Begini Cara Korea Utara Bangun Tentara Cyber Paling Berbahaya Di Dunia

Naval-CSIRT, Jakarta – Di dunia kejahatan siber, ada satu nama yang selalu menjadi sorotan: Lazarus Group. Mereka bukan sekadar kelompok peretas biasa, melainkan mesin perang digital yang didukung oleh sebuah negara. Dan negara yang dituduh adalah, Korea Utara.

Dalam beberapa tahun terakhir, Lazarus telah melancarkan serangan demi serangan, menargetkan institusi keuangan, perusahaan teknologi, hingga industri kripto, dengan satu tujuan utama—mengisi pundi-pundi rezim Korea Utara. Bahkan Amerika dan Sekutunya menuduh program yang dijalankan Lazarus Group ini digunakan untuk mendanai pengembangan militer dan nuklir negara tersebut.

Yang terbaru, mereka beraksi pada 21 Februari 2025. Dunia keuangan digital dikejutkan oleh salah satu perampokan kripto terbesar dalam sejarah. Bybit, sebuah perusahaan bursa keuangan kripto global, kehilangan lebih dari 1,5 miliar dolar AS atau setara 25 triliun rupiah hanya dalam semalam. Sebuah jumlah yang mencetak rekor baru dalam dunia kejahatan siber.

Serangan ini bukan hasil kerja amatir, melainkan perencanaan matang dengan pola yang semakin sulit dideteksi. Investigasi menunjukkan bahwa ini adalah aksi terbaru dari Lazarus Group, kelompok peretas yang selama lebih dari satu dekade telah mencuri miliaran dolar dari berbagai sumber.

Serangan terhadap Bybit dimulai dengan eksploitasi celah keamanan dalam sistem cold wallet mereka. Lazarus menggunakan teknik social engineering tingkat tinggi untuk menargetkan individu kunci dalam perusahaan, mengelabui mereka agar tanpa sadar memberikan akses ke kredensial sensitif. Begitu mendapatkan akses, para peretas langsung menyalurkan dana ke berbagai dompet kripto anonim sebelum memulai proses pencucian uang yang kompleks.

Blockchain analytics mengungkap bahwa dana curian segera dipindahkan melalui mixer seperti Tornado Cash untuk mengaburkan jejak transaksi. Setelah itu, mereka menggunakan strategi pemecahan dana ke dalam jumlah kecil yang kemudian dikirimkan ke berbagai bursa terdesentralisasi sebelum akhirnya ditarik dalam bentuk aset lain atau mata uang fiat. Kecepatan eksekusi dan kecanggihan taktik mereka membuat upaya pemulihan menjadi sangat sulit.

Bybit langsung menyadari adanya transaksi mencurigakan dan menghentikan sementara layanan penarikan, tetapi itu sudah terlambat, sebagian besar dana telah lenyap. Investigasi forensik yang dilakukan oleh berbagai firma keamanan siber mengonfirmasi bahwa teknik yang digunakan memiliki kemiripan kuat dengan metode yang sebelumnya sering digunakan oleh Lazarus.

Siapa Lazarus Group

Struktur internal Lazarus Group sulit untuk diungkap sepenuhnya. Namun, laporan dari berbagai badan intelijen menunjukkan bahwa mereka beroperasi sebagai bagian dari Biro Umum Pengintaian atau RGB, yaitu badan intelijen utama Korea Utara. RGB bertanggung jawab atas berbagai operasi mata-mata dan serangan siber di luar negeri.

Salah satu sosok yang diyakini berperan penting dalam operasi Lazarus adalah Park Jin Hyok, seorang peretas yang menjadi buronan FBI. Park Jin Hyok diyakini bekerja untuk sebuah perusahaan bernama Chosun Expo, yang merupakan perusahaan kedok yang digunakan oleh rezim Korea Utara untuk melatih dan menugaskan peretas dalam operasi siber global mereka.

