Kuzey Koreli hacker grubu ‘TraderTraitor’, Mayıs ayında Japon borsası DMM Bitcoin’e düzenlenen saldırıda 308 milyon dolar değerinde kripto para çaldı.
Kısa bir gönderide FBI, saldırıyı Jade Sleet, UNC4899 ve Slow Pisces olarak da takip edilen devlete bağlı tehdit aktörü TraderTraitor’a bağladı.
Kripto soygunu Mayıs 2024’te meydana geldi ve platformu, soruşturmalar tamamlanana kadar hesap kaydını, kripto para çekme işlemlerini ve ticareti kısıtlamaya zorladı.
Bu haftanın başlarında blockchain istihbarat firması Chainalytic tarafından hazırlanan bir rapor, saldırıyı Kuzey Koreli tehdit aktörlerine bağladı ancak herhangi bir ayrıntıyı paylaşmadı.
Saldırı zinciri
Kısa bir duyuruda FBI, TraderTraitor’ın DMM Bitcoin’e saldırısının Mart 2024’ün sonlarında, saldırganlardan birinin LinkedIn’de meşru bir işe alım görevlisi gibi davranarak bir Japon kurumsal kripto para cüzdanı yazılım şirketi olan Ginco’nun bir çalışanına yaklaşmasıyla başladığını söylüyor.
Bilgisayar korsanı, işvereninin cüzdan yönetim sistemine erişimi olan Ginco çalışanına GitHub üzerinden istihdam öncesi test içeren bir iş teklifi gönderdi. Bu taktik bu yıl Kuzey Koreli tehdit grupları arasında popüler oldu [1, 2].
Kurban, testi gerçekleştirmek için kişisel GitHub sayfasına kopyalamak üzere bir parça kötü amaçlı Python kodu aldı. Ancak kod, bilgisayarın güvenliğini ihlal etti ve TraderTraitor’un Ginco’ya sızmasına ve ardından yanal olarak DMM’ye geçmesine izin verdi.
FBI şöyle açıklıyor: “Mayıs 2024 ortasından sonra TraderTraitor aktörleri, ele geçirilen çalışanın kimliğine bürünmek için oturum çerezi bilgilerinden yararlandı ve Ginco’nun şifrelenmemiş iletişim sistemine başarılı bir şekilde erişim sağladı.”
Ajans, “Mayıs 2024’ün sonlarında, aktörler muhtemelen bu erişimi bir DMM çalışanının meşru işlem talebini manipüle etmek için kullandılar ve bu da saldırı sırasında 308 milyon dolar değerinde olan 4.502,9 BTC’nin kaybına neden oldu” dedi.
ABD yetkilileri, tehdit aktörünün sahte uygulamalarla blockchain alanını hedeflemeye başladığı 2022 yılından bu yana TraderTraitor’un faaliyetlerini izliyor.
2023 yılında GitHub, platformdaki belirli tehdit aktörleri tarafından yürütülen ve blockchain, kripto para birimi, çevrimiçi kumar ve siber güvenlik sektörlerindeki geliştiricilerin hesaplarını hedef alan bir sosyal mühendislik kampanyası konusunda uyarıda bulundu.
Daha sonra FBI, TraderTraitor’ın o yıl çeşitli kaynaklardan çalınan 1.580 Bitcoin’i (o sırada değeri yaklaşık 41 milyon dolar) nakde çevirmeye hazırlandığı konusunda uyardı.