2 Hal Ini Jadi 'Bukti' Hacker Korut Dalang Teror WannaCry

Dua perusahaan keamanan siber terkemuka, Kaspersky dan Symantec, mengatakan bahwa rincian teknis dalam versi awal kode WannaCry serupa dengan kode backdoor yang digunakan pada 2015. Backdoor adalah 'pintu belakang; dalam keamanan, yang merupakan akses khusus untuk dapat masuk ke dalam sistem komputer.

Kode tersebut diciptakan oleh peretas yang terhubung dengan pemerintah Korut, Lazarus Group. Diduga kuat, kode itu terlibat dalam serangan di Sony Pictures tahun 2014, serta pencurian uang sebesar US$ 81 juta di sebuah bank Bangladesh pada 2016.

Selain itu, Lazarus Group juga diketahui menggunakan dan menargetkan Bitcoin dalam operasi peretasannya.

Kesamaan itu pertama kali ditemukan oleh peneliti keamanan Google, Neal Mehta, dan disuarakan oleh peneliti lain, termasuk Matthieu Suiche dari Comae Technologies yang berbasis di Uni Emirat Arab.

Dilansir The Guardian, kode bersama tidak selalu berarti kelompok peretas sama yang bertanggung jawab. Sebuah kelompok yang berbeda mungkin hanya menggunakan kembali kode backdoor kelompok Lazarus, sebagai "false flag"-- mengambinghitamkan atas suatu kasus -- untuk mengecoh siapa pun yang mencoba mengidentifikasi pelaku.

Namun kode yang dimaksud tersebut tampaknya telah dihapus dari versi terbaru WannaCry, sehingga menurut Kaspersky, dugaan keterlibatan Lazarus cukup kuat.

"Kami percaya bahwa peneliti lain di seluruh dunia menyelidiki kesamaan ini dan berusaha menemukan lebih banyak fakta tentang asal WannaCry," ujar Kaspersky Lab dalam sebuah unggahan di blog.

Perusahaan itu juga menyebut, pada awal serangan bank Bangladesh ada sedikit petunjuk yang menghubungkannya dengan kelompok Lazarus. Namun, dari waktu ke waktu, para periset menemukan lebih banyak petunjuk untuk membangun kasus tersebut terhadap kelompok siber yang terkait dengan Korea Utara itu.

Ahli keamanan Prof Alan Woodward menunjukkan bahwa zona waktu dalam kode WannaCry disetel ke UTC +9. Zona waktu itu mencakup Yakutsk Time di Rusia, Jepang, Korea Selatan dan Utara, Palau, East Timor di Timor Leste, China, Maluku dan Papua di Indonesia, serta Papua Nugini.

Woodward juga menyebut, teks permintaan tebusan WannaCry tampaknya menggunakan mesin penerjemah. Namun, bagian yang menggunakan Bahasa China terlihat ditulis oleh penutur bahasa asli.

"Hal tersebut layak untuk diselidiki lebih lanjut," ujar Woodward.

Selain Korea Utara, adanya zona waktu itu juga memunculkan dugaan bahwa Tiongkok menjadi dalang di balik teror ransomware WannaCry. Hal itu diperkuat dengan teks permintaan tebusan dengan Bahasa China.

Namun serangan siber sangat sulit untuk dikonfirmasi dan lebih mengandalkan konsensus.

Sebagai contoh, Korea Utara tidak pernah mengonfirmasi keterlibatannya dalam peretasan Sony Pictures. Peneliti keamanan dan pemeritah yang AS yakin akan teori tersebut, tidak dapat mengesampingkan adanya false flag.

Dilansir BBC, Selasa (16/5/2017), peretas ahli mungkin saja membuat Korea Utara seolah-olah menjadi pihak melakukannya. Dalam kasus WannaCry, memungkinkan peretas dengan mudah menyalin kode dari serangan terdahulu yang dilakukan Lazarus Group.

Namun penilaian lain meragukan dugaan yang menyebut Korea Utara dan China sebagai pihak di balik teror ransomware WannaCry. 

Pertama, China merupakan salah satu negara yang terdampak paling parah. Peretas juga memastikan bahwa catatan permintaan tebusan ditulis dalam Bahasa China. Di sisi lain, Korea Utara tampaknya tidak akan memusuhi sekutu terkuatnya, yakni Tiongkok.

Kedua, serangan Korea Utara biasanya jauh lebih terarah, seringkali bertujuan politik. Dalam kasus Sony Pictures, peretas berusaha mencegah dirilis sebuah film yang mengolok-olok pemimpin Korut Kim Jong-un, The Interview. Sebaliknya, WannaCry lebih tak pandang bulu.

Terakhir, jika rencananya adalah untuk menghasilkan uang, hal itu dinilai tak berhasil. Menurut analisis akun Bitcoins yang digunakan peretas, hanya sekitar US$60.000 atau sekitar Rp 797,8 juta yang diterima WannaCry dari uang tebusan.

Namun, ada pendapat lain yang menyebut bahwa tebusan itu hanya distraksi terhadap tujuan politik lainnya.

Kemungkinan lain adalah Lazarus Group bekerja sendirian, tanpa instruksi dari Korea Utara. Dan mungkin saja, kelompok tersebut bahkan tidak terkait dengan Korea Utara.