Федеральное бюро расследований США установило причастность северокорейской хакерской группировки TraderTraitor (также известной как Jade Sleet, UNC4899 и Slow Pisces) к масштабному взлому японской криптовалютной биржи DMM Bitcoin в мае 2024 года. В результате кибератаки злоумышленники похитили 4502,9 биткоина, что эквивалентно приблизительно 308 миллионам долларов США по курсу на момент инцидента.
Анатомия сложной кибератаки через цепочку поставок
Согласно совместному расследованию ФБР и Главного управления полиции Японии, атака началась в конце марта 2024 года с целенаправленной операции социальной инженерии. Злоумышленники использовали профессиональную социальную сеть LinkedIn для установления контакта с сотрудником компании Ginco — разработчика программного обеспечения для криптовалютных кошельков.
Механизм компрометации через фальшивое собеседование
Хакеры, действуя под видом рекрутера, направили сотруднику Ginco, имевшему доступ к системе управления криптовалютными кошельками, тестовое задание через платформу GitHub. При выполнении задания жертва непреднамеренно активировала вредоносный Python-код, что привело к компрометации рабочего компьютера и последующему проникновению злоумышленников в инфраструктуру Ginco.
Эксплуатация скомпрометированного доступа
В середине мая 2024 года участники TraderTraitor использовали похищенные сессионные cookie-файлы для имперсонации скомпрометированного сотрудника, получив доступ к незашифрованной системе коммуникации Ginco. Этот доступ позволил злоумышленникам манипулировать легитимными транзакционными запросами от DMM Bitcoin, что в конечном итоге привело к хищению криптовалюты.
Последствия для криптовалютной индустрии
В результате инцидента DMM Bitcoin была вынуждена временно приостановить ключевые операции, включая регистрацию новых пользователей, вывод средств, спотовую торговлю и маржинальные операции. Данный случай подчеркивает критическую важность комплексного подхода к кибербезопасности в криптовалютной индустрии, особенно в контексте защиты от атак через цепочку поставок и социальной инженерии.
Этот инцидент демонстрирует растущую изощренность северокорейских хакерских группировок и необходимость усиления мер безопасности при взаимодействии с третьими сторонами в криптовалютной экосистеме. Особое внимание следует уделять проверке подлинности собеседований о работе и тщательному анализу любого стороннего кода перед его выполнением в корпоративной среде.
