Северокорейские хакеры похитили 4502,9 биткоина, что на момент атаки эквивалентно 308 миллионам долларов, у японской компании «Bitcoin.DMM.com». Это происшествие стало известно благодаря сообщениям Федерального бюро расследований США, Центра киберпреступности Министерства обороны и Национального полицейского агентства Японии.
За кибератакой стоит хакерская группировка «TraderTraitor», известная также как «Jade Sleet», «UNC4899» и «Slow Pisces». Злоумышленники использовали методы социальной инженерии, нацеливаясь на несколько сотрудников компании одновременно.
В конце марта 2024 года один из хакеров связался с работником японской компании «Ginco» через LinkedIn, выдавая себя за рекрутера. «Ginco» специализируется на разработке корпоративных криптовалютных кошельков. Хакер отправил сотруднику со ссылкой на вредоносный Python-скрипт, маскируясь под предварительное тестирование для трудоустройства.
Скрипт размещался на GitHub, и жертва, скопировав код на свою личную страницу GitHub, unknowingly активировала инфекцию. В середине мая 2024 года «TraderTraitor» получил несанкционированный доступ к коммуникационной системе «Ginco», используя сессионные cookie-файлы, что позволяло им действовать от имени скомпрометированного сотрудника.
В конце мая хакеры вмешались в процесс обработки легитимного запроса на транзакцию от сотрудника «DMM», что и дало возможность осуществить кражу значительной суммы. Все украденные средства были переведены на криптовалютные кошельки, контролируемые группировкой.
ФБР и Национальное полицейское агентство Японии продолжают борьбу с киберпреступностью и незаконной деятельностью Северной Кореи, нацеленной на получение средств для режима. В конце 2024 года стало известно о закрытии криптовалютного сервиса «DMM Bitcoin». Представители компании сообщили, что все клиентские аккаунты и активы будут переданы финтех-компании «SBI VC Trade», часть группы «SBI». Ожидается, что процесс завершится в марте 2025 года.
