Το FBI συνδέει Βορειοκορεάτες χάκερ με ληστεία κρυπτογράφησης 308 εκατομμυρίων δολαρίων

Η βορειοκορεατική ομάδα χάκερ «TraderTraitor» έκλεψε κρυπτονομίσματα αξίας 308 εκατομμυρίων δολαρίων στην επίθεση στο ιαπωνικό ανταλλακτήριο DMM Bitcoin τον Μάιο.

Σε μια σύντομη ανάρτηση, το FBI απέδωσε την επίθεση στον συνδεδεμένο με το κράτος ηθοποιό απειλών TraderTraitor, ο οποίος επίσης παρακολουθείται ως Jade Sleet, UNC4899 και Slow Pisces.

Η ληστεία κρυπτονομισμάτων σημειώθηκε τον Μάιο του 2024 και ανάγκασε την πλατφόρμα να περιορίσει την εγγραφή λογαριασμού, τις αναλήψεις κρυπτονομισμάτων και τις συναλλαγές μέχρι την ολοκλήρωση των ερευνών.

Νωρίτερα αυτή την εβδομάδα, μια έκθεση από την εταιρεία πληροφοριών blockchain Chainalysis απέδωσε την επίθεση σε βορειοκορεάτες παράγοντες απειλών, αλλά δεν μοιράστηκε συγκεκριμένες λεπτομέρειες.

Αλυσίδα επίθεσης

Σε μια σύντομη ανακοίνωση, το FBI λέει ότι η επίθεση του TraderTraitor στο DMM Bitcoin ξεκίνησε στα τέλη Μαρτίου 2024, όταν ένας από τους εισβολείς προσποιήθηκε ότι ήταν νόμιμος στρατολόγος στο LinkedIn και πλησίασε έναν υπάλληλο της Ginco, μιας ιαπωνικής εταιρείας λογισμικού πορτοφολιών κρυπτονομισμάτων.

Ο χάκερ έστειλε στον υπάλληλο της Ginco, ο οποίος είχε πρόσβαση στο σύστημα διαχείρισης πορτοφολιού του εργοδότη του, μια πρόταση εργασίας που περιελάμβανε ένα τεστ πριν από την πρόσληψη στο GitHub. Αυτή η τακτική ήταν δημοφιλής στις βορειοκορεατικές ομάδες απειλών φέτος [1, 2].

Το θύμα έλαβε ένα κομμάτι κακόβουλου κώδικα Python για να το αντιγράψει στην προσωπική του σελίδα GitHub προκειμένου να πραγματοποιήσει τη δοκιμή. Ο κώδικας, ωστόσο, παραβίασε τον υπολογιστή και επέτρεψε στον TraderTraitor να διεισδύσει στο Ginco και στη συνέχεια να μετακινηθεί πλευρικά στο DMM.

“Μετά τα μέσα Μαΐου 2024, οι ηθοποιοί του TraderTraitor εκμεταλλεύτηκαν πληροφορίες cookie συνεδρίας για να μιμηθούν τον παραβιασμένο υπάλληλο και απέκτησαν επιτυχώς πρόσβαση στο μη κρυπτογραφημένο σύστημα επικοινωνίας της Ginco.” εξηγεί το FBI.

«Στα τέλη Μαΐου 2024, οι ηθοποιοί πιθανότατα χρησιμοποίησαν αυτήν την πρόσβαση για να χειραγωγήσουν ένα νόμιμο αίτημα συναλλαγής από έναν υπάλληλο της DMM, με αποτέλεσμα την απώλεια 4.502,9 BTC, αξίας 308 εκατομμυρίων δολαρίων τη στιγμή της επίθεσης», λέει η υπηρεσία.

Οι αρχές των ΗΠΑ παρακολουθούν τη δραστηριότητα του TraderTraitor από το 2022, όταν ο παράγοντας απειλών άρχισε να στοχεύει τον χώρο του blockchain με ψεύτικες εφαρμογές.

Το 2023, το GitHub προειδοποίησε για μια καμπάνια κοινωνικής μηχανικής που πραγματοποιήθηκε από τους συγκεκριμένους παράγοντες απειλών στην πλατφόρμα, με στόχο τους λογαριασμούς προγραμματιστών στους τομείς του blockchain, των κρυπτονομισμάτων, του διαδικτυακού τζόγου και της ασφάλειας στον κυβερνοχώρο.

Αργότερα, το FBI προειδοποίησε ότι ο TraderTraitor ετοιμαζόταν να εξαργυρώσει 1.580 Bitcoin (η αξία εκείνη την εποχή ήταν περίπου 41 εκατομμύρια δολάρια) που είχε κλαπεί από διάφορες πηγές εκείνο το έτος.