BitMEX menggagalkan serangan Lazarus yang diduga, menemukan alamat IP kelompok dan 'kekurangan signifikan' dalam keamanan

BitMEX, yang dulunya merupakan tempat perdagangan opsi Bitcoin yang dominan, dilaporkan telah menggagalkan serangan rekayasa sosial oleh Lazarus Group, kelompok peretas yang memiliki hubungan dengan pemerintah Korea Utara, menurut pengumuman pada hari Jumat.

Tidak hanya itu, BitMEX diduga mampu merekayasa balik eksploitasi yang diduga — berpotensi mengungkap wawasan baru tentang kelompok peretas yang tangguh ini.

Lazarus Group telah menjadi ancaman yang terus-menerus dan berkembang di industri kripto selama bertahun-tahun. Kelompok ini diduga berada di balik beberapa eksploitasi kripto yang paling terkenal, termasuk yang kemungkinan merupakan peretasan terbesar (kripto atau lainnya) dari Bybit pada bulan Februari.

Serangan phishing, terutama yang dilakukan oleh peretas Korea Utara, adalah kejadian yang cukup umum di kripto sehingga para ahli keamanan sering berbagi beberapa tanda bahaya dan teknik untuk menghindari menjadi korban. (Misalnya, Anda dapat bertanya kepada calon penyerang Anda apakah Pemimpin Tertinggi Kim Jong Un menikah dengan seekor anjing.)

"Baru-baru ini, seorang karyawan BitMEX dihubungi melalui LinkedIn untuk potensi kolaborasi proyek web3 'NFT Marketplace'," tulis BitMEX dalam sebuah blog pada hari Jumat. "Tujuannya adalah membuat korban menjalankan kode proyek, yang mencakup kode berbahaya, di komputer mereka. Setelah beberapa menit memeriksa repositori … kami menemukan beberapa potongan kode yang sangat mencurigakan."

Menurut BitMEX, karyawan yang menjadi target perusahaan tersebut dapat dengan cepat mengidentifikasi potensi ancaman dan memberi tahu tim keamanan BitMEX, yang memulai penyelidikan yang mungkin telah mengungkap beberapa metode pelacakan Lazarus dan "kekurangan signifikan dalam keamanan operasional."

Yang penting, "tampaknya kelompok ini telah terbagi menjadi beberapa subkelompok yang tidak selalu memiliki kecanggihan teknis yang sama," tulis tim tersebut. Menurut BitMEX, dalam kasus ini, penyerang mencoba menggunakan kembali kode berbahaya yang disebut "BeaverTail" yang sebelumnya dikaitkan dengan Lazarus Group oleh Unit 42 Palo Alto.

Tanpa masuk ke detail teknis tentang bagaimana bug tersebut seharusnya berjalan (pada dasarnya mengumpulkan kata sandi/IP korban dan menyimpannya dalam database), BitMEX mengatakan bahwa pemeriksaan lebih dekat pada skrip mengungkapkan "kesalahan keamanan operasional" yang mungkin telah mengungkapkan "alamat IP asli" penyerang.

"Setelah kami memiliki informasi ini, kami membuat program sederhana yang akan menanyakan database ini secara teratur dan mencatat infeksi baru dengan tujuan memahami profil umum korban dan berpotensi menemukan kesalahan baru oleh operator," tulis tim tersebut, mencatat bahwa mereka tampaknya telah menemukan setidaknya 10 "akun potensial yang digunakan untuk menguji atau mengembangkan malware."

"Menyelidiki kampanye Lazarus Group ini menunjukkan kontras yang mencolok antara strategi phishing tingkat pemula mereka dan teknik pasca-eksploitasi yang canggih," tambah tim tersebut.

Yang penting, penemuan BitMEX ini datang beberapa minggu setelah Coinbase mengungkapkan pelanggaran data pelanggan yang signifikan yang dapat merugikan bursa lebih dari $400 juta dalam kerugian. Peristiwa tersebut telah menghidupkan kembali percakapan tentang potensi bahaya persyaratan kenali-pelanggan-anda dan kebutuhan akan keamanan siber yang lebih baik di seluruh industri.