In einer bedeutenden Entwicklung haben japanische und US-Behörden den Diebstahl von 308 Millionen Dollar in Kryptowährung von DMM Bitcoin im Mai 2024 offiziell nordkoreanischen Cyber-Akteuren zugeordnet. Dieser alarmierende Vorfall hebt die anhaltende Bedrohung hervor, die von raffinierten Hackergruppen ausgeht, die mit dem nordkoreanischen Regime in Verbindung stehen.
TraderTraitor Bedrohungsaktivität 🚨
Der Diebstahl wird mit einem Cluster von Cyber-Bedrohungsaktivitäten in Verbindung gebracht, das als TraderTraitor bekannt ist und auch unter verschiedenen Aliasnamen wie Jade Sleet, UNC4899 und Slow Pisces verfolgt wird. Laut dem Alarm, der von dem US-amerikanischen Federal Bureau of Investigation (FBI), dem Cyber Crime Center des Verteidigungsministeriums und der National Police Agency of Japan ausgegeben wurde, zeichnet sich TraderTraitor durch gezielte Social Engineering-Taktiken aus, die darauf abzielen, mehrere Mitarbeiter innerhalb derselben Organisation gleichzeitig zu manipulieren.
DMM Bitcoin, eine prominente Kryptowährungsbörse, hat nach dem Hack den Betrieb eingestellt, was die schweren Auswirkungen dieses Cyberverbrechens verdeutlicht.
Modus Operandi von TraderTraitor 🕵️♂️
TraderTraitor ist mindestens seit 2020 aktiv und hat eine Geschichte von Angriffen auf Unternehmen im Web3-Sektor. Die Gruppe verwendet verschiedene Taktiken, um Opfer dazu zu verleiten, mit Malware versehene Kryptowährungsanwendungen herunterzuladen, was letztendlich den Diebstahl erleichtert. Jüngste Angriffe umfassten jobbezogene Social Engineering-Kampagnen, bei denen die Hacker sich als Personalvermittler oder Mitarbeiter an GitHub-Projekten ausgaben, was zur Verbreitung bösartiger npm-Pakete führte.
Ein bemerkenswerter Vorfall betraf die Infiltration der Systeme von JumpCloud, wo die Gruppe unbefugten Zugriff auf nachgelagerte Kunden erlangte.
Der Angriff auf DMM Bitcoin: Eine detaillierte Analyse 🔍
Das FBI dokumentierte eine spezifische Angriffskette, die im März 2024 begann, als ein TraderTraitor-Akteur einen Mitarbeiter von Ginco, einem in Japan ansässigen Unternehmen für Kryptowährungs-Wallet-Software, kontaktierte. Der Angreifer gab sich als Personalvermittler aus und sendete einen URL-Link zu einem bösartigen Python-Skript, das auf GitHub gehostet wurde und sich als Eignungstest vor der Anstellung tarnte.
Das Opfer, das Zugang zum Wallet-Management-System von Ginco hatte, kompromittierte versehentlich sein System, indem es den bösartigen Code auf seine persönliche GitHub-Seite kopierte. Diese Sicherheitsverletzung ermöglichte es dem Gegner, Informationen zu Sitzungscookies auszunutzen, sich als den kompromittierten Mitarbeiter auszugeben und Zugang zu Ginco's unverschlüsseltem Kommunikationssystem zu erhalten.
Ende Mai 2024 nutzten die Angreifer wahrscheinlich diesen Zugang, um eine legitime Transaktionsanfrage eines DMM-Mitarbeiters zu manipulieren, was zum Diebstahl von 4.502,9 BTC führte, die zu diesem Zeitpunkt 308 Millionen Dollar wert waren. Die gestohlenen Gelder wurden anschließend auf Wallets übertragen, die von TraderTraitor kontrolliert wurden.
Chainalysis-Ergebnisse und Geldbewegung 💸
Nach dem Vorfall bestätigte die Blockchain-Intelligence-Firma Chainalysis, dass der Hack tatsächlich mit nordkoreanischen Bedrohungsakteuren in Verbindung stand. Sie berichteten, dass die Angreifer Schwachstellen in der Infrastruktur von DMM Bitcoin ausnutzten, um unbefugte Abhebungen durchzuführen.
Die gestohlene Kryptowährung wurde durch mehrere Zwischenadressen bewegt, bevor sie einen Bitcoin CoinJoin Mixing Service erreichte, der die Spur der Gelder verschleierte. Nach dem Mischen wurde ein Teil der gestohlenen Vermögenswerte über verschiedene Brückendienste transferiert, was letztendlich in HuiOne Guarantee landete, einem Online-Marktplatz, der mit dem kambodschanischen Konglomerat HuiOne Group verbunden ist und für die Ermöglichung von Cyberverbrechen bekannt ist.
Anhaltende Bedrohungen durch nordkoreanische Cyber-Akteure 🔒
Die Situation wird zusätzlich durch die Aktivitäten eines anderen nordkoreanischen Bedrohungsakteurs, mit dem Codenamen Andariel, kompliziert, der Teil der größeren Lazarus-Gruppe ist. Jüngste Berichte des AhnLab Security Intelligence Center (ASEC) deuten darauf hin, dass Andariel das SmallTiger-Hintertür-Tool in Angriffen einsetzt, die sich gegen südkoreanische Vermögensverwaltungs- und Dokumentenzentralisierungslösungen richten.$XRP
$BTC
Fazit
Der Diebstahl von 308 Millionen Dollar von DMM Bitcoin dient als eindringliche Erinnerung an die anhaltenden und sich entwickelnden Bedrohungen, die von nordkoreanischen Cyber-Akteuren ausgehen. Während diese Gruppen weiterhin ihre Taktiken verfeinern und Schwachstellen im Kryptowährungsbereich ausnutzen, ist es entscheidend, dass Organisationen ihre Cybersicherheitsmaßnahmen verstärken und wachsam gegenüber potenziellen Angriffen bleiben.
Dieser Vorfall hebt die Bedeutung robuster Sicherheitsprotokolle und die Notwendigkeit eines ständigen Bewusstseins in der sich schnell verändernden Landschaft von Kryptowährung und Cyber-Bedrohungen hervor.