum yang bertujuan untuk menyamarkan jejak transaksi, digunakan untuk mencuci lebih dari $80,3 juta dana, dengan $9,7 juta ETH lainnya diperkirakan akan dicuci dengan cara yang sama.

Setidaknya sejak tahun 2017, Grup Lazarus, sebuah nama payung yang dianggap berasal dari banyak individu yang disponsori negara yang bertindak atas nama tujuan strategis Korea Utara, telah melakukan pencurian bitcoin untuk menghindari sanksi dan mendukung program nuklir dan rudal balistik negara tersebut.

“Operasi spionase negara itu dianggap mencerminkan keprihatinan dan prioritas langsung rezim, yang kemungkinan saat ini berfokus pada perolehan sumber daya keuangan melalui pencurian kripto, penargetan media, berita, dan entitas politik, [dan] informasi tentang hubungan luar negeri dan nuklir," Mandiant menjelaskan dalam pemahamannya yang mendalam baru-baru ini.

United States Cybersecurity and Infrastructure Security Agency (CISA) telah menggambarkan aktor jahat dunia maya sebagai organisasi yang semakin terampil yang telah membangun dan menyebarkan beragam perangkat malware di seluruh dunia untuk membantu tindakan mereka.

Menurut Chainalysis, organisasi tersebut mencuri sekitar $400 juta aset digital dari platform crypto pada tahun 2021, meningkat 40% dari tahun 2020, dan "hanya 20% dari uang yang dicuri adalah Bitcoin, [dan] Ether menyumbang sebagian besar dana yang dicuri sebesar 58%."

Terlepas dari sanksi yang diberlakukan oleh pemerintah AS pada kolektif peretasan, upaya baru-baru ini yang dilakukan oleh kelompok tersebut telah menggunakan perangkat lunak dompet keuangan terdesentralisasi (DeFi) trojan ke sistem Windows backdoor dan menyalahgunakan dana dari pengguna yang tidak menaruh curiga.

Itu bukan segalanya. Dalam serangan cyber lain yang diungkapkan minggu ini oleh Broadcom Symantec, kelompok tersebut telah diamati menargetkan organisasi Korea Selatan di sektor kimia yang merupakan kelanjutan dari kampanye malware yang dijuluki "Operation Dream Job," yang berhubungan dengan temuan dari Grup Analisis Ancaman Google pada Maret 2022.

Intrusi, ditemukan awal Januari ini, dimulai dengan file HTM yang mencurigakan, yang diterima sebagai tautan dalam email phishing atau diunduh dari internet dan, ketika dibuka, memulai urutan infeksi, yang pada akhirnya mengarah pada pengambilan payload tahap kedua dari server jauh untuk memfasilitasi serangan lebih lanjut.

Menurut Symantec, tujuan serangan itu adalah untuk "memperoleh kekayaan intelektual untuk melanjutkan pengejaran Korea Utara di bidang ini."

Serangan Grup Lazarus terhadap operasi ilegal juga telah mendorong Departemen Luar Negeri Amerika Serikat untuk memberikan hadiah $ 5 juta untuk "informasi yang mengarah pada kerusakan mekanisme keuangan orang-orang yang terlibat dalam kegiatan tertentu yang mendukung Korea Utara."

Berita itu muncul hanya beberapa hari setelah pengadilan AS di New York menghukum Virgil Griffith, seorang mantan insinyur Ethereum berusia 39 tahun, lima tahun tiga bulan penjara karena membantu Korea Utara menghindari sanksi dengan menggunakan mata uang virtual.

Lebih buruk lagi, aktor jahat telah mencuri cryptocurrency senilai $1,3 miliar dalam tiga bulan pertama tahun 2022 saja, dibandingkan dengan $3,2 miliar yang dicuri untuk keseluruhan tahun 2021, menunjukkan "lonjakan drastis" dalam pencurian platform crypto.

"Hampir 97% dari semua bitcoin yang dicuri dalam tiga bulan pertama 2022 dicuri dari protokol DeFi, naik dari 72% pada 2021 dan hanya 30% pada 2020," kata Chainalysis dalam laporannya minggu ini.

"Namun, untuk protokol DeFi khususnya, pencurian terbesar seringkali merupakan hasil dari pemrograman yang buruk. Di luar serangan Ronin, eksploitasi kode dan flash loan attacks — semacam kerentanan kode yang melibatkan manipulasi nilai mata uang kripto — bertanggung jawab atas mayoritas dari nilai yang diambil “Menurut peneliti.