L'FBI e altre agenzie hanno collegato un gruppo di attori minacciosi nordcoreani, noti come 'Tradertraitor', all'hack di 308 milioni di dollari di DMM nel maggio 2023. Gli hacker hanno utilizzato ingegneria sociale per accedere alle comunicazioni interne e perpetrare l'attacco.
L'FBI svela il collegamento coreano nell'hack multimilionario di DMM
L'FBI, in un'indagine congiunta con il Cyber Crime Center del Dipartimento della Difesa e l'Agenzia Nazionale di Polizia del Giappone, è riuscito a svelare il coinvolgimento di un elemento coreano nell'hack di maggio di DMM, un exchange di criptovalute giapponese.
L'hack, che ha lasciato un saldo negativo di oltre 4.000 BTC nei portafogli DMM valutati a 308 milioni di dollari all'epoca, è stato opera di un gruppo di hacker coreani noto come 'Tradertraitor', famoso per i suoi approcci peculiari a queste operazioni.
Leggi di più: Oltre 300 milioni di dollari in BTC rubati dall'exchange giapponese DMM Bitcoin in una grave violazione della sicurezza
Secondo l'FBI, un individuo collegato a questo gruppo ha contattato un dipendente di Ginco, un fornitore di portafogli di criptovalute basato in Giappone, offrendo una nuova posizione lavorativa. L'attore coreano ha inviato alla vittima un indirizzo internet per un test di pre-assunzione come parte di questa proposta. La vittima ha copiato questo sul suo account personale di Github e ha compromesso l'accesso al suo sistema.
Sfruttando questa vulnerabilità, gli attori coreani hanno impersonato il dipendente compromesso utilizzando questo accesso e sono riusciti a manipolare una transazione legittima richiesta da un dipendente DMM, reindirizzando i fondi verso portafogli controllati da Tradertraitor.
Le conseguenze di questo furto si sono rivelate fatali per l'exchange che attualmente è in liquidazione e ci si aspetta che venga acquistato da SBI VC Trade, un exchange del Gruppo SBI.
L'FBI aveva già profilato il modus operandi di Tradertraitor, spiegando il suo intenso utilizzo di ingegneria sociale per accedere ad aziende e organizzazioni mirate. Ad aprile, un avviso congiunto ha spiegato che il gruppo stava prendendo di mira istituzioni legate alle criptovalute, utilizzando messaggi diretti ai dipendenti come vettore.
La nota di avviso affermava:
I messaggi spesso imitano uno sforzo di reclutamento e offrono lavori ben retribuiti per indurre i destinatari a scaricare applicazioni di criptovalute infette da malware, che il governo degli Stati Uniti si riferisce come 'TraderTraitor.'
