Peretas Korea Utara di Balik Serangan Keuangan DeBridge: Co-Founder

Alex Smirnov, salah satu pendiri dan pemimpin proyek di DeBridge Finance, menggunakan Twitter pada hari Jumat untuk melaporkan bahwa perusahaannya menjadi target percobaan serangan siber oleh Grup Lazarus Korea Utara yang terkenal.

DeBridge menyediakan interoperabilitas lintas rantai dan protokol likuiditas untuk mentransfer data dan aset antar blockchain.

Serangan itu datang melalui email palsu yang diterima oleh beberapa anggota tim DeBridge yang berisi file PDF bernama "Penyesuaian Gaji Baru," yang tampaknya berasal dari Smirnov.

Email spoofing adalah bentuk serangan di mana email berbahaya dimanipulasi agar tampak seolah-olah berasal dari sumber tepercaya, dalam hal ini, dari salah satu pendiri perusahaan.

“Kami memiliki kebijakan keamanan internal yang ketat dan terus berupaya meningkatkannya serta mendidik tim tentang kemungkinan vektor serangan,” tulis Smirnov.

Meski begitu, Smirnov menjelaskan, satu orang mengunduh dan membuka file tersebut, yang memicu serangan terhadap sistem internal perusahaan. Hal ini mendorong penyelidikan tentang asal serangan, bagaimana peretas bermaksud serangan itu bekerja, dan konsekuensi potensial apa pun.

“Analisis cepat menunjukkan bahwa kode yang diterima mengumpulkan BANYAK informasi tentang PC dan mengekspornya ke [pusat komando penyerang]: nama pengguna, info OS, info CPU, adaptor jaringan, dan proses yang berjalan,” kata Smirnov.

Smirnov membandingkan apa yang dilihat DeBridge dengan posting Twitter lain oleh pengguna lain yang menunjukkan karakteristik serupa dan menunjuk ke kelompok peretas Korea Utara.

Smirnov memperingatkan pengikutnya untuk tidak pernah membuka lampiran email tanpa memverifikasi alamat email lengkap pengirim dan memiliki protokol internal tentang bagaimana tim mereka membagikan lampiran.

Grup Lazarus diduga berada di balik beberapa peretasan kripto profil tinggi, termasuk $622 juta axie tak terhingga Peretasan sidechain Ronin Ethereum pada bulan Maret dan Jembatan Harmoni Horison hack pada bulan Juni.

“Jenis serangan ini cukup umum,” catat David Schwed, chief operating officer dari perusahaan keamanan blockchain Halborn. “Mereka mengandalkan sifat ingin tahu orang dengan memberi nama file sesuatu yang akan menarik minat mereka, seperti informasi gaji.

“Kami melihat semakin banyak jenis serangan ini yang secara khusus menargetkan perusahaan blockchain mengingat taruhannya yang meningkat karena kekekalan transaksi blockchain,” tambah Schwed.