Park Jin Hyok adalah nama yang paling sering dikaitkan dengan serangan siber yang dilakukan oleh Lazarus Group. Ia menjadi sorotan internasional setelah Departemen Kehakiman Amerika Serikat mengajukan tuntutan terhadapnya pada 2018. Menurut laporan FBI, Park Jin Hyok memiliki keterlibatan langsung dalam beberapa serangan besar.

Lazarus Group pertama kali terdeteksi pada tahun 2009 dan sejak itu namanya kerap muncul dalam berbagai insiden besar. Salah satu yang paling terkenal adalah peretasan Sony Pictures pada 2014. Saat itu, mereka membocorkan ribuan dokumen internal dan menyebabkan kekacauan besar di industri hiburan.

Serangan ini adalah balasan atas film “The Interview,” yang mengejek pemimpin Korea Utara, Kim Jong-un. Sebuah film komedi satir yang menampilkan skenario pembunuhan pemimpin Korea Utara yang diproduksi Sony Picture

Pada 24 November 2014, karyawan Sony Pictures Entertainment dikejutkan oleh sesuatu yang tak biasa. Saat mereka mencoba mengakses sistem komputer perusahaan, layar komputer mereka menampilkan sebuah pesan misterius dari kelompok yang menamakan diri mereka “Guardians of Peace”

Pesan tersebut berisi ancaman yang jelas: Sony harus membatalkan perilisan film “The Interview”, atau mereka akan menghadapi konsekuensi serius. Ancaman itu hanyalah awal dari serangan siber besar-besaran yang segera melumpuhkan Sony Pictures.

Tak lama setelah pesan ancaman muncul, sistem internal Sony jatuh ke dalam kekacauan. Komputer, server email, dan jaringan komunikasi internal perusahaan tiba-tiba mati total. Sony tidak hanya kehilangan akses ke data mereka, tetapi juga terputus dari seluruh sistem operasionalnya.

Lebih dari 100 terabyte data internal Sony Pictures dicuri dan disebar di internet. Gaji eksekutif Sony dan ribuan email pribadi antar karyawan beredar di internet, termasuk rencana bisnis perusahaan, termasuk proyek film yang akan rilis.

Kebocoran ini menyebabkan Sony kehilangan jutaan dolar dari pendapatan yang seharusnya mereka dapatkan melalui rilis resmi di bioskop. Diperkirakan, perusahaan mengalami kerugian hingga USD 35 juta, yang sebagian besar digunakan untuk meningkatkan keamanan sistem dan memulihkan operasi bisnis mereka.

Selain itu, kepercayaan investor terhadap Sony ikut terguncang. Saham perusahaan mengalami penurunan signifikan, karena banyak pihak mempertanyakan kemampuan Sony dalam melindungi aset digitalnya dari ancaman siber.

Lazarus tidak berhenti hanya dengan mencuri data. Mereka juga mengancam akan melakukan serangan teroris fisik terhadap bioskop yang berani menayangkan The Interview.

Ancaman ini cukup untuk membuat jaringan bioskop besar di Amerika Serikat, seperti AMC dan Regal, membatalkan penayangan film tersebut. Sony, yang berada di bawah tekanan besar, akhirnya mengambil keputusan drastis: mereka membatalkan perilisan bioskop secara luas dan hanya menayangkan film ini secara digital melalui Google Play dan YouTube Movies.

Keputusan ini memicu perdebatan besar tentang kebebasan berekspresi dan sensor oleh kekuatan asing. Banyak pihak, termasuk Presiden AS saat itu Barack Obama, mengkritik Sony karena dianggap tunduk pada ancaman asing.

Kasus yang menimpa Sony ini baru permulaan. Dua tahun setelahnya, pada 2016, Lazarus melancarkan serangan terhadap Bank Sentral Bangladesh. Mereka berhasil menyusup ke sistem keuangan internasional SWIFT dan hampir mencuri 1 miliar dolar AS.

Beruntung, sebagian besar transaksi yang mereka lakukan diblokir, tetapi mereka tetap berhasil membawa kabur 81 juta dolar. Ini adalah peringatan pertama bagi dunia keuangan bahwa Lazarus bukan sekadar ancaman bagi perusahaan teknologi, tetapi juga bagi stabilitas sistem perbankan global.

