Kuzey Koreli Hackerlar, 305 Milyon Dolarlık DMM Bitcoin Soygunu ile Bağlantılı, Yetkililer Doğruladı

FBI, Japonya’nın Ulusal Polis Teşkilatı ve Savunma Bakanlığı Siber Suçlar Merkezi, Kuzey Kore bağlantılı hakerları Mayıs 2024’te Japon kripto para borsası DMM Bitcoin’e yönelik 305 milyon dolarlık bir siber saldırının organizatörleri olarak belirledi.

23 Aralık’ta yayımlanan ortak bir açıklama, ihlali TraderTraitor tehdit grubuna atfediyor, bu grup ayrıca Jade Sleet, UNC4899 ve Slow Pisces olarak da bilinir.

Hacker News TraderTraitor’ın en az 2020’den beri aktif olduğunu ve kötü amaçlı yazılımlarla dolu kripto para uygulamaları aracılığıyla Web3 şirketlerini hedeflediğini açıklıyor. Grup genellikle iş temalı sosyal mühendislik kampanyaları kullanır veya GitHub projelerinde işbirliği yapma numarası yaparak kötü amaçlı npm paketlerini dağıtır ve hırsızlığı kolaylaştırır.

Yetkililer, DMM Bitcoin ihlalinin, Ginco adlı Japon kripto cüzdan yazılım şirketine yönelik bir sosyal mühendislik saldırısından kaynaklandığını ortaya çıkardı. Mart ayında, bir Kuzey Koreli operatör, LinkedIn’de işe alım yapan bir kişi gibi davranarak, bir Ginco çalışanına ön işe alım testi olarak gizlenmiş kötü amaçlı bir Python scripti paylaştı.

Çalışan, betiği kişisel GitHub hesabına kopyaladığında, hassas oturum çerez verilerini açığa çıkararak hacker’ın çalışanı taklit etmesine ve Ginco’nun iletişim sistemine sızmasına olanak sağladı.

Mayıs ayına gelindiğinde, tehdit unsuru, erişimlerini kullanarak DMM Bitcoin çalışanından gelen meşru bir işlem talebini manipüle etti ve sonuçta 4,502.9 BTC’yi, değeri $305 milyon olanı çaldı.

Blockchain istihbarat firması Chainalysis, bulguları doğruladı ve saldırganların altyapı zafiyetlerini nasıl sömürerek fonları aktardıklarını açıkladı.

Çaldıkları kripto parayı ara adresler, bir Bitcoin CoinJoin Karışım Servisi ve köprü hizmetleri aracılığıyla akladılar ve daha sonra bunu Kamboçya’nın HuiOne Grubu ile bağlantılı olan ve siber suçları kolaylaştıran bilinen bir online pazar yeri olan HuiOne Garantisine aktardılar.

Finance Feeds DMM Bitcoin’in faaliyetlerini durdurma planlarını duyurduğunu bildiriyor, Japon finans devi SBI Group’un kripto para birimi bölümü SBI VC Trade ile Mart 2025’e kadar varlıklarını ve müşteri hesaplarını devretmeyi kabul etti.

Finance Feeds ayrıca DMM Bitcoin’in, müşteri varlıklarının SBI’ye aktarılırken, kaldıraçlı işlem pozisyonlarının dahil edilmeyeceğini açıkladığını belirtiyor. Müşterilerin, devir işleminden önce tüm açık pozisyonları kapatmaları gerekiyor. Borsa, aktarım tamamlandığında kapanacağını doğruladı.

Bu ifşaat, Web3 sektöründeki sürekli siber güvenlik risklerini vurgulamakta, TraderTraitor küresel kripto para birimi manzarasını hedef alan sürekli bir tehdit olarak kalmaktadır.