Dans un développement significatif, les autorités japonaises et américaines ont officiellement attribué le vol de 308 millions de dollars en cryptomonnaie de DMM Bitcoin en mai 2024 à des acteurs cybernétiques nord-coréens. Cet incident alarmant met en lumière la menace continue posée par des groupes de piratage sophistiqués liés au régime nord-coréen.
Activité de menace TraderTraitor 🚨
Le vol est associé à un cluster d'activité de menace cybernétique connu sous le nom de TraderTraitor, qui est également suivi sous divers alias, notamment Jade Sleet, UNC4899 et Slow Pisces. Selon l'alerte émise par le Bureau fédéral d'enquête des États-Unis (FBI), le Centre de cybercriminalité du ministère de la Défense et l'Agence nationale de police du Japon, TraderTraitor se caractérise par des tactiques d'ingénierie sociale ciblées visant plusieurs employés au sein de la même organisation simultanément.
DMM Bitcoin, un échange de cryptomonnaie de premier plan, a depuis fermé ses opérations suite au piratage, soulignant l'impact sévère de ce cybercrime.
Modus Operandi de TraderTraitor 🕵️♂️
TraderTraitor est actif depuis au moins 2020 et a un historique de ciblage d'entreprises dans le secteur Web3. Le groupe utilise diverses tactiques pour inciter les victimes à télécharger des applications de cryptomonnaie contenant des logiciels malveillants, facilitant ainsi le vol. Les attaques récentes ont inclus des campagnes d'ingénierie sociale thématiques sur l'emploi, où les hackers se font passer pour des recruteurs ou des collaborateurs sur des projets GitHub, menant au déploiement de paquets npm malveillants.
Un incident notable a impliqué l'infiltration des systèmes de JumpCloud, où le groupe a obtenu un accès non autorisé aux clients en aval.
L'attaque contre DMM Bitcoin : une analyse détaillée 🔍
Le FBI a documenté une chaîne d'attaque spécifique qui a commencé en mars 2024 lorsque qu'un acteur de TraderTraitor a contacté un employé de Ginco, une entreprise japonaise de logiciels de portefeuille de cryptomonnaie. Se faisant passer pour un recruteur, l'attaquant a envoyé une URL vers un script Python malveillant hébergé sur GitHub, déguisé en test de pré-emploi.
La victime, qui avait accès au système de gestion de portefeuille de Ginco, a involontairement compromis leur système en copiant le code malveillant sur sa page personnelle GitHub. Cette violation a permis à l'adversaire d'exploiter des informations sur les cookies de session, se faisant passer pour l'employé compromis et accédant au système de communication non chiffré de Ginco.
Fin mai 2024, les attaquants ont probablement utilisé cet accès pour manipuler une demande de transaction légitime d'un employé de DMM, ce qui a entraîné le vol de 4 502,9 BTC, d'une valeur de 308 millions de dollars à l'époque. Les fonds volés ont ensuite été transférés vers des portefeuilles contrôlés par TraderTraitor.
Constatations de Chainalysis et mouvement des fonds 💸
À la suite de l'incident, la société d'intelligence blockchain Chainalysis a confirmé que le piratage était effectivement lié à des acteurs de menace nord-coréens. Ils ont rapporté que les attaquants ont exploité des vulnérabilités dans l'infrastructure de DMM Bitcoin pour exécuter des retraits non autorisés.
La cryptomonnaie volée a été déplacée à travers plusieurs adresses intermédiaires avant d'atteindre un service de mixage Bitcoin CoinJoin, qui a obscurci la trace des fonds. Après le mélange, une partie des actifs volés a été transférée via divers services de pont, atterrissant finalement dans HuiOne Guarantee, un marché en ligne associé au conglomérat cambodgien HuiOne Group, connu pour faciliter les cybercrimes.
Menaces continues des acteurs cybernétiques nord-coréens 🔒
La situation est encore compliquée par les activités d'un autre acteur de menace nord-coréen, codé nommé Andariel, qui fait partie du plus grand groupe Lazarus. Des rapports récents du Centre de renseignement sur la sécurité AhnLab (ASEC) indiquent qu'Andariel déploie le backdoor SmallTiger dans des attaques ciblant des solutions de gestion d'actifs et de centralisation de documents sud-coréens.$XRP
$BTC
Conclusion
Le vol de 308 millions de dollars de DMM Bitcoin sert de rappel frappant des menaces persistantes et évolutives posées par des acteurs cybernétiques nord-coréens. Alors que ces groupes continuent de perfectionner leurs tactiques et d'exploiter les vulnérabilités dans l'espace des cryptomonnaies, il est crucial pour les organisations de renforcer leurs mesures de cybersécurité et de rester vigilantes face aux attaques potentielles.
Cet incident souligne l'importance de protocoles de sécurité robustes et la nécessité d'une sensibilisation continue dans le paysage en évolution rapide des cryptomonnaies et des menaces cybernétiques.