Lazarus semakin menunjukkan keahliannya dalam eksploitasi sistem keamanan pada 2017, ketika mereka merilis ransomware WannaCry. Serangan ini melumpuhkan lebih dari 200.000 komputer di 150 negara, menyebabkan kerugian global yang diperkirakan mencapai 4 miliar dolar AS. WannaCry menjadi bukti bahwa mereka tidak hanya beroperasi untuk keuntungan finansial, tetapi juga mampu menciptakan kekacauan dalam skala luas.

Pada 2022, Lazarus meretas Ronin Network, platform blockchain yang digunakan dalam game populer Axie Infinity. Mereka berhasil mencuri 620 juta dolar AS, menjadikannya salah satu pencurian aset digital terbesar saat itu.

Setahun setelahnya, mereka kembali beraksi dengan meretas Horizon Bridge milik Harmony, mencuri 100 juta dolar. Setiap serangan mereka menunjukkan tingkat keahlian yang semakin tinggi dan pola yang semakin sulit dilacak.

Peretasan Bybit pada 2025 menjadi puncak dari strategi mereka. Mereka memanfaatkan celah keamanan pada cold wallet dan sistem smart contract, memungkinkan mereka untuk menyedot dana dalam jumlah luar biasa dalam waktu singkat. Serangan ini memperlihatkan bahwa bahkan perusahaan dengan sistem keamanan tinggi pun masih memiliki titik lemah yang bisa dieksploitasi.

Metode yang digunakan Lazarus sangat beragam, mulai dari spear phishing, eksploitasi zero-day, hingga social engineering. Mereka kerap menargetkan individu dalam perusahaan, memanipulasi mereka agar tanpa sadar memberikan akses ke sistem internal. Setelah mendapatkan akses, mereka bergerak cepat, mengalirkan dana curian melalui berbagai blockchain untuk menghilangkan jejak.

Namun, yang paling mengkhawatirkan adalah bagaimana hasil dari serangan ini digunakan. Laporan dari berbagai badan intelijen menunjukkan bahwa dana yang diperoleh Lazarus sebagian besar dialihkan untuk mendanai pengembangan senjata dan militer Korea Utara. Dengan kata lain, setiap dolar yang dicuri oleh kelompok ini tidak hanya merugikan korban secara finansial, tetapi juga memperkuat program nuklir yang dapat mengancam stabilitas dunia.

Pemerintah di berbagai negara kini berupaya memperketat pengawasan terhadap transaksi kripto dan bekerja sama dengan penyedia layanan blockchain untuk melacak aliran dana. Namun, Lazarus terus berkembang. Mereka tidak hanya mengandalkan teknik lama, tetapi juga beradaptasi dengan tren teknologi terbaru untuk menemukan celah baru dalam sistem keamanan digital.

Korea Utara dikenal sebagai salah satu negara paling tertutup di dunia, dengan akses internet yang sangat terbatas bagi warganya. Namun, di balik isolasi digital ini, pemerintahnya justru mengembangkan salah satu pasukan siber paling berbahaya di dunia.

Proses ini dimulai dari seleksi ketat sejak usia dini, di mana anak-anak berbakat dalam matematika dan sains diidentifikasi melalui kompetisi nasional. Mereka kemudian ditempatkan di sekolah-sekolah elit seperti Universitas Teknologi Kim Il Sung atau Kim Chaek University of Technology, di mana mereka mendapatkan pendidikan intensif dalam ilmu komputer, kriptografi, dan teknik peretasan.

Pelatihan ini tidak hanya berlangsung di dalam negeri. Untuk mengasah keterampilan mereka lebih jauh, Korea Utara mengirimkan calon peretas ke negara lain seperti Cina dan Rusia. Di sana, mereka belajar dari institusi teknologi terkemuka serta berinteraksi dengan komunitas siber internasional.

