Într-un dezvoltare semnificativă, autoritățile japoneze și cele din SUA au atribuit oficial furtul a 308 milioane de dolari în criptomonedă de la DMM Bitcoin în mai 2024 actorilor cibernetici nord-coreeni. Acest incident alarmant subliniază amenințarea continuă reprezentată de grupurile de hacking sofisticate legate de regimul nord-coreean.
Activitatea de Amenințare TraderTraitor 🚨
Furtul este asociat cu un cluster de activitate de amenințare cibernetică cunoscut sub numele de TraderTraitor, care este urmărit și sub diverse aliasuri, inclusiv Jade Sleet, UNC4899 și Slow Pisces. Conform alertelor emise de Biroul Federal de Investigație al SUA (FBI), Centrul de Combatere a Criminalității Cibernetice al Departamentului Apărării și Agenția Națională de Poliție din Japonia, TraderTraitor este caracterizat prin tactici de inginerie socială țintite, destinate mai multor angajați din aceeași organizație simultan.
DMM Bitcoin, o bursa de criptomonede proeminentă, și-a suspendat operațiunile după atac, subliniind impactul sever al acestei criminalități cibernetice.
Modul de operare al TraderTraitor 🕵️♂️
TraderTraitor a fost activ din cel puțin 2020 și are o istorie de a viza companiile din sectorul Web3. Grupul folosește diverse tactici pentru a atrage victimele să descarce aplicații de criptomonedă infectate cu malware, facilitând în cele din urmă furtul. Atacurile recente au inclus campanii de inginerie socială cu tematică de angajare, unde hackerii se prezintă ca recrutori sau colaboratori pe proiecte GitHub, ducând la desfășurarea de pachete npm malițioase.
Un incident notabil a implicat infiltrarea sistemelor JumpCloud, unde grupul a obținut acces neautorizat la clienții țintiți în aval.
Atacul asupra DMM Bitcoin: O analiză detaliată 🔍
FBI a documentat un lanț specific de atacuri care a început în martie 2024 când un actor TraderTraitor a contactat un angajat de la Ginco, o companie de software pentru portofele de criptomonedă cu sediul în Japonia. Posing ca un recrutor, atacatorul a trimis un URL către un script Python malițios găzduit pe GitHub, deghizat ca un test pre-angajare.
Victima, care avea acces la sistemul de gestionare a portofelelor Ginco, a compromis din neatenție sistemul lor copiazând codul malițios pe pagina lor personală de GitHub. Această breșă a permis adversarului să exploateze informațiile cookie-urilor de sesiune, impersonând angajatul compromis și câștigând acces la sistemul de comunicații necriptate al Ginco.
La sfârșitul lunii mai 2024, atacatorii au folosit cel mai probabil această acces pentru a manipula o cerere legitimate de tranzacție din partea unui angajat DMM, rezultând în furtul a 4,502.9 BTC, evaluat la 308 milioane de dolari la acel moment. Fondurile furate au fost transferite ulterior în portofele controlate de TraderTraitor.
Constatările Chainalysis și mișcarea fondurilor 💸
După incident, firma de inteligență blockchain Chainalysis a confirmat că atacul a fost într-adevăr legat de actorii de amenințare nord-coreeni. Aceștia au raportat că atacatorii au exploatat vulnerabilitățile din infrastructura DMM Bitcoin pentru a efectua retrageri neautorizate.
Criptomoneda furată a fost mutată prin mai multe adrese intermediare înainte de a ajunge la un serviciu de amestecare Bitcoin CoinJoin, care a ascuns urma fondurilor. După amestecare, o parte din activele furate au fost transferate prin diverse servicii de bridging, ajungând în cele din urmă la HuiOne Guarantee, o piață online asociată cu conglomeratul cambodgian HuiOne Group, cunoscut pentru facilitarea crimelor cibernetice.
Amenințări continue din partea actorilor cibernetici nord-coreeni 🔒
Situația este și mai complicată de activitățile unui alt actor de amenințare nord-coreean, codificat Andariel, care face parte din grupul mai mare Lazarus. Rapoartele recente de la Centrul de Inteligență de Securitate AhnLab (ASEC) indică faptul că Andariel desfășoară backdoor-ul SmallTiger în atacuri vizând soluții de gestionare a activelor și centralizare a documentelor din Coreea de Sud.$XRP
$BTC
Concluzie
Furtul de 308 milioane de dolari de la DMM Bitcoin servește ca un memento puternic al amenințărilor persistente și în evoluție reprezentate de actorii cibernetici nord-coreeni. Pe măsură ce aceste grupuri continuă să își rafineze tacticile și să exploateze vulnerabilitățile din domeniul criptomonedelor, este crucial ca organizațiile să își consolideze măsurile de securitate cibernetică și să rămână vigilente împotriva atacurilor potențiale.
Acest incident subliniază importanța protocoalelor de securitate robuste și necesitatea unei conștientizări continue în peisajul în continuă schimbare al criptomonedelor și amenințărilor cibernetice.