O FBI e outras agências vincularam um grupo de atores de ameaças norte-coreanos, conhecidos como ‘Tradertraitor’, ao hack de US$ 308 milhões de maio de 2023 da DMM, uma bolsa japonesa. Os hackers usaram engenharia social para acessar comunicações internas e perpetrar o ataque.
FBI revela conexão coreana em hack multimilionário do DMM
O Federal Bureau of Investigation (FBI), em uma investigação conjunta com o Centro de Crimes Cibernéticos do Departamento de Defesa e a Agência Nacional de Polícia do Japão, conseguiu revelar o envolvimento de um elemento coreano no hack de maio da DMM, uma bolsa de criptomoedas japonesa.
O hack, que deixou um saldo negativo de mais de 4.000 BTC em carteiras DMM avaliadas em 308 milhões de dólares na época, foi obra de um grupo de hackers coreanos conhecido como “Tradertraitor”, famoso por suas abordagens peculiares a essas operações.
Leia mais: Mais de 300 milhões de dólares em BTC roubados da bolsa japonesa DMM Bitcoin em uma grande violação de segurança.
De acordo com o FBI, um indivíduo ligado a este grupo contatou um funcionário da Ginco, um provedor de carteira de criptomoedas baseado no Japão, oferecendo uma nova posição de emprego. O ator coreano enviou à vítima um endereço da internet para um teste de pré-emprego como parte desta proposta. A vítima copiou isso para sua conta pessoal do Github e comprometeu o acesso ao seu sistema.
Exploiting this vulnerability, atores coreanos se passaram pelo empregado comprometido usando esse acesso e conseguiram manipular uma transação legítima solicitada por um funcionário da DMM, redirecionando os fundos para carteiras controladas pelo Tradertraitor.
As consequências desse roubo se mostraram fatais para a bolsa que atualmente está sendo liquidada e espera-se que seja comprada pela SBI VC Trade, uma bolsa do Grupo SBI.
O FBI já havia perfilado o modus operandi do Tradertraitor, explicando seu uso intenso de engenharia social para acessar empresas e organizações-alvo. Em abril, um alerta conjunto explicou que o grupo estava visando instituições ligadas a criptomoedas, usando mensagens direcionadas a funcionários como vetor.
A nota de aconselhamento declarou:
As mensagens frequentemente imitam um esforço de recrutamento e oferecem empregos bem remunerados para atrair os destinatários a baixar aplicativos de criptomoeda infectados com malware, que o governo dos EUA se refere como “TraderTraitor.”