Menariknya, meskipun internet untuk warga biasa sangat dibatasi, para peretas elit ini memiliki akses luas ke jaringan global. Mereka bekerja di bawah pengawasan ketat dan sering kali ditempatkan di negara lain untuk menyamarkan aktivitas mereka.

Banyak dari mereka beroperasi di Cina, di mana mereka menggunakan jaringan lokal untuk melancarkan serangan tanpa langsung mengarah ke Korea Utara. Pemerintah Pyongyang juga membangun berbagai perusahaan cangkang yang tampaknya sah, tetapi sebenarnya digunakan sebagai kedok untuk mendanai operasi siber mereka melalui kontrak teknologi dan outsourcing.

Pasukan siber ini tidak hanya digunakan untuk tujuan militer tetapi juga untuk mendukung ekonomi negara yang terkena sanksi internasional. Mereka dilatih untuk mencuri uang dari bank, mencuri teknologi sensitif, dan bahkan melakukan spionase siber terhadap musuh politik Korea Utara.

Sejumlah laporan menyebutkan bahwa operasi ini menghasilkan miliaran dolar yang kemudian digunakan untuk membiayai program nuklir dan persenjataan Korea Utara. Dengan meningkatnya tekanan ekonomi dari luar, pemerintah Korea Utara semakin mengandalkan peretasnya untuk mendapatkan sumber daya yang sulit mereka akses melalui jalur legal.

Kim Heung-kwang, mantan profesor ilmu komputer di Universitas Teknologi Komputer Hamheung, Korut, yang membelot ke Korea Selatan menceritakan bahwa dia menghabiskan lebih dari 20 tahun mengajar dan melatih mahasiswa dalam ilmu komputer.

Sebagai seorang akademisi, Kim memiliki akses ke kurikulum pendidikan IT Korea Utara dan mengetahui bagaimana pemerintah secara sistematis merekrut dan melatih hacker elit. Dia mengungkapkan bahwa banyak mahasiswa terbaik dari universitas teknologi di Korut direkrut sejak usia muda dan dilatih secara intensif untuk menjadi bagian dari unit siber militer negara, termasuk kelompok peretas terkenal seperti Lazarus Group.

Dalam wawancaranya dengan media, Kim menyatakan bahwa pelatihan hacker di Korea Utara sangat ketat, dengan para mahasiswa terbaik dikirim ke Unit 121, divisi perang siber milik militer Korut. Mereka dilatih dalam berbagai teknik peretasan, termasuk serangan terhadap bank dan perusahaan teknologi global.

Kim juga mengungkap bahwa pemerintah Korut membatasi akses internet bagi warga biasa, tetapi menyediakan jaringan khusus bagi para hacker yang memungkinkan mereka mengakses target luar negeri. Menurutnya, Korea Utara menganggap perang siber sebagai senjata utama mereka, setara dengan senjata nuklir.

Tanggapan Pemerintah Korea Utara

Pemerintah Korea Utara secara konsisten menyangkal semua tuduhan yang mengaitkan mereka dengan Lazarus Group atau serangan siber lainnya. Mereka menyebut tuduhan tersebut sebagai konspirasi politik yang dibuat oleh Amerika Serikat dan sekutunya untuk mencoreng nama baik negara mereka.

Dalam kasus pencurian Bank Sentral Bangladesh (2016) dan serangan Sony Pictures (2014), perwakilan Korea Utara di PBB dengan tegas membantah keterlibatan mereka. Mereka bahkan menuduh AS sebagai dalang sebenarnya di balik serangan siber global dan menggunakan isu ini sebagai alasan untuk menjatuhkan lebih banyak sanksi ekonomi terhadap Pyongyang.

Meski demikian, banyak bukti forensik digital yang mengarah pada keterlibatan Korea Utara, seperti pola serangan, kode malware yang serupa dengan serangan sebelumnya, serta aliran dana hasil kejahatan yang sering berujung di institusi terkait pemerintah Korut. Selain itu  keberadaan individu seperti Park Jin Hyok, juga menguatkan tuduhan itu. (Rey)

Source: Riauin.com