Jakarta, ToeNTAS.com,- Bayangkan Anda seorang pegawai bergaji rendah di India yang ditawari pekerjaan sampingan sebagai figuran dalam film Bollywood. Perannya? Pergi ke ATM dan menarik sejumlah uang.
Pada 2018, beberapa laki-laki di Negara Bagian Maharashtra mengira mereka mendapat peran figuran dalam sebuah film, tapi kenyataannya mereka ditipu untuk menarik uang tunai sebagai bagian dari perampokan bank.
Perampokan itu berlangsung di Bank Cosmos yang berkantor pusat di Pune, India.
Awalnya para staf di kantor pusat Bank Cosmos tiba-tiba menerima serangkaian pesan mengkhawatirkan pada suatu Sabtu sore yang tenang, Agustus 2018.
Pesan itu datang dari perusahaan pembayaran kartu Visa di Amerika Serikat, yang memperingatkan bahwa ada ribuan permintaan penarikan uang tunai berjumlah besar dari ATM oleh orang-orang yang tampaknya menggunakan kartu Bank Cosmos.
Namun ketika tim Bank Cosmos memeriksa sistem mereka sendiri, mereka tidak menemukan transaksi mencurigakan.
Sekitar setengah jam kemudian, demi keamanan, mereka mengizinkan Visa menghentikan semua transaksi dari kartu Bank Cosmos. Penundaan ini berakibat sangat mahal.
Keesokan harinya, Visa membagikan daftar lengkap transaksi yang dicurigai kepada kantor pusat Bank Cosmos. Terdapat sekitar 12.000 transaksi penarikan terpisah dari berbagai ATM di seluruh dunia.
Bank ini telah kehilangan hampir US$14 juta (Rp209,5 miliar).
Ini adalah kejahatan yang berani jika dilihat dari betapa besar skalanya dan sinkronisasinya yang begitu cermat.
Mereka telah menjarah ATM di 28 negara berbeda, termasuk Amerika Serikat, Inggris, Uni Emirat Arab, dan Rusia. Semua itu terjadi hanya dalam kurun dua jam 13 menit, seperti flash mob dari kejahatan global yang luar biasa.
Penyelidikan nantinya mengarah ke sekelompok peretas yang sebelumnya melakukan serangkaian serangan serupa, dan tampaknya dilakukan atas perintah Korea Utara.
Namun sebelum mereka memahami skala kasus ini, penyidik kejahatan siber Maharashtra terheran-heran melihat rekaman CCTV. Dalam tayangan kamera pemantau terdapat puluhan laki-laki berjalan ke sejumlah ATM, memasukkan kartu ATM, dan menyimpan uang kertas ke dalam tas.
“Kami tidak mengetahui jaringan kurir pencurian uang seperti ini,” kata Inspektur Jenderal Brijesh Singh, yang memimpin penyidikan.
Menurut Singh, satu kelompok memiliki pengawas yang memantau transaksi ATM secara langsung di laptop.
Rekaman CCTV menunjukkan bahwa setiap kali kurir mencoba menyimpan sebagian uang tunai untuk dirinya sendiri, si pengawas akan mengetahuinya dan menamparnya dengan keras.
Dengan menggunakan rekaman CCTV serta data ponsel dari area-area di sekitar ATM, penyidik berhasil menangkap 18 tersangka dalam beberapa minggu setelah perampokan. Sebagian besar dari mereka sekarang mendekam di penjara, menunggu persidangan.
Singh mengatakan orang-orang ini bukanlah penjahat kelas kakap. Di antara mereka yang ditangkap adalah seorang pelayan, sopir, pembuat sepatu, bahkan memiliki gelar apoteker.
“Mereka adalah orang-orang yang baik,” katanya.
Meski demikian, menurut Singh, orang-orang yang direkrut sebagai “pemeran figuran” ini tahu apa yang sebenarnya mereka lakukan ketika perampokan terjadi.
Tetapi apakah mereka tahu untuk siapa mereka bekerja?
Penyidik meyakini bahwa Korea Utara yang tertutup dan terisolasi berada di balik perampokan tersebut.
Korea Utara adalah salah satu negara termiskin di dunia, namun sebagian besar dari sumber dayanya yang terbatas dimanfaatkan untuk membangun senjata nuklir dan rudal balistik, yang dilarang oleh Dewan Keamanan PBB.
Akibatnya, PBB memberi sanksi berat kepada negara itu, sehingga perdagangannya pun menjadi sangat dibatasi.
Sejak berkuasa 11 tahun lalu, pemimpin Korea Utara Kim Jong Un telah mengawasi kampanye pengujian senjata yang belum pernah terjadi sebelumnya, termasuk empat uji coba nuklir serta sejumlah upaya provokatif dengan menguji peluncuran rudal antarbenua.
Pihak berwenang AS meyakini pemerintah Korea Utara menggunakan sekelompok peretas elite untuk membobol bank dan lembaga keuangan di seluruh dunia untuk mencuri uang yang mereka butuhkan demi mempertahankan ekonomi serta membiayai proyek senjata mereka.
Para peretas itu, yang dijuluki Grup Lazarus, diyakini berasal dari unit yang dipimpin oleh badan intelijen militer Korea Utara yang kuat, yakni Biro Umum Pengintaian.
Pakar keamanan dunia maya menjuluki para peretas tersebut dengan nama tokoh Lazarus di Alkitab yang bangkit dari kematian. Pasalnya, begitu virus mereka masuk ke dalam jaringan komputer, mereka hampir mustahil untuk dimatikan.
Grup ini pertama kali dikenal secara internasional ketika Presiden AS saat itu, Barack Obama, menuduh Korea Utara meretas jejaring komputer Sony Pictures Entertainment pada 2014.
FBI menuduh peretas melakukan serangan siber yang merusak sebagai pembalasan untuk “The Interview”, sebuah film komedi yang menceritakan pembunuhan Kim Jong Un.
Sejak saat itu, Grup Lazarus dituduh berupaya mencuri US$1 miliar (Rp14,96 triliun) dari Bank Sentral Bangladesh pada 2016. Mereka juga dituduh meluncurkan serangan siber WannaCry yang berusaha mendapatkan tebusan dari para korbannya di seluruh dunia, termasuk NHS, layanan kesehatan nasional Inggris.
Korea Utara membantah keberadaan Grup Lazarus, serta semua tuduhan bahwa peretasan disponsori oleh negara mereka.
Tetapi lembaga penegak hukum terkemuka mengatakan bahwa peretasan Korea Utara lebih maju, lebih berani, dan lebih ambisius dari sebelumnya.
Untuk perampokan Cosmos, para peretas menggunakan teknik yang dikenal sebagai “jackpotting”, karena teknik ini membuat ATM mengeluarkan uang seperti ketika mesin slot mendapatkan jackpot.
Mulanya, sistem bank dikompromikan dengan cara yang klasik: melalui email phising yang dibuka oleh seorang karyawan yang kemudian menginfeksi jaringan komputer dengan malware.
Begitu masuk, para peretas memanipulasi perangkat lunak ATMyang mengirim pesan ke bank untuk menyetujui penarikan tunai.
Cara itu kemudian memberi kekuatan bagi para peretas untuk mengizinkan penarikan ATM oleh kaki tangan mereka di mana pun di dunia.
Satu-satunya yang tidak bisa mereka ubah adalah jumlah maksimum untuk setiap kali penarikan tunai, jadi mereka memerlukan banyak kartu dan bantuan banyak orang di lapangan.
Dalam persiapan perampokan, mereka bekerja dengan kaki tangan mereka untuk membuat kartu ATM “kloning”, menggunakan data rekening bank asli namun menggunakan kartu duplikat yang bisa digunakan di ATM.
Perusahaan keamanan yang berbasis di Inggris, BAE Systems, segera mencurigai bahwa perampokan itu didalangi oleh Grup Lazarus.
BAE Systems telah memantau grup tersebut selama berbulan-bulan dan mengetahui bahwa mereka berencana menyerang bank India. Hanya saja, mereka tidak tahu bank yang mana.
“Terlalu kebetulan kalau itu menjadi operasi kriminal lainnya,” kata peneliti keamanan BAE, Adrian Nish.
Grup Lazarus memiliki karakter serba bisa dan sangat ambisius, kata dia.
“Kebanyakan kelompok kriminal mungkin cukup senang ketika berhasil lolos dengan beberapa juta dan berhenti di situ.”
Logistik yang terlibat dalam perampokan Bank Cosmos pun sangat mencengangkan. Bagaimana para peretas menemukan kaki tangannya di 28 negara, termasuk di negara-negara yang tidak bisa dikunjungi secara legal oleh warga negara Korea Utara?
Penyelidik keamanan teknologi AS percaya bahwa Grup Lazarus bertemu dengan salah satu fasilitator utama di situs gelap, di mana forum-forum yang didedikasikan untuk bertukar keterampilan meretas sekaligus tempat bagi para peretas menjual layanan-layanan pendukungnya.
Pada Februari 2018, seorang pengguna yang menyebut dirinya ‘Bos Besar’ mengunggah tips soal cara melakukan penipuan kartu kredit.
Dia juga mengklaim memiliki peralatan untuk membuat kartu ATM klonik, dan bahwa dia memiliki akses ke sekelompok kurir pencurian uang di AS dan Kanada.
Layanan inilah yang dibutuhkan Lazarus Group untuk misi mereka di Bank Cosmos, dan mereka pun mulai bekerja dengan ‘Bos Besar’.
Kami meminta Mike DeBolt, kepala unit intelijen di Intel 471, perusahaan keamanan teknologi di AS, untuk mencari tahu lebih lanjut soal kaki tangan mereka ini.
Tim DeBolt menemukan bahwa ‘Bos Besar’ telah aktif setidaknya selama 14 tahun dan memiliki serangkaian alias: G, Habibi, dan Backwood.
Penyidik berhasil menautkannya ke semua nama-nama pengguna ini karena dia menggunakan alamat email yang sama di forum yang berbeda.
“Pada dasarnya, dia malas,” kata DeBolt.
“Kami sering menyaksikan hal seperti ini: aktor mengubah nama alias mereka di forum, tetapi tetap menggunakan alamat email yang sama.”
Pada 2019, ‘Bos Besar’ ditangkap di Amerika Serikat. Identitasnya pun dibuka, yakni Ghaleb Alaumary, seorang warga Kanada berusia 36 tahun.
Dia mengaku bersalah atas sejumlah pelanggaran, termasuk pencucian uang dari dugaan pencurian bank Korea Utara. Dia dijatuhi hukuman penjara selama 11 tahun delapan bulan.
Korea Utara tidak pernah mengakui keterlibatan apapun dalam kasus Bank Cosmos, maupun skema peretasan lainnya.
BBC telah mencoba mengonfirmasi tuduhan keterlibatan mereka dalam serangan Cosmos kepada Kedutaan Korea Utara di London, namun tidak mendapat respons.
Namun ketika kami menghubunginya sebelumnya, Duta Besar Choe Il menjawab tuduhan peretasan dan pencucian uang yang disponsori Korea Utara adalah “lelucon”, dan merupakan upaya AS untuk “menodai citra negara kami”.
Pada Februari 2021, FBI, Dinas Rahasia AS, dan Departemen Kehakiman mendakwa tiga tersangka peretas Grup Lazarus, yakni Jon Chang Hyok, Kim Il, dan Park Jin Hyok, yang menurut mereka bekerja untuk badan intelijen militer Korea Utara. Mereka sekarang diperkirakan telah kembali ke Pyongyang.
DoJKim Il, Park Jin Hyok, dan Jon Chang Hyok
Otoritas AS dan Korea Selatan memperkirakan Korea Utara memiliki hingga 7.000 peretas terlatih.
Mereka semua tidak mungkin bekerja dari dalam negeri, di mana hanya sedikit orang yang diizinkan menggunakan internet, sehingga aktivitas penggunanya sulit disembunyikan. Sebaliknya, mereka sering dikirim ke luar negeri.
Ryu Hyeon Woo, mantan diplomat Korea Utara sekaligus salah satu orang paling senior yang membelot dari rezim, menggambarkan bagaimana para peretas ini bekerja dari luar negeri.
Pada 2017, dia bertugas di Kedutaan Korea Utara di Kuwait, membantu mengawasi pekerjaan sekitar 10.000 warga negara Korea Utara di negara tersebut.
Saat itu, banyak yang bekerja di lokasi-lokasi konstruksi di wilayah negara teluk itu. Seperti semua pekerja Korea Utara, mereka wajib menyerahkan sebagian besar gaji mereka kepada pemerintah.
Dia mengatakan bahwa kantornya menerima telepon setiap hari dari seorang pengawas Korea Utara yang mengawasi 19 peretas yang tinggal dan bekerja di sebuah tempat yang sempit di Dubai.
“Hanya itu yang mereka butuhkan: sebuah komputer yang terhubung ke internet,” katanya.
Korea Utara menyangkal memiliki peretas yang ditempatkan di luar negeri, namun hanya pekerja TI dengan visa yang legal.
Namun deskripsi yang disampaikan oleh Ryu selaras dengan tuduhan FBI soal bagaimana unit siber ini beroperasi dari seluruh dunia.
Pada September 2017, Dewan Keamanan PBB menjatuhkan sanksi terberat terhadap Korea Utara, dengan cara membatasi impor bahan bakar, ekspor lebih lanjut, dan menuntut negara-negara anggota PBB memulangkan pekerja Korea Utara paling lambat pada Desember 2019.
Namun para peretas ini masih tampak aktif. Mereka kini menargetkan perusahaan mata uang kripto, dan diperkirakan telah mencuri hampir US$3,2 miliar (Rp47,89 triliun).
AS menyebut mereka “perampok bank terkemuka dunia” yang mengandalkan “keyboard, bukan senjata”. (d.c/Yusuf)
