Федеральне бюро розслідувань США виявило, що за масштабною кібератакою на японську криптовалютну біржу DMM Bitcoin стоїть північнокорейське хакерське угруповання TraderTraitor (відоме також як Jade Sleet, UNC4899 та Slow Pisces). Внаслідок інциденту, що стався у травні 2024 року, зловмисники заволоділи 4502,9 біткоїнами, що на момент атаки складало приблизно 308 мільйонів доларів США.
Складна операція соціальної інженерії як початок атаки
За даними спільного розслідування ФБР та японської поліції, кібератака розпочалася наприкінці березня 2024 року з ретельно спланованої операції соціальної інженерії. Хакери використали професійну мережу LinkedIn для встановлення контакту з працівником компанії Ginco – розробника програмного забезпечення для криптовалютних гаманців.
Механізм компрометації через фіктивну співбесіду
Зловмисники, маскуючись під рекрутера, надіслали співробітнику Ginco, який мав доступ до системи управління криптогаманцями, тестове завдання через платформу GitHub. При виконанні завдання жертва несвідомо активувала шкідливий Python-код, що призвело до компрометації робочого комп’ютера та подальшого проникнення хакерів в інфраструктуру Ginco.
Використання викрадених облікових даних для проведення атаки
У середині травня 2024 року учасники TraderTraitor використали викрадені сесійні cookie-файли для імпersonації скомпрометованого співробітника, отримавши доступ до незашифрованої системи комунікації Ginco. Це дозволило зловмисникам маніпулювати легітимними транзакційними запитами від DMM Bitcoin, що врешті-решт призвело до викрадення криптовалюти.
Вплив на криптовалютну індустрію та висновки для безпеки
DMM Bitcoin була змушена тимчасово призупинити ключові операції, включаючи реєстрацію нових користувачів, виведення коштів та торгівельні операції. Цей інцидент яскраво демонструє критичну важливість комплексного підходу до кібербезпеки в криптовалютній індустрії, особливо щодо захисту від атак через ланцюг постачання та методів соціальної інженерії.
Даний випадок підкреслює необхідність посилення заходів безпеки при взаємодії з третіми сторонами у криптовалютній екосистемі. Особливу увагу слід приділяти верифікації співбесід про роботу та ретельному аналізу будь-якого стороннього коду перед його виконанням у корпоративному середовищі. Організаціям рекомендується впровадити багаторівневу систему перевірки автентичності та регулярно проводити навчання персоналу з питань кібербезпеки.
