307 миллионов украдены: следы атаки на DMM Bitcoin ведут в КНДР

Северокорейские хакеры похитили криптовалюту на сумму 308 миллионов долларов у японской компании Bitcoin.DMM.com. Об этом сообщили Федеральное бюро расследований США, Центр киберпреступности Министерства обороны и Национальное полицейское агентство Японии.

За атакой стоит хакерская группировка TraderTraitor, также известная под названиями Jade Sleet, UNC4899 и Slow Pisces. Злоумышленники использовали методы социальной инженерии, одновременно нацеливаясь на нескольких сотрудников компании.

В конце марта 2024 года северокорейский хакер связался с сотрудником японской компании Ginco через LinkedIn, представившись рекрутером. Ginco занимается разработкой программного обеспечения для корпоративных криптовалютных кошельков.

Злоумышленник отправил сотруднику, имевшему доступ к системе управления кошельками Ginco, вредоносный Python-скрипт под видом предварительного теста для трудоустройства. Скрипт находился на странице GitHub. Жертва скопировала код на свою личную страницу GitHub, после чего произошло заражение.

В середине мая 2024 года участники группировки TraderTraitor получили несанкционированный доступ к системе коммуникаций Ginco. Злоумышленники использовали данные сессионных cookie-файлов, что позволило им действовать в системе от имени скомпрометированного сотрудника.

В конце того же месяца хакеры вмешались в процесс обработки легитимного запроса на транзакцию, поступившего от сотрудника DMM. Благодаря этому злоумышленникам удалось похитить 4502,9 биткоина, что на момент атаки составляло 308 миллионов долларов США. Все похищенные средства были переведены на криптовалютные кошельки, находящиеся под контролем группировки TraderTraitor.

ФБР, Национальное полицейское агентство Японии и другие правительственные и международные партнёры продолжают работу по выявлению и противодействию незаконной деятельности Северной Кореи, включая киберпреступления и кражу криптовалюты, направленные на получение средств для режима.

В начале ноябре 2024 года компания DMM объявила о закрытии криптовалютного сервиса DMM Bitcoin. Представители организации сообщили, что все клиентские аккаунты и активы будут переданы криптоплатформе SBI VC Trade, дочерней структуре финансового конгломерата SBI Group. Закрытие сервиса ожидается в марте 2025 года, после завершения передачи, согласованной в ноябре 2024 года.

Public Release.