پلیس فدرال آمریکا (FBI) رسما اعلام کرده است که یک گروه هک کره شمالی موسوم به TraderTraitor، مبلغ 308 میلیون دلار را در ماه می 2024 از صرافی ژاپنی DMM Bitcoin به سرقت برده است.
این حمله از اواخر مارس 2024 آغاز شد، زمانی که یکی از اعضای TraderTraitor به عنوان یک استخدام کننده در LinkedIn ظاهر شد و یکی از کارمندان Ginco، یک شرکت ژاپنی کیف پول ارز دیجیتال را که به سیستم مدیریت کیف پول کارفرمای خود دسترسی داشت مورد هدف قرار داد.
هکر، یک لینک مخرب را به عنوان یک آزمایش مرتبط با فرصت شغلی برای این کارمند ارسال کرد تا منجر به نصب بدافزار بر روی سیستم قربانی شود. این تاکتیک در سال جاری در میان گروههای تهدید کننده کره شمالی بسیار محبوب بوده است!
قربانی یک قطعه کد مخرب پایتون را برای کپی کردن در صفحه شخصی GitHub خود دریافت کرد تا آزمایش را انجام دهد. در این مرحله، این کد کامپیوتر را آلوده کرد و به TraderTraitor اجازه داد تا به Ginco نفوذ کرده و سپس به سمت DMM حرکت کند.
هکر سپس اقدام به ربودن اطلاعات کوکی نشستها برای جعل هویت کارمند کرد و به ارتباطات رمزگذاری نشده Ginco و در نهایت به سیستم مدیریت کیف پول DMM Bitcoinدسترسی یافت. این موارد به هکر اجازه داد تا تراکنشها را دستکاری کرده و وجوه را به سمت کیف پولهای کنترل شده توسط TraderTraitor هدایت کند.
این عملیات منجر به سرقت تقریباً 4,502.9 بیت کوین شد که در آن زمان حدود 308 میلیون دلار ارزش داشت! ارز دیجیتال ربوده شده متعاقباً از طریق آدرسهای واسطهای مختلف و سرویسهای ترکیبی برای پنهان کردن منشأ آن هدایت شدهاند. در نهایت این پلتفرم مجبور شد تا ثبت حساب، برداشت ارز دیجیتال و تجارت را تا زمان تکمیل تحقیقات محدود کند.
FBI به همراه مرکز جرایم سایبری وزارت دفاع (DC3) و آژانس پلیس ملی ژاپن (NPA) به طور فعال در حال بررسی این نفوذ هستند. آنها تاکید کردهاند که این سرقت بخشی از روندی است که در آن هکرهای کره شمالی برای ایجاد درآمد برای دولت خود درگیر هستند. هکرهای کره شمالی تنها در سال 2024، بیش از ۱.۳۴ میلیارد دلار را در چندین نفوذ سایبری به سرقت بردهاند که بخش قابل توجهی از کل سرقتهای ارز دیجیتال در این سال را تشکیل میدهد!
