Хакеры из Северной Кореи связаны с ограблением биткоинов DMM на сумму 305 миллионов долларов, подтверждают власти.

ФБР, Национальное полицейское управление Японии и Центр борьбы с киберпреступностью Министерства обороны США определили хакеров, связанных с Северной Кореей, как организаторов кибератаки на японскую криптовалютную биржу DMM Bitcoin в мае 2024 года, ущерб от которой составил $305 миллионов.

Совместное заявление, опубликованное 23 декабря, приписывает прорыв группе угроз TraderTraitor, также известной как Jade Sleet, UNC4899 и Slow Pisces.

Hacker News объясняет, что TraderTraitor, активный как минимум с 2020 года, известен своей специализацией на Web3 компаниях с помощью вредоносных приложений для криптовалют. Группа часто использует кампании социальной инженерии, основанные на тематике работы, или притворяется, что сотрудничает над проектами на GitHub, чтобы развернуть вредоносные пакеты npm и облегчить воровство.

Власти раскрыли, что причиной взлома DMM Bitcoin стала атака социальной инженерии на Ginco, японскую компанию-разработчика программного обеспечения для криптовалютного кошелька. В марте северокорейский агент, выдающий себя за рекрутера LinkedIn, поделился вредоносным скриптом на Python, замаскированным под предварительный тестирование перед трудоустройством, с сотрудником Ginco.

Когда сотрудник скопировал скрипт в свой личный аккаунт на GitHub, это привело к утечке чувствительных данных сессионных cookie, что позволило хакеру выдать себя за сотрудника и проникнуть в систему связи Ginco.

К маю, злоумышленник использовал свой доступ для манипулирования законной транзакцией, инициированной сотрудником DMM Bitcoin, в результате чего украл 4,502.9 BTC, стоимостью $305 миллионов.

Компания Chainalysis, специализирующаяся на исследованиях в области блокчейна, подтвердила результаты, объяснив, как злоумышленники использовали уязвимости инфраструктуры для откачки средств.

Они отмывали украденную криптовалюту через промежуточные адреса, сервис смешивания Bitcoin CoinJoin и мостовые сервисы, прежде чем перевести её на HuiOne Guarantee, онлайн-рынок, связанный с камбоджийской группой HuiOne, известной как пособник в совершении киберпреступлений.

Finance Feeds сообщает, что DMM Bitcoin объявил о планах прекратить свою деятельность, достигнув соглашения с SBI VC Trade, криптовалютным подразделением японского финансового гиганта SBI Group, о передаче своих активов и клиентских счетов к марту 2025 года.

Finance Feeds также отмечает, что DMM Bitcoin уточнило, что хотя активы в наблюдении переводятся в SBI, позиции в кредитном трейдинге включены не будут. Клиентам необходимо закрыть все открытые позиции до момента передачи. Биржа подтвердила, что прекратит свою работу после завершения процесса передачи.

Это раскрытие подчеркивает постоянные риски кибербезопасности в секторе Web3, с TraderTraitor, который остается устойчивой угрозой, нацеленной на глобальный ландшафт криптовалюты.