FBI-Ermittler haben Einzelheiten über einen Kryptowährungsüberfall auf die japanische Bitcoin.DMM.com bekannt gegeben. Der Diebstahl von Bitcoin im Wert von 308 Millionen Dollar wurde von nordkoreanischen Cyber-Akteuren durchgeführt.
Das Federal Bureau of Investigation (FBI) arbeitet mit dem Department of Defense Cyber Crime Center (DC3) und der japanischen National Police Agency (NPA) zusammen. Sie haben den Angriff als das Werk einer bekannten Bedrohungsgruppe namens TraderTraitor identifiziert. Sie operiert unter verschiedenen Decknamen wie Jade Sleet, UNC4899 und Slow Pisces.
Die Hacker inszenierten eine komplexe Operation, die mit Social-Engineering-Taktiken auf LinkedIn begann und in der unbefugten Übertragung von 4.502,9 Bitcoin aus den Firmen-Wallets von DMM gipfelte.
Hacker haben einen ausgeklügelten Social Engineering Angriff durchgeführt
Der Angriff begann mit einer orchestrierten Social-Engineering-Kampagne Ende März 2024. Die nordkoreanischen Agenten identifizierten einen Mitarbeiter von Ginco, einem japanischen Unternehmen für Kryptowährungs-Wallet-Software, das DMM wichtige Dienste zur Verfügung stellte.
Die Angreifer wählten ihr Ziel strategisch aus und konzentrierten sich auf einen Mitarbeiter mit Zugriff auf das Wallet-Management-System von Ginco. Der erste Kontakt kam über LinkedIn zustande, wo sich die Angreifer als professionelle Personalvermittler ausgaben.
Dieser Ansatz zeigt einen wachsenden Trend bei Cyberangriffen, bei denen legitime professionelle Netzwerkplattformen genutzt werden, um einen glaubwürdigen ersten Kontakt herzustellen. Die Angreifer haben ihre Kommunikation so gestaltet, dass sie wie ein routinemäßiger Einstellungsprozess aussieht.
Der kritische Moment der Kompromittierung trat ein, als die Angreifer ihrem Ziel eine URL schickten, die auf ein bösartiges Python-Skript verweist, das als Codierungstest getarnt ist und auf GitHub gehostet wird.
Das Opfer kopierte den Python-Code auf seine persönliche GitHub-Seite und führte dabei unwissentlich das bösartige Skript aus, wie es bei technischen Interviews üblich zu sein schien.
Technische Ausführung des Raubes
Mitte Mai 2024, nachdem sie durch den kompromittierten GitHub-Code Fuß gefasst hatten, begann die TraderTraitor-Gruppe mit der technischen Phase ihres Angriffs.
Die Hacker nutzten die Sitzungs-Cookie-Informationen aus, um sich als der kompromittierte Ginco-Mitarbeiter auszugeben, wodurch sie Zugang zum Kommunikationssystem des Unternehmens erhielten. Dieser Schritt ermöglichte es ihnen, legitime Transaktionsanfragen zu überwachen und möglicherweise zu manipulieren.
Der Angriff begann Ende Mai, als die Hacker eine legitime Transaktionsanfrage eines DMM-Mitarbeiters identifizierten und abfingen. Mit ihrem kompromittierten Zugang manipulierten sie die Transaktionsparameter. Das Ergebnis war die unbefugte Überweisung von 4.502,9 BTC im Wert von damals 308 Millionen Dollar.
Die gestohlenen Gelder wurden systematisch durch eine Reihe von Überweisungen auf Geldbörsen verschoben, die von der TraderTraitor-Gruppe kontrolliert wurden. Dies machte die Wiederbeschaffung für die Behörden extrem schwierig.
FBI arbeitet mit der japanischen Polizei zusammen
Die Untersuchung dieses massiven Kryptowährungsdiebstahls zeigt die Zusammenarbeit zwischen internationalen Strafverfolgungsbehörden. Das FBI, das eng mit der japanischen Nationalen Polizeibehörde und dem Cyber Crime Center des Verteidigungsministeriums zusammenarbeitet, zeigt, dass Cyber-Bedrohungen heute globale Antworten erfordern.
Diese Zusammenarbeit hat sich als wichtig erwiesen, um die Bewegungen der gestohlenen Gelder zu verfolgen. Außerdem konnten die für die TraderTraitor-Gruppe charakteristischen Angriffsmuster identifiziert werden.
Der Vorfall zeigt, dass Nordkorea weiterhin versucht, durch den Diebstahl von Kryptowährungen Einnahmen zu erzielen. Es ist ein Muster, das den internationalen Sicherheitsbehörden zunehmend Sorgen bereitet. Die Strafverfolgungsbehörden stellen fest, dass diese Angriffe keine Einzelfälle sind. Vielmehr sind sie Teil einer breiteren Kampagne zur Umgehung internationaler Sanktionen.
 haben Einzelheiten über einen Kryptowährungsraub mitgeteilt, der auf das in Japan ansässige Unternehmen Bitcoin.DMM.com abzielte.){kind=link}