Hakerzy z Korei Północnej Powiązani z Napadem na Bitcoiny DMM o Wartości 305 Milionów Dolarów, Potwierdzają Władze

FBI, Narodowa Agencja Policyjna w Japonii i Departament Obrony Cyber Crime Center zidentyfikowali hakerów powiązanych z Koreą Północną jako organizatorów cyberataku na japońską giełdę kryptowalut DMM Bitcoin w maju 2024 roku, który kosztował 305 milionów dolarów.

Wspólne oświadczenie wydane 23 grudnia przypisuje naruszenie grupie zagrożeń TraderTraitor, znanej również jako Jade Sleet, UNC4899 i Slow Pisces.

Hacker News wyjaśnia, że TraderTraitor, aktywna co najmniej od 2020 roku, jest znana z atakowania firm Web3 za pośrednictwem aplikacji kryptowalutowych naszpikowanych złośliwym oprogramowaniem. Grupa często korzysta z kampanii inżynierii społecznej o tematyce pracy lub udaje współpracę nad projektami na GitHubie, aby wdrożyć złośliwe paczki npm i ułatwić kradzież.

Władze ujawniły, że naruszenie bezpieczeństwa DMM Bitcoin wynikło z ataku inżynierii społecznej na Ginco, japońską firmę oferującą oprogramowanie do kryptoportfeli. W marcu północnokoreański agent, podający się za rekrutera na LinkedIn, podzielił się z pracownikiem Ginco złośliwym skryptem Pythona, przebranym za test przedzatrudnieniowy.

Kiedy pracownik skopiował skrypt na swoje prywatne konto GitHub, wystawił to na pokaz wrażliwe dane sesji cookie, umożliwiając hakerowi podszywanie się pod pracownika i infiltrację systemu komunikacji Ginco.

Do maja, groźny aktor wykorzystał swoje uprawnienia do manipulacji prawidłowym żądaniem transakcji od pracownika DMM Bitcoin, ostatecznie kradnąc 4 502,9 BTC, wyceniane na 305 milionów dolarów.

Firma zajmująca się analizą blockchaina Chainalysis potwierdziła wyniki, wyjaśniając, jak napastnicy wykorzystali luki w infrastrukturze, aby przeprowadzić operacje wyprowadzania środków.

Przemywali skradzione kryptowaluty poprzez adresy pośredniczące, usługę Bitcoin CoinJoin Mixing Service oraz usługi pomostowe, zanim przelały je na HuiOne Guarantee, internetowy rynek związany z kambodżańską grupą HuiOne, znanym ułatwiającym cyberprzestępstwa.

Finance Feeds donosi, że DMM Bitcoin ogłosił plany zakończenia działalności, zawierając porozumienie z SBI VC Trade, kryptowalutowym oddziałem japońskiego giganta finansowego – SBI Group, na przekazanie swoich aktywów i kont klientów do marca 2025 roku.

Finance Feeds dodatkowo zauważa, że DMM Bitcoin wyjaśnił, iż mimo że majątek powierzony jest przekazywany do SBI, pozycje z handlu z dźwignią nie będą uwzględnione. Klienci muszą zamknąć wszystkie otwarte pozycje przed przekazaniem. Giełda potwierdziła, że zamknie swoją działalność po zakończeniu transferu.

Te ujawnienie podkreśla trwające ryzyko cyberbezpieczeństwa w sektorze Web3, z TraderTraitor pozostającym nieustającym zagrożeniem dla globalnego krajobrazu kryptowalut.