Dalam perkembangan yang signifikan, otoritas Jepang dan AS secara resmi mengaitkan pencurian $308 juta dalam cryptocurrency dari DMM Bitcoin pada Mei 2024 kepada aktor siber Korea Utara. Insiden yang mengkhawatirkan ini menunjukkan ancaman yang terus berlanjut yang ditimbulkan oleh kelompok peretas yang canggih yang terkait dengan rezim Korea Utara.

Aktivitas Ancaman TraderTraitor 🚨

Pencurian ini terkait dengan kelompok aktivitas ancaman siber yang dikenal sebagai TraderTraitor, yang juga dilacak di bawah berbagai nama samaran, termasuk Jade Sleet, UNC4899, dan Slow Pisces. Menurut peringatan yang dikeluarkan oleh Biro Investigasi Federal AS (FBI), Pusat Kejahatan Siber Departemen Pertahanan, dan Badan Kepolisian Nasional Jepang, TraderTraitor dicirikan oleh taktik rekayasa sosial yang ditargetkan yang ditujukan kepada beberapa karyawan dalam organisasi yang sama secara bersamaan.

DMM Bitcoin, sebuah bursa cryptocurrency terkemuka, sejak itu menutup operasinya setelah peretasan, menyoroti dampak serius dari kejahatan siber ini.

Modus Operandi TraderTraitor 🕵️‍♂️

TraderTraitor telah aktif sejak setidaknya 2020 dan memiliki sejarah menargetkan perusahaan di sektor Web3. Grup ini menggunakan berbagai taktik untuk membujuk korban agar mengunduh aplikasi cryptocurrency yang mengandung malware, yang pada akhirnya memfasilitasi pencurian. Serangan terbaru termasuk kampanye rekayasa sosial bertema pekerjaan, di mana para peretas menyamar sebagai perekrut atau kolaborator di proyek-proyek GitHub, yang mengarah pada penyebaran paket npm berbahaya.

Salah satu insiden yang mencolok melibatkan infiltrasi sistem JumpCloud, di mana kelompok tersebut mendapatkan akses tidak sah ke pelanggan hilir yang menjadi target.

Serangan terhadap DMM Bitcoin: Rincian Mendalam 🔍

FBI mendokumentasikan rantai serangan spesifik yang dimulai pada Maret 2024 ketika seorang aktor TraderTraitor menghubungi seorang karyawan di Ginco, sebuah perusahaan perangkat lunak dompet cryptocurrency yang berbasis di Jepang. Dengan menyamar sebagai perekrut, pelaku mengirimkan URL ke skrip Python berbahaya yang dihosting di GitHub, menyamar sebagai tes pra-kerja.

Korban, yang memiliki akses ke sistem manajemen dompet Ginco, secara tidak sengaja mengkompromikan sistem mereka dengan menyalin kode berbahaya ke halaman GitHub pribadi mereka. Pelanggaran ini memungkinkan lawan untuk mengeksploitasi informasi cookie sesi, menyamar sebagai karyawan yang terkompromikan dan mendapatkan akses ke sistem komunikasi Ginco yang tidak terenkripsi.

Pada akhir Mei 2024, para penyerang kemungkinan menggunakan akses ini untuk memanipulasi permintaan transaksi yang sah dari seorang karyawan DMM, yang mengakibatkan pencurian 4.502,9 BTC, yang bernilai $308 juta pada saat itu. Dana yang dicuri kemudian ditransfer ke dompet yang dikendalikan oleh TraderTraitor.

Temuan Chainalysis dan Pergerakan Dana 💸

Setelah insiden tersebut, perusahaan intelijen blockchain Chainalysis mengonfirmasi bahwa peretasan tersebut memang terkait dengan aktor ancaman Korea Utara. Mereka melaporkan bahwa para penyerang mengeksploitasi kerentanan dalam infrastruktur DMM Bitcoin untuk melakukan penarikan yang tidak sah.

Cryptocurrency yang dicuri dipindahkan melalui beberapa alamat perantara sebelum mencapai Layanan Pencampuran Bitcoin CoinJoin, yang menyamarkan jejak dana. Setelah dicampur, sebagian dari aset yang dicuri ditransfer melalui berbagai layanan penghubung, akhirnya mendarat di HuiOne Guarantee, sebuah pasar online yang terkait dengan konglomerat Kamboja HuiOne Group, yang dikenal karena memfasilitasi kejahatan siber.

Ancaman Berkelanjutan dari Aktor Siber Korea Utara 🔒

Situasi semakin rumit oleh aktivitas aktor ancaman Korea Utara lainnya, yang dikenal dengan nama sandi Andariel, yang merupakan bagian dari kelompok yang lebih besar, Lazarus Group. Laporan terbaru dari Pusat Intelijen Keamanan AhnLab (ASEC) menunjukkan bahwa Andariel menggunakan pintu belakang SmallTiger dalam serangan yang menargetkan solusi manajemen aset dan sentralisasi dokumen di Korea Selatan.$XRP

$BTC

Kesimpulan

Pencurian $308 juta dari DMM Bitcoin menjadi pengingat yang jelas tentang ancaman yang terus-menerus dan berkembang yang ditimbulkan oleh aktor siber Korea Utara. Saat kelompok-kelompok ini terus memperbaiki taktik mereka dan mengeksploitasi kerentanan di ruang cryptocurrency, penting bagi organisasi untuk memperkuat langkah-langkah keamanan siber mereka dan tetap waspada terhadap potensi serangan.

Insiden ini menyoroti pentingnya protokol keamanan yang kuat dan kebutuhan akan kesadaran yang berkelanjutan dalam lanskap cryptocurrency dan ancaman siber yang cepat berubah.