W maju 2024 roku doszło do jednego z bardziej spektakularnych cyberataków w historii kryptowalut. Japońskie oraz amerykańskie władze oficjalnie przypisały kradzież kryptowaluty o wartości 308 milionów dolarów z firmy DMM Bitcoin północnokoreańskim cyberprzestępcom. Atak ten został powiązany z działalnością grupy TraderTraitor, znanej również pod innymi kryptonimami, takimi jak Jade Sleet, UNC4899 oraz Slow Pisces.
Grupa TraderTraitor to szeroko znana, niezwykle wyrafinowana jednostka cyberprzestępcza, której działania są powiązane z reżimem w Korei Północnej. Specjalizuje się w wykradaniu środków z firm działających w branży Web3. Ich modus operandi często opiera się na zaawansowanych atakach inżynierii społecznej, skierowanych jednocześnie do wielu pracowników tej samej firmy. Celem tego rodzaju działań jest nakłonienie ofiar do pobrania zawirusowanego oprogramowania lub skryptów, co umożliwia atakującym dalsze przejęcie systemów.
Atak na DMM Bitcoin został ogłoszony przez FBI, Centrum Przestępczości Cybernetycznej Departamentu Obrony Stanów Zjednoczonych oraz Japońską Agencję Policyjną. Włamanie okazało się na tyle destrukcyjne, że DMM Bitcoin musiało wkrótce potem ogłosić zakończenie działalności. Jak wykazało śledztwo, atak rozpoczął się w marcu 2024 roku, gdy północnokoreańscy cyberprzestępcy zaatakowali japońską firmę Ginco, zajmującą się tworzeniem oprogramowania dla portfeli kryptowalutowych.
Grupa TraderTraitor, podszywając się pod rekrutera, skontaktowała się z jednym z pracowników Ginco i przekazała mu link do fałszywego testu rekrutacyjnego. Link był powiązany z zainfekowanym skryptem Python, zamieszczonym na GitHubie. Pracownik, nieświadomy zagrożenia, pobrał kod i skopiował go na swoje prywatne repozytorium, co umożliwiło napastnikom dalszy dostęp do systemów firmy.
Kulminacja ataku miała miejsce w maju 2024 roku. Hakerzy wykorzystali dane sesji skradzione od pracownika, aby uzyskać dostęp do systemu komunikacji w Ginco. Dzięki temu mogli manipulować autentycznym wnioskiem o transakcję, przesłanym przez pracownika DMM Bitcoin. W wyniku tej manipulacji doszło do kradzieży 4,502,9 BTC, co w tamtym czasie było warte 308 milionów dolarów. Skradzione środki trafiły na portfele kontrolowane przez grupę TraderTraitor.
Kradzież została dodatkowo potwierdzona przez Chainalysis, renomowaną firmę zajmującą się analizą blockchaina. W swoim raporcie wskazała ona, że atakujący wykorzystali luki w infrastrukturze, by przeprowadzić nieautoryzowane wypłaty. Tak zdobyte środki były następnie prane przez różnorodne usługi, w tym Bitcoin CoinJoin Mixing Service, co miało na celu ukrycie śladów transakcji. Ostatecznie część środków trafiła na platformę HuiOne Guarantee, związaną z kambodżańskim konglomeratem HuiOne Group, który został wcześniej skojarzony z przestępstwami cybernetycznymi.
Działania grupy TraderTraitor są jednak tylko jednym z przykładów aktywności północnokoreańskich hakerów w ostatnich latach. Wcześniejsze ataki były przeprowadzane m.in. za pomocą fałszywych kampanii rekrutacyjnych i złośliwych pakietów npm, często wykorzystywanych do infiltracji firm technologicznych. Znane są także przypadki przejęcia systemów JumpCloud oraz inne działania z użyciem zaawansowanych technik malware’owych, takich jak instalowanie ukrytych tylnych furtek typu SmallTiger.
Takie incydenty pokazują, jak bardzo zaawansowane są obecnie działania cyberprzestępców oraz jak istotna jest inwestycja w bezpieczeństwo cyfrowe. W dobie globalizacji technologii, szczególnie w sektorze kryptowalut, firmy muszą być gotowe na odpieranie coraz bardziej skomplikowanych ataków. Utrzymanie wysokiego poziomu świadomości wśród pracowników, przeprowadzanie testów bezpieczeństwa, a także stała współpraca z organizacjami zajmującymi się walką z cyberprzestępczością mogą odegrać kluczową rolę w minimalizowaniu ryzyka takich strat.