Ancaman Resume Palsu dari Korea Utara
Setiap hari, Binance dibanjiri dengan resume palsu yang diyakini ditulis oleh calon penyerang dari Korea Utara, menurut Jimmy Su, kepala petugas keamanan bursa kripto tersebut, dalam wawancaranya dengan Decrypt. Ia menjelaskan bahwa aktor negara dari Korea Utara merupakan ancaman terbesar yang dihadapi perusahaan di industri kripto saat ini.
Peningkatan Kemampuan Serangan
Su menyatakan bahwa penyerang dari Korea Utara telah menjadi masalah sejak delapan tahun lalu, namun baru-baru ini mereka meningkatkan kemampuan mereka dalam hal kripto. “Vektor terbesar saat ini terhadap industri kripto adalah aktor negara, terutama dari DPRK, [dengan] Lazarus Group,” kata Su kepada Decrypt, menambahkan bahwa, “Mereka telah fokus pada kripto dalam dua hingga tiga tahun terakhir dan cukup sukses dalam upaya mereka.”
Strategi Penipuan Melalui Resume
Ia juga menambahkan bahwa “hampir semua peretasan besar DPRK” melibatkan karyawan palsu yang membantu memfasilitasi serangan. Republik Rakyat Demokratik Korea, yang juga dikenal sebagai DPRK atau Korea Utara, adalah rumah bagi Lazarus Group, salah satu kelompok hacker paling produktif di dunia. Kelompok ini diyakini bertanggung jawab atas peretasan Bybit senilai $1,4 miliar pada bulan Maret—peretasan terbesar dalam sejarah kripto, menurut FBI.
Deteksi Pelamar Palsu
Su mengatakan bahwa Binance sangat memperhatikan penyerang dari Korea Utara yang mencoba melamar di perusahaan tersebut. Bursa terpusat ini mengklaim membuang resume setiap hari, berdasarkan kecenderungan mereka untuk menggunakan template resume tertentu. Perusahaan tidak bersedia membagikan lebih banyak rincian tentang tanda-tanda peringatan resume kepada Decrypt.
Jika resume tersebut lolos dari pemeriksaan awal, perusahaan kemudian harus memverifikasi keabsahan pelamar melalui panggilan video—sebuah tantangan yang semakin sulit dengan meningkatnya penggunaan AI. “Pelacakan kami sebelumnya menunjukkan bahwa aktor, operatif, akan memiliki resume, dan mereka sebagian besar memiliki nama belakang Jepang atau Cina,” jelas Su. “Tetapi sekarang, dengan AI dan perkembangan di bidang AI, mereka dapat berpura-pura menjadi jenis pengembang mana pun. Baru-baru ini, kami telah melihat mereka mengaku sebagai kandidat dari Eropa dan Timur Tengah. Apa yang mereka lakukan adalah menggunakan pengubah suara selama wawancara mereka, dan video tersebut adalah deepfake.”
Tanda-Tanda Peringatan
“Satu-satunya deteksi yang benar-benar efektif adalah bahwa mereka hampir selalu memiliki koneksi internet yang lambat,” tambahnya. “Apa yang terjadi adalah bahwa terjemahan dan pengubah suara bekerja selama panggilan … itulah sebabnya mereka selalu tertunda.”
Ada cara lain yang dapat digunakan Binance untuk mendeteksi pelamar dari Korea Utara—seperti meminta mereka untuk menutupi wajah mereka, yang biasanya dapat memecahkan deepfake—tetapi Binance tidak ingin mengungkapkan semua trik mereka karena takut penyerang mungkin membaca artikel ini.
Pengawasan Karyawan dan Modus Serangan
Pemberi kerja lain diketahui meminta kandidat untuk mengatakan sesuatu yang negatif tentang pemimpin tertinggi Korea Utara, Kim Jong Un, yang diyakini dilarang di negara tersebut, dan telah melaporkan hasil yang positif. Binance mengklaim tidak pernah mempekerjakan aktor negara; namun, mereka tidak bisa terlalu yakin. Akibatnya, mereka bahkan memantau karyawan mereka saat ini untuk perilaku mencurigakan—sesuatu yang dilakukan semua lembaga keuangan hingga tingkat tertentu.
Ironisnya, menurut penelitian Su, karyawan DPRK biasanya termasuk di antara karyawan terbaik perusahaan dalam peran yang diberikan. Itu mungkin karena ada banyak orang yang melakukan pekerjaan yang sama di berbagai zona waktu, jelasnya. Jadi Binance melacak kapan karyawan bekerja, bersama dengan hasil kerja mereka. Jika seorang pekerja tampaknya tidak pernah tidur, itu mungkin tanda bahwa mereka adalah bagian dari Lazarus Group yang terkenal.
Serangan Melalui Kode Berbahaya
Ada dua modus serangan lain yang sering digunakan oleh aktor negara Korea Utara, kata Su. Salah satunya melibatkan meracuni pustaka NPM publik dengan kode berbahaya, sementara yang lainnya melihat negara nakal membuat tawaran pekerjaan palsu kepada karyawan kripto. Pustaka Node Package Manager (NPM), atau paket, adalah kumpulan kode yang dapat digunakan kembali yang sering digunakan oleh pengembang. Penyerang jahat dapat menggandakan paket ini dan menyisipkan satu baris kode kecil yang dapat memiliki konsekuensi serius—semua sambil mempertahankan fungsi aslinya.
Jika ini bahkan terdeteksi sekali, kode berbahaya akan tertanam lebih dalam ke dalam sistem saat pengembang membangun di atasnya, kata Su. Untuk mencegah ini menjadi masalah, Binance harus memeriksa kode dengan sangat teliti. Bursa kripto besar juga berbagi intelijen terkait keamanan di grup Telegram dan Signal—yang berarti mereka dapat menandai pustaka yang terkontaminasi dan teknik DPRK yang muncul dengan rekan-rekan mereka.
Upaya Phishing dan Pencurian Kripto
“Kelompok DPRK juga akan mencoba menjadwalkan panggilan dengan karyawan yang berhadapan langsung dengan publik,” kata Su kepada Decrypt. “Baik sebagai proyek DeFi atau perusahaan investasi. Yang terburuk, mereka akan merekrut mereka untuk pekerjaan tingkat tinggi, membayar dua, tiga kali lipat, hanya untuk mendapatkan mereka dalam wawancara.” Selama wawancara palsu, Su menjelaskan, para hacker DPRK akan mengklaim bahwa panggilan tersebut memiliki “beberapa masalah video atau suara,” sebelum mengirimkan korban tautan untuk memperbarui Zoom mereka. Kemudian, katanya, perangkat mereka terinfeksi malware.
Binance telah melatih karyawannya untuk melaporkan setiap upaya phishing yang dilakukan terhadap mereka. Berdasarkan frekuensi laporan ini, Su yakin bahwa penyerang DPRK mengirim pesan kepada karyawan Binance di LinkedIn setiap hari. Hacker Korea Utara mencuri $1,34 miliar dalam 47 insiden terkait kripto tahun lalu, menurut laporan Chainalysis. Sejak saat itu, serangan DPRK terus berlanjut, dengan Direktur Intelijen Ancaman Strategis Wiz memperkirakan bahwa $1,6 miliar dalam kripto telah dicuri sejauh ini tahun ini melalui tawaran pekerjaan IT palsu.
“Lazarus Group selalu menjadi masalah,” kata Su kepada Decrypt. “Tetapi dalam dua hingga tiga tahun terakhir, mereka telah mengalihkan fokus mereka, lebih banyak sumber daya mereka ke kripto. Hanya karena jumlah dolar yang besar di industri ini.”
