El grupo de hackers norcoreano “TraderTraitor” robó 308 millones de dólares en criptomonedas durante el ataque al intercambio japonés DMM Bitcoin en mayo.
En una breve publicación, el FBI atribuyó el ataque al actor de amenazas afiliado al estado TraderTraitor, también rastreado como Jade Sleet, UNC4899 y Slow Piscis.
El robo de criptomonedas ocurrió en mayo de 2024 y obligó a la plataforma a restringir el registro de cuentas, los retiros de criptomonedas y el comercio hasta que se completaran las investigaciones.
A principios de esta semana, un informe de la firma de inteligencia blockchain Chainalysis atribuyó el ataque a actores de amenazas norcoreanos, pero no compartió ningún detalle específico.
Cadena de ataque
En un breve anuncio, el FBI dice que el ataque de TraderTraitor a DMM Bitcoin comenzó a finales de marzo de 2024, cuando uno de los atacantes se hizo pasar por un reclutador legítimo en LinkedIn y se acercó a un empleado de Ginco, una empresa japonesa de software de billetera de criptomonedas empresarial.
El hacker envió al empleado de Ginco, que tenía acceso al sistema de gestión de cartera de su empresa, una oferta de trabajo que incluía una prueba previa al empleo en GitHub. Esta táctica ha sido popular entre los grupos amenazantes de Corea del Norte este año. [1, 2].
La víctima recibió un fragmento de código Python malicioso para copiarlo en su página personal de GitHub y realizar la prueba. Sin embargo, el código comprometió la computadora y permitió a TraderTraitor infiltrarse en Ginco y luego moverse lateralmente a DMM.
“Después de mediados de mayo de 2024, los actores de TraderTraitor aprovecharon la información de las cookies de sesión para hacerse pasar por el empleado comprometido y obtuvieron acceso con éxito al sistema de comunicaciones no cifradas de Ginco. » explica el FBI.
“A finales de mayo de 2024, los actores probablemente utilizaron este acceso para manipular una solicitud de transacción legítima de un empleado de DMM, lo que resultó en la pérdida de 4.502,9 BTC, por un valor de 308 millones de dólares en el momento del ataque de la transacción”, dijo la agencia.
Las autoridades estadounidenses han estado monitoreando la actividad de TraderTraitor desde 2022, cuando el actor de amenazas comenzó a apuntar al espacio blockchain con aplicaciones falsas.
En 2023, GitHub advirtió sobre una campaña de ingeniería social llevada a cabo por malos actores específicos en la plataforma, dirigida a las cuentas de desarrolladores de las industrias de blockchain, criptomonedas, juegos de azar en línea y ciberseguridad.
Más tarde, el FBI advirtió que TraderTraitor se estaba preparando para sacar provecho de 1.580 Bitcoins (valorados en ese momento en aproximadamente 41 millones de dólares) robados de diversas fuentes ese año.