北朝鮮のハッカー集団「TraderTraitor」は、5月に日本の取引所DMM Bitcoinへの攻撃で3億800万ドル相当の暗号通貨を盗んだ。
FBIは短い投稿の中で、この攻撃は、Jade Sleet、UNC4899、Slow Piscesとしても追跡されている国家系脅威行為者TraderTraitