Dua hal tentang serangan siber WannaCry sudah pasti. Serangan ini adalah yang terbesar dalam sejarah dan gambaran serangan siber yang mengerikan di masa datang. Namun satu hal tidak begitu jelas: apakah Korea Utara berperan dalam serangan siber ini.
Meskipun ada potongan informasi dan sedikit bukti yang menyatakan kemungkinan tautan serangan siber ini dengan Korea Utara, para pakar mewanti-wanti buktinya belum pasti, dan ada banyak alasan yang meragukan.
Dalam hitungan hari sejak terjadinya serangan, perusahaan keamanan siber yang disegani Symantec and Kaspersky Labs memberi petunjuk tentang keterkaitan Korea Utara. Peneliti Google, Neel Mehta, mengenali kemiripan kode antara WannaCry dan malware yang muncul tahun 2015 yang dikaitkan dengan Korea Utara. Dan media sejak itu menulis beragam kisah tentang liga peretas milik Pyongyang, keterlibatannya di waktu lampau dalam serangan siber dan usahanya yang terus menerus untuk mendapatkan sumber pendapatan yang baru, baik resmi maupun tidak.
Perkenalkan Lazarus
Namun mengidentifikasi peretas di belakang serangan canggih terkenal sebagi tugas yang sangat sulit. Membuktikan mereka beraksi di bawah perintah eksplisit suatu negara bahkan lebih sulit lagi.
Ketika para pakar menyatakan Korea Utara berada di belakang serangan, yang acapkali mereka maksudkan adalah Pyongyang dicurigai bekerja sama atau bekerja melalui sebuah kelompok yang dikenal sebagai Lazarus. Sifat pasti Lazarus masih penuh kerahasiaan, namun diperkirakan oleh sementara orang sebuah campuran peretas asal Korea Utara yang bekerjasama dengan “tentara siber bayaran” China yang kadang-kadang bersedia bekerja untuk kepentingan Pyongyang.
Lazarus bukan pemain sembarangan di jagat kejahatan siber.
Kelompok ini dikenal sebagai “ancaman tingkat lanjut tanpa henti” dan telah dituduh sebagai pelaku dalam berbagai operasi canggih, termasuk usaha untuk membobol keamanan lusinan bank tahun ini, serangan ke bank sentral Bangladesh yang berhasil membobol $81 juta tahun lalu, peretasan Sony tahun 2014 dan operasi DarkSeoul, yang menarget pemerintah dan perusahaan-perusahaan Korea Selatan.
“Aktivitas Kelompok Lazarus sudah berlangsung selama bertahun-tahun, dimulai sejak tahun 2009,” ujar Kaspersky Labs dalam sebuah laporan tahun lalu. “Fokus mereka, memanfaatkan perilaku korban kejahatan yang membuat mereka jadi korban kejahatan, taktik model gerilya yang mengindikasikan entitas yang dinamis, gesit, dan sangat jahat, rentan pada penghancuran data selain juga operasi mata-mata siber konvensional.”
WannaCry tidak sesuai
Namun beberapa pakar memandang serangan terakhir sebuah anomali.
WannaCry menginfeksi lebih dari 200.000 sistem komputer di lebih dari 150 negara dengan tuntutan pembayaran $300 dalam bentuk Bitcoin untuk setiap korban sebagai ganti dipulihkannya kembali file-file yang telah mereka sandera. Para korban menerima peringatan di layar komputer mereka dan apabila mereka tidak membayar tebusan dalam waktu tiga hari, tuntutan pembayaran akan naik dua kali lipat. Dan apabila tebusan tidak dibayar, data para korban akan dihapus.
Sejauh menyangkut serangan ransomware, model tuntutan tebusan semacam itu adalah sesuatu yang khas.
Namun hal itu tidak – atau paling tidak belum – menunjukkan sesuatu yang diyakini sebagai cara kerja para peretas Korea Utara.
“Ini bukanlah bagian dari perilaku unit siberwar dan kelompok-kelompok peretas DPRK yang diamati sebelumnya,” ujar Michael Madden, seorang ilmuwan tamu, di the Johns Hopkins School of Advanced International Studies dan pendiri dari North Korea Leadership Watch, dalam emailnya ke The Associated Press. “Ini akan menjadi jenis serangan siber DPRK yang baru secara keseluruhan.”
Madden mengatakan Korea Utara, yang dikenal secara resmi sebagai Republik Demokratik Rakyat Korea, seandainyapun berperan, seharusnya bisa memberikan atau menyediakan bagian dari paket yang digunakan dalam serangan ke kelompok peretas lain yang disponsori negara dimana negara itu memiliki hubungan.
“Tipe ransomware/serangan untuk memodifikasi sistem komputer ini sama sekali bukan jadi bagian Modus Operandi unit siberwar Korea Utara,” ujarnya. “Butuh tingkat interaksi sosial tertentu dan penyimpanan file, di luar kelompok-kelompok peretas lainnya, dimana peretas dan unit perang siber Korea Utara tidak ingin terlibat. Pada dasarnya mereka harus menunggu transaksi pada Bitcoin, menyimpan file-file yang diretas dan menjalin hubungan dengan target serangan.”
Serangan tidak bersifat strategis
Pakar-pakar keamanan siber lainnya mempertanyakan sudut kaitan dengan Pyongyang dari sudut pandang yang berbeda.
James Scott, seorang rekan senior di the Institute for Critical Infrastructure Technology, sebuah lembaga pemikir keamanan siber, berdalih bukti yang ada masih “paling tidak bergantung pada keadaan,” dan percaya penyebaran WannaCry disebabkan oleh keberuntungan dan ketelodoran, bukan kecanggihan.
“Meskipun tetap ada kemungkinan bahwa kelompok Lazarus berada di belakang malware WannaCry, kemungkinan kaitan tersebut terbukti benar masih meragukan,” tulisnya dalam sebuah postingan di blog akhir-akhir ini yang menguraikan kasus ini. “Kemungkinannya lebih besar bahwa pembuat virus WannaCry meminjam kode dari Lazarus atau sumber serupa.’
Scott menyatakan ia percaya Korea Utaa kemungkinan akan menyerang sasaran yang lebih strategis – dua dari negara yang paling parah dilanda serangan virus ini adalah China dan Rusia, negara yang menjadi sekutu terdekat Korea Utara.
Hanya sedikit korban serangan virus WannaCry yang tampaknya bersedia membayar. Hingga hari Jum’at, total hanya $91.000 yang diserahkan ke tiga akun Bitcoin yang terkait dengan tuntutan tebusan, menurut Elliptic Enterprises yang berpusat di London, yang melacak aktivitas Bitcoin yang ilegal. [ww]
