JAKARTA - Grup peretasan yang didukung pemerintah Korea Utara menembus perusahaan manajemen TI Amerika dan menggunakannya sebagai batu loncatan untuk menargetkan perusahaan mata uang kripto, kata perusahaan dan pakar keamanan siber pada hari Kamis, 20 Juli 2023.

Peretas membobol JumpCloud yang berbasis di Louisville, Colorado pada akhir Juni dan menggunakan akses mereka ke sistem perusahaan untuk menargetkan "kurang dari 5" kliennya, katanya dalam sebuah posting blog.

JumpCloud tidak mengidentifikasi pelanggan yang terpengaruh, tetapi firma keamanan siber CrowdStrike Holdings (CRWD.O) - yang membantu JumpCloud - dan Mandiant milik Alphabet (GOOGL.O) - yang membantu salah satu klien JumpCloud - keduanya mengatakan bahwa peretas yang terlibat diketahui fokus pada pencurian mata uang kripto.

Dua orang yang mengetahui masalah tersebut mengonfirmasi bahwa klien JumpCloud yang menjadi target peretas adalah perusahaan cryptocurrency.

Peretasan tersebut menunjukkan bagaimana mata-mata dunia maya Korea Utara, yang dulu puas dengan mengejar perusahaan mata uang digital sedikit demi sedikit, sekarang menangani perusahaan yang dapat memberi mereka akses lebih luas ke banyak korban di hilir - sebuah taktik yang dikenal sebagai "serangan rantai pasokan".

“Menurut pendapat saya, Korea Utara benar-benar meningkatkan permainan mereka,” kata Tom Hegel, yang bekerja untuk perusahaan AS SentinelOne (S.N) dan secara independen mengonfirmasi atribusi Mandiant dan CrowdStrike.

Misi Pyongyang untuk Perserikatan Bangsa-Bangsa di New York tidak menanggapi permintaan komentar. Korea Utara sebelumnya membantah mengorganisir pencurian mata uang digital, meskipun banyak bukti - termasuk laporan PBB - sebaliknya.

CrowdStrike mengidentifikasi para peretas sebagai "Labyrinth Chollima" - salah satu dari beberapa kelompok yang diduga beroperasi atas nama Korea Utara. Mandiant mengatakan para peretas yang bertanggung jawab bekerja untuk Biro Umum Pengintaian Korea Utara (RGB), badan intelijen asing utamanya.

Badan pengawas dunia maya AS CISA dan FBI menolak berkomentar.

Peretasan di JumpCloud – yang produknya digunakan untuk membantu administrator jaringan mengelola perangkat dan server – pertama kali muncul ke publik awal bulan ini ketika perusahaan mengirim email kepada pelanggan untuk mengatakan bahwa kredensial mereka akan diubah “karena sangat berhati-hati terkait dengan insiden yang sedang berlangsung.”

Dalam versi sebelumnya dari posting blog yang mengakui bahwa insiden itu adalah peretasan, JumpCloud melacak intrusi tersebut hingga 27 Juni. Podcast Risky Business yang berfokus pada keamanan siber awal pekan ini mengutip dua sumber yang mengatakan bahwa Korea Utara adalah tersangka dalam intrusi tersebut.

Labyrinth Chollima adalah salah satu kelompok peretas paling produktif di Korea Utara dan dikatakan bertanggung jawab atas beberapa intrusi dunia maya yang paling berani dan mengganggu di negara terisolasi itu. Pencurian cryptocurrency telah menyebabkan hilangnya jumlah yang menggiurkan: perusahaan analitik Blockchain, Chainalysis, mengatakan tahun lalu bahwa kelompok yang terkait dengan Korea Utara mencuri sekitar $1,7 miliar uang tunai digital melalui berbagai peretasan.

Wakil Presiden Senior untuk Intelijen CrowdStrike Adam Meyers mengatakan regu peretas Pyongyang tidak boleh diremehkan.

"Saya kira ini bukan serangan rantai pasokan Korea Utara yang terakhir kita lihat tahun ini," katanya.