Em um desenvolvimento significativo, as autoridades japonesas e dos EUA atribuíram oficialmente o roubo de 308 milhões de dólares em criptomoedas da DMM Bitcoin em maio de 2024 a atores cibernéticos da Coreia do Norte. Este alarmante incidente destaca a ameaça contínua apresentada por grupos de hackers sofisticados ligados ao regime norte-coreano.
Atividade de Ameaça do TraderTraitor 🚨
O roubo está associado a um cluster de atividade de ameaça cibernética conhecido como TraderTraitor, que também é rastreado sob vários nomes, incluindo Jade Sleet, UNC4899 e Slow Pisces. De acordo com o alerta emitido pelo FBI, pelo Centro de Crimes Cibernéticos do Departamento de Defesa e pela Agência Nacional de Polícia do Japão, o TraderTraitor é caracterizado por táticas de engenharia social direcionadas a vários funcionários da mesma organização simultaneamente.
A DMM Bitcoin, uma proeminente exchange de criptomoedas, encerrou suas operações após o hack, sublinhando o impacto severo deste crime cibernético.
Modo de Operação do TraderTraitor 🕵️♂️
O TraderTraitor tem estado ativo desde pelo menos 2020 e tem um histórico de direcionar empresas no setor Web3. O grupo emprega várias táticas para atrair vítimas a baixar aplicativos de criptomoedas carregados de malware, facilitando, em última instância, o roubo. Ataques recentes incluíram campanhas de engenharia social com tema de emprego, onde os hackers se fazem passar por recrutadores ou colaboradores em projetos do GitHub, levando à implantação de pacotes npm maliciosos.
Um incidente notável envolveu a infiltração dos sistemas da JumpCloud, onde o grupo obteve acesso não autorizado a clientes downstream.
O Ataque à DMM Bitcoin: Uma Análise Detalhada 🔍
O FBI documentou uma cadeia de ataque específica que começou em março de 2024, quando um ator do TraderTraitor contatou um funcionário da Ginco, uma empresa de software de carteira de criptomoedas baseada no Japão. Fingindo ser um recrutador, o atacante enviou um URL para um script Python malicioso hospedado no GitHub, disfarçado como um teste pré-emprego.
A vítima, que tinha acesso ao sistema de gerenciamento de carteiras da Ginco, comprometeu inadvertidamente seu sistema ao copiar o código malicioso para sua página pessoal do GitHub. Essa violação permitiu que o adversário explorasse informações de cookie de sessão, se passando pelo funcionário comprometido e ganhando acesso ao sistema de comunicações não criptografadas da Ginco.
No final de maio de 2024, os atacantes provavelmente usaram esse acesso para manipular um pedido de transação legítimo de um funcionário da DMM, resultando no roubo de 4.502,9 BTC, avaliados em 308 milhões de dólares na época. Os fundos roubados foram posteriormente transferidos para carteiras controladas pelo TraderTraitor.
Constatações da Chainalysis e Movimento de Fundos 💸
Após o incidente, a empresa de inteligência de blockchain Chainalysis confirmou que o hack estava de fato ligado a atores de ameaça da Coreia do Norte. Eles relataram que os atacantes exploraram vulnerabilidades na infraestrutura da DMM Bitcoin para executar retiradas não autorizadas.
A criptomoeda roubada foi movida através de vários endereços intermediários antes de chegar a um Serviço de Mistura de Bitcoin CoinJoin, que ocultou o rastro dos fundos. Após a mistura, uma parte dos ativos roubados foi transferida através de vários serviços de ponte, acabando por chegar ao HuiOne Guarantee, um mercado online associado ao conglomerado cambojano HuiOne Group, conhecido por facilitar crimes cibernéticos.
Ameaças Contínuas de Atores Cibernéticos da Coreia do Norte 🔒
A situação é ainda mais complicada pelas atividades de outro ator de ameaça norte-coreano, codinome Andariel, que faz parte do maior grupo Lazarus. Relatórios recentes do Centro de Inteligência de Segurança AhnLab (ASEC) indicam que Andariel está implantando a porta dos fundos SmallTiger em ataques direcionados a soluções de gerenciamento de ativos e centralização de documentos na Coreia do Sul.$XRP
$BTC
Conclusão
O roubo de 308 milhões de dólares da DMM Bitcoin serve como um lembrete contundente das ameaças persistentes e em evolução apresentadas por atores cibernéticos da Coreia do Norte. À medida que esses grupos continuam a refinar suas táticas e explorar vulnerabilidades no espaço das criptomoedas, é crucial que as organizações fortaleçam suas medidas de cibersegurança e permaneçam vigilantes contra possíveis ataques.
Este incidente destaca a importância de protocolos de segurança robustos e a necessidade de conscientização contínua no cenário em rápida mudança de criptomoedas e ameaças cibernéticas.