Vēl viens nozīmīgs attīstības solis ir tas, ka Japānas un ASV iestādes oficiāli ir saistījušas 308 miljonu dolāru vērtā kriptovalūtas zādzību no DMM Bitcoin 2024. gada maijā ar Ziemeļkorejas kibertelpas dalībniekiem. Šis satraucošais incidents uzsver pastāvīgo draudu, ko rada sarežģītas uzlaušanas grupas, kas saistītas ar Ziemeļkorejas režīmu.
TraderTraitor draudu aktivitāte 🚨
Zādzība ir saistīta ar kiberdraudu aktivitāšu grupu, kas pazīstama kā TraderTraitor, kura tiek izsekota arī ar dažādiem segvārdiem, tostarp Jade Sleet, UNC4899 un Slow Pisces. Saskaņā ar ASV Federālā izmeklēšanas biroja (FBI), Aizsardzības ministrijas Kiberdrošības noziegumu centra un Japānas Nacionālās policijas aģentūras izsūtīto brīdinājumu, TraderTraitor raksturo mērķtiecīgas sociālās inženierijas taktikas, kas vērstas uz vairākiem darbiniekiem tajā pašā organizācijā vienlaikus.
DMM Bitcoin, ievērojama kriptovalūtu birža, pēc uzbrukuma ir pārtraukusi darbību, uzsverot šī kibnozieguma nopietno ietekmi.
TraderTraitor modus operandi 🕵️♂️
TraderTraitor ir bijusi aktīva vismaz kopš 2020. gada un tai ir vēsture, kas saistīta ar uzņēmumu mērķēšanu Web3 sektorā. Grupa izmanto dažādas taktikas, lai pievilinātu upurus lejupielādēt ļaunprātīgas kriptovalūtu lietotnes, kas galu galā atvieglo zādzību. Jaunākie uzbrukumi ietvēra darba tēmas sociālās inženierijas kampaņas, kur uzbrucēji izlikās par rekrūtiem vai sadarbības dalībniekiem GitHub projektos, kas noveda pie ļaunprātīgu npm pakotņu izvietošanas.
Viens ievērojams incidents ietvēra JumpCloud sistēmu infiltrāciju, kur grupa ieguva neautorizētu piekļuvi mērķa apakšējo klientu sistēmām.
Uzbrukums DMM Bitcoin: detalizēts pārskats 🔍
FBI ir dokumentējusi konkrētu uzbrukumu ķēdi, kas sākās 2024. gada martā, kad TraderTraitor dalībnieks sazinājās ar darbinieku uzņēmumā Ginco, kas ir Japānā bāzēta kriptovalūtu maku programmatūras kompānija. Pārvēršoties par rekrūtu, uzbrucējs nosūtīja URL uz ļaunprātīgu Python skriptu, kas tika mitināts GitHub, maskējoties kā pirmsnodarbinātības tests.
Cietušais, kuram bija piekļuve Ginco maku pārvaldības sistēmai, neapzināti apdraudēja savu sistēmu, kopējot ļaunprātīgo kodu uz savu personīgo GitHub lapu. Šis pārkāpums ļāva pretiniekam izmantot sesijas sīkdatņu informāciju, izlikties par apdraudēto darbinieku un iegūt piekļuvi Ginco nesifratētajai komunikācijas sistēmai.
2024. gada beigās uzbrucēji, visticamāk, izmantoja šo piekļuvi, lai manipulētu ar likumīgu darījumu pieprasījumu no DMM darbinieka, kas rezultējās 4,502.9 BTC zādzībā, kas tajā laikā bija 308 miljonu dolāru vērtībā. Zagtie līdzekļi tika pārsūtīti uz makiem, kuriem kontrolēja TraderTraitor.
Chainalysis atklājumi un līdzekļu pārvietošana 💸
Pēc incidenta blokķēdes izlūkošanas firma Chainalysis apstiprināja, ka uzbrukums patiešām bija saistīts ar Ziemeļkorejas draudu dalībniekiem. Viņi ziņoja, ka uzbrucēji izmantoja ievainojamības DMM Bitcoin infrastruktūrā, lai veiktu neautorizētas izņemšanas.
Zagtā kriptovalūta tika pārvietota caur vairākiem starpniekadresēm, pirms nonāca Bitcoin CoinJoin miksēšanas pakalpojumā, kas slēpa līdzekļu pēdas. Pēc miksēšanas daļa no zagtajiem aktīviem tika pārsūtīta caur dažādiem tiltu pakalpojumiem, beidzot nonākot HuiOne Guarantee, tiešsaistes tirgū, kas saistīts ar Kambodžas konglomerātu HuiOne Group, kas pazīstams ar kibnoziegumu atvieglošanu.
Pastāvīgie draudi no Ziemeļkorejas kiberdalībniekiem 🔒
Situāciju vēl vairāk sarežģī cita Ziemeļkorejas draudu dalībnieka darbības, ar segvārdu Andariel, kas ir daļa no lielākas Lazarus grupas. Jaunākie ziņojumi no AhnLab Drošības izlūkošanas centra (ASEC) liecina, ka Andariel uzbrucēji izmanto SmallTiger aizmugurējo durvju uzbrukumos, kas vērsti uz Dienvidkorejas aktīvu pārvaldības un dokumentu centralizācijas risinājumiem.$XRP
$BTC
Secinājums
308 miljonu dolāru zādzība no DMM Bitcoin kalpo kā spilgts atgādinājums par pastāvīgiem un attīstošiem draudiem, ko rada Ziemeļkorejas kiberdalībnieki. Kamēr šīs grupas turpina pilnveidot savas taktikas un izmantot ievainojamības kriptovalūtu jomā, ir ļoti svarīgi, lai organizācijas pastiprinātu savus kiberdrošības pasākumus un paliktu modras pret potenciālajiem uzbrukumiem.
Šis incidents uzsver stingru drošības protokolu nozīmīgumu un nepieciešamību pēc pastāvīgas apziņas strauji mainīgajā kriptovalūtu un kiberdraudu ainavā.