Das FBI hat die nordkoreanische Hackergruppe TraderTraitor (auch bekannt als Jade Sleet, UNC4899 und Slow Pisces) als Verantwortliche für einen massiven Cyberangriff auf die japanische Kryptowährungsbörse DMM Bitcoin identifiziert. Bei dem Vorfall im Mai 2024 wurden 4502,9 Bitcoin im Wert von etwa 308 Millionen US-Dollar entwendet, was ihn zu einem der größten Kryptowährungsdiebstähle der jüngeren Geschichte macht.
Raffinierter Supply-Chain-Angriff über LinkedIn
Die gemeinsamen Ermittlungen von FBI und japanischer Polizei enthüllten eine hochkomplexe Angriffsstrategie, die Ende März 2024 mit gezieltem Social Engineering begann. Die Angreifer nutzten LinkedIn als Einstiegspunkt, um einen Mitarbeiter von Ginco, einem Entwickler von Kryptowährungs-Wallet-Software, anzusprechen.
Social Engineering durch gefälschtes Bewerbungsgespräch
Die Hacker täuschten einen Rekrutierungsprozess vor und sendeten dem Ginco-Mitarbeiter, der Zugriff auf Wallet-Management-Systeme hatte, eine GitHub-basierte Programmieraufgabe. Der arglose Mitarbeiter führte dabei unwissentlich schädlichen Python-Code aus, was zur Kompromittierung seines Arbeitsrechners und nachfolgend der gesamten Ginco-Infrastruktur führte.
Ausnutzung der kompromittierten Zugangsdaten
Mitte Mai 2024 verwendeten die Angreifer gestohlene Session-Cookies zur Identitätsübernahme des kompromittierten Mitarbeiters. Dies ermöglichte ihnen den Zugriff auf unverschlüsselte Kommunikationssysteme von Ginco und die Manipulation legitimer Transaktionsanfragen von DMM Bitcoin, was letztendlich zum Diebstahl der Kryptowährung führte.
Auswirkungen auf die Krypto-Industrie
Als direkte Folge des Angriffs musste DMM Bitcoin wesentliche Geschäftsaktivitäten temporär einstellen, darunter Neukundenregistrierungen, Auszahlungen sowie Spot- und Margin-Trading. Der Vorfall unterstreicht die wachsende Bedrohung durch staatlich unterstützte Hackergruppen und die Notwendigkeit verbesserter Sicherheitsmaßnahmen im Krypto-Sektor.
Dieser Vorfall verdeutlicht die zunehmende Sophistikation nordkoreanischer Cyberkrimineller und die kritische Bedeutung mehrschichtiger Sicherheitskonzepte. Unternehmen der Kryptobranche müssen ihre Sicherheitsprotokolle verstärken, insbesondere bei der Überprüfung von Drittanbietern und der Implementierung strenger Code-Review-Prozesse. Die Integration von Zero-Trust-Architekturen und kontinuierliche Mitarbeiterschulungen zu Social-Engineering-Taktiken sind essentiell, um ähnliche Angriffe in Zukunft zu verhindern.
