Das FBI und andere Behörden verknüpften eine Gruppe nordkoreanischer Bedrohungsakteure, bekannt als ‘Tradertraitor’, mit dem 308-Millionen-Dollar-Hack der japanischen Börse DMM im Mai 2023. Die Hacker nutzten Social Engineering, um Zugriff auf interne Kommunikationssysteme zu erlangen und den Angriff auszuführen.
FBI verbindet nordkoreanische Hacker mit einem Einbruch über 308 Millionen US-Dollar bei der DMM-Börse
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
FBI Enthüllt Koreanische Verbindung im Mehrmillionen-Dollar-Hack von DMM
Das Federal Bureau of Investigation (FBI) führte gemeinsam mit dem Cyber Crime Center des Verteidigungsministeriums und der Nationalen Polizeiagentur Japans eine Untersuchung durch und deckte die Beteiligung eines koreanischen Elements beim Hack von DMM, einer japanischen Kryptowährungsbörse im Mai, auf.
Der Hack, der ein negatives Guthaben von über 4.000 BTC in DMM-Wallets hinterließ, die zu diesem Zeitpunkt 308 Millionen Dollar wert waren, war das Werk einer koreanischen Hackergruppe, die als “Tradertraitor” bekannt ist und für ihre eigenwilligen Ansätze bei diesen Operationen bekannt ist.
Laut dem FBI nahm ein mit dieser Gruppe verbundener Einzelner Kontakt mit einem Mitarbeiter von Ginco auf, einem in Japan ansässigen Anbieter von Kryptowährungs-Wallets für Unternehmen, und bot eine neue Arbeitsstelle an. Der koreanische Akteur schickte dem Opfer eine Internetadresse für einen Voreinstellungstest als Teil dieses Angebots. Das Opfer kopierte dies auf seinen persönlichen Github-Account und kompromittierte den Zugang zu seinem System.
Durch Ausnutzung dieser Schwachstelle gelang es den koreanischen Akteuren, sich als der kompromittierte Mitarbeiter auszugeben und eine legitime Transaktion, die von einem DMM-Mitarbeiter angefordert wurde, zu manipulieren und die Gelder auf Wallets unter Kontrolle von Tradertraitor umzuleiten.
Die Folgen dieses Raubzugs erwiesen sich als fatal für die Börse, die derzeit liquidiert wird und erwartet wird, von SBI VC Trade, einer Börse der SBI Group, gekauft zu werden.
Das FBI hatte die Vorgehensweise von Tradertraitor zuvor profiliert und erklärt, dass die Gruppe stark auf Social Engineering setzt, um Zugang zu gezielten Unternehmen und Organisationen zu erlangen. Im April erklärte eine gemeinsame Warnung, dass die Gruppe es auf krypto-gebundene Institutionen abgesehen hatte und Nachrichten an Mitarbeiter als Angriffsvektor verwendete.
Das Beratungsschreiben erklärte:
Die Nachrichten ahmen oft einen Rekrutierungsversuch nach und bieten hochbezahlte Jobs an, um die Empfänger dazu zu verleiten, mit Malware verseuchte Kryptowährungsanwendungen herunterzuladen, die von der US-Regierung als “TraderTraitor” bezeichnet werden.
Nordkoreanische Hacker stahlen in diesem Jahr laut Chainalysis 1,4 Milliarden Dollar.
