Unit peretasan Biro Umum Pengintaian (RGB) Korea Utara dikaitkan dengan pelanggaran JumpCloud setelah penyerang membuat kesalahan keamanan operasional (OPSEC), secara tidak sengaja mengekspos alamat IP dunia nyata mereka.
Grup peretasan, dilacak sebagai UNC4899 oleh Mandiant, sebelumnya diamati menggunakan kombinasi VPN komersial dan Kotak Relay Operasional (ORB) menggunakan terowongan L2TP IPsec untuk menyembunyikan lokasi sebenarnya.
Mandiant mengatakan pelaku ancaman UNC4899 telah menggunakan banyak penyedia VPN untuk tujuan ini dalam kampanye sebelumnya, termasuk ExpressVPN, NordVPN, TorGuard, dan lainnya.
Sementara peretas negara Korea Utara dikenal menggunakan layanan VPN komersial untuk menutupi alamat IP mereka dan lokasi sebenarnya, selama serangan JumpCloud, VPN yang mereka gunakan gagal dan mengungkap lokasi mereka di Pyongyang saat terhubung ke jaringan korban.
“Mandiant mengamati aktor ancaman DPRK UNC4899 yang terhubung langsung ke ORB yang dikendalikan penyerang dari 175.45.178 mereka[.]subjaringan 0/24,” kata para peneliti.
“Selain itu, kami mengamati aktor ancaman DPRK masuk langsung ke IP Pyongyang, dari salah satu jump box mereka. Bukti kami mendukung bahwa ini adalah kesalahan OPSEC karena koneksi ke blokir jaringan Korea Utara berumur pendek.”
Terlepas dari pengawasan OPSEC ini, peneliti keamanan Mandiant juga menemukan infrastruktur serangan yang tumpang tindih dengan peretasan terkait sebelumnya yang terkait dengan peretas Korea Utara, yang semakin memperkuat atribusi pelanggaran terhadap peretas Korea Utara.
“Kami menilai dengan keyakinan tinggi bahwa UNC4899 adalah grup yang berfokus pada cryptocurrency yang berada di bawah RGB. Penargetan UNC4899 bersifat selektif, dan mereka telah diamati mendapatkan akses ke jaringan korban melalui JumpCloud,” tambah Mandiant.
“Mandiant telah mengamati UNC2970, APT43, dan UNC4899 semuanya menggunakan infrastruktur serupa.”
Pada hari Kamis, JumpCloud juga dikonfirmasi bahwa kelompok APT Korea Utara berada di belakang Pelanggaran Juni berikut atribusi dari peneliti keamanan di SentinelOne dan CrowdStrike lebih awal hari itu.
Konsultan Respons Insiden Senior Austin Larsen mengatakan kepada BleepingComputer bahwa penyerang juga menyerang korban hilir setelah pelanggaran mereka terhadap JumpCloud.
Mandiant memperkirakan bahwa korban tambahan mungkin sedang menghadapi akibat dari serangan ini.
JumpCloud memutar paksa semua kunci API admin pada tanggal 5 Juli, satu minggu setelah peretas menerobos jaringannya melalui serangan spear-phishing.
Sementara perusahaan sekarang mengaitkan serangan itu, belum mengungkapkan jumlah pelanggan yang terkena dampak.
JumpCloud yang berbasis di Colorado adalah platform directory-as-a-service operasional yang menawarkan layanan single sign-on dan multi-factor authentication ke jaringan luas lebih dari 180.000 organisasi yang tersebar di lebih dari 160 negara.
