This post is also available in:
English (אנגלית)
כחלק משוד סייבר ענק, האקרים מקוריאה הצפונית גנבו 308 מיליון דולר במטבעות קריפטו מבורסת הקריפטו היפנית DMM Bitcoin. ה-FBI, בשיתוף פעולה עם מחלקת ההגנה של ארצות הברית (DC3) והסוכנות המשטרתית הלאומית של יפן, חשפו את התקיפה ביום שלישי, ה-24 בדצמבר, והסבירו כי מדובר במבצע מתוחכם בהובלת קבוצת "TraderTraitor".
האירוע התרחש במאי 2024, אך פרטיו פורסמו רק לאחרונה. לדברי הרשויות, ההאקרים ביצעו את המתקפה באמצעות סדרה של טקטיקות הנדסה חברתית. המבצע החל במרץ 2024, כאשר אחד מעברייני הסייבר התחזה למגייס בלינקדאין כדי ליצור קשר עם עובד ב-GINCO, חברת ארנקי קריפטו יפנית. ההאקר שלח לעובד כתובת URL זדונית, במסווה של מבחן טרום-העסקה ב-GitHub, מה שהוביל את הקורבן להוריד ללא ידיעה סקריפט פייתון זדוני.
ברגע שהמערכת של העובד נפרצה, ההאקרים השיגו גישה למערכת התקשורת הפנימית והלא מוצפנת של GINCO. על ידי ניצול של קובצי העוגיות של הסשן, הם התחזו לעובד זה ועשו את דרכם לרשת של DMM Bitcoin. בסוף מאי, התוקפים השתמשו בגישה זו כדי לבצע מניפולציות על בקשת עסקה לגיטימית של עובד של DMM, מה שהוביל לגניבה של 4,502.9 ביטקוין – בשווי של כ-308 מיליון דולר באותה העת. הקריפטו הגנוב הועבר אז לארנקים שנשלטו על ידי ההאקרים.
מתקפה זו היא חלק מקמפיין רחב יותר של קבוצת TraderTraitor, אשר בעבר קושרה לקבוצת Lazarus הידועה לשמצה, קבוצת האקרים צפון קוריאנית הידוע בכך שתוקפת בורסות קריפטו כדי לממן את תוכניות הנשק של המדינה. ה-FBI כבר הזהיר את חברות הקריפטו ב-2023 מפני המאמצים המתמשכים של הקבוצה להלבין כספים גנובים דרך שווקים בדארק ווב.
ההיקף והתחכום של תקיפה זו מדגישים את האיום הגובר הנשקף למוסדות פיננסיים ברחבי העולם על ידי קבוצות פושעי סייבר הנתמכות על ידי מדינות. בעקבות השוד, DMM Bitcoin הודיעה על תוכניות להפסיק את הפעילות שלה ולמכור את נכסיה.
