شارك المحققون الفيدراليون تفاصيل عملية سرقة عملة رقمية مشفرة استهدفت Bitcoin.DMM.com ومقرها اليابان. وقد أسفرت هذه العملية عن سرقة ما قيمته 308 مليون دولار من البيتكوين من قبل جهات إلكترونية كورية شمالية.
يعمل مكتب التحقيقات الفيدرالي (FBI) جنبًا إلى جنب مع مركز مكافحة الجرائم الإلكترونية التابع لوزارة الدفاع (DC3) ووكالة الشرطة الوطنية اليابانية (NPA). وقد حددوا الهجوم على أنه من عمل مجموعة تهديد معروفة تدعى TraderTraitor. وتعمل هذه المجموعة تحت أسماء مستعارة مختلفة بما في ذلك Jade Sleet وUNC4899 وPeisces Slow Pisces.
قام القراصنة بتدبير عملية معقدة بدأت بتكتيكات الهندسة الاجتماعية على موقع LinkedIn وانتهت بتحويل 4,502.9 بيتكوين من محافظ شركة DMM بشكل غير مصرح به.
نفّذ القراصنة هجومًا متطورًا بالهندسة الاجتماعية
بدأ الهجوم بحملة هندسة اجتماعية مدبرة في أواخر مارس 2024. قام العملاء الكوريون الشماليون بتحديد واستهداف موظف في شركة Ginco، وهي شركة يابانية لبرمجيات محفظة العملات الرقمية للمؤسسات والتي كانت تقدم خدمات مهمة لشركة DMM.
اختار المهاجمون هدفهم بشكل استراتيجي، حيث ركزوا على موظف لديه إمكانية الوصول إلى نظام إدارة محفظة Ginco. وجاء الاتصال الأولي من خلال موقع LinkedIn، حيث تظاهر المهاجمون بأنهم موظفون محترفون في مجال التوظيف.
يُظهر هذا النهج اتجاهاً متزايداً في الهجمات الإلكترونية حيث يتم استخدام منصات التواصل المهني المشروعة لإقامة اتصال أولي موثوق به. وقد صاغ المهاجمون اتصالاتهم لتبدو وكأنها عملية توظيف روتينية.
حدثت اللحظة الحاسمة للاختراق عندما أرسل المهاجمون إلى هدفهم عنوان URL يرتبط بنص برمجي خبيث من لغة بايثون متخفياً في شكل اختبار ترميز مستضاف على GitHub.
قام الضحية، باتباع ما بدا أنه إجراءات مقابلة تقنية عادية، بنسخ كود بايثون إلى صفحة GitHub الشخصية الخاصة به، وقام بتنفيذ البرنامج النصي الخبيث دون أن يدري.
التنفيذ الفني لعملية السرقة
وبحلول منتصف مايو 2024، بعد أن اكتسبت مجموعة TraderTraitor موطئ قدم لها من خلال كود GitHub المخترق، بدأت المرحلة التقنية من هجومها.
استغل المخترقون معلومات ملفات تعريف الارتباط الخاصة بالجلسة لانتحال شخصية موظف Ginco المخترق، مما أتاح لهم الوصول إلى نظام الاتصالات الخاص بالشركة. وقد سمحت لهم هذه الخطوة بمراقبة طلبات المعاملات المشروعة وربما التلاعب بها.
بدأ الهجوم في أواخر شهر مايو عندما قام المخترقون بتحديد واعتراض طلب معاملة شرعية من أحد موظفي DMM. وباستخدام وصولهم المخترق، تلاعبوا بمعلمات المعاملة. وقد أدى ذلك إلى تحويل غير مصرح به ل 4,502.9 بيتكوين، بقيمة 308 مليون دولار في ذلك الوقت.
تم نقل الأموال المسروقة بشكل منهجي من خلال سلسلة من التحويلات إلى محافظ تسيطر عليها مجموعة TraderTraitor. وهذا ما جعل عملية الاسترداد صعبة للغاية بالنسبة للسلطات.
تعاون مكتب التحقيقات الفيدرالي مع الشرطة اليابانية
يُظهر التحقيق في هذه السرقة الضخمة للعملات الرقمية التعاون بين وكالات إنفاذ القانون الدولية. إذ يعمل مكتب التحقيقات الفدرالي بالتنسيق الوثيق مع وكالة الشرطة الوطنية اليابانية ومركز مكافحة الجرائم الإلكترونية التابع لوزارة الدفاع، مما يدل على أن التهديدات السيبرانية تتطلب الآن استجابات عالمية.
وقد أثبت هذا التعاون أهميته في تتبع حركة الأموال المسروقة. وكذلك، تحديد أنماط الهجمات التي تتميز بها مجموعة TraderTraitor.
يسلط الحادث الضوء على جهود كوريا الشمالية المستمرة لتوليد الإيرادات من خلال سرقة العملات الرقمية. وهو نمط أصبح يثير قلق وكالات الأمن الدولية بشكل متزايد. ويشير مسؤولو إنفاذ القانون إلى أن هذه الهجمات ليست حوادث معزولة. بل هي جزء من حملة أوسع نطاقاً للالتفاف على العقوبات الدولية.
 تفاصيل عملية سرقة عملة رقمية مشفرة استهدفت موقع Bitcoin.DMM.com ومقره اليابان.){kind=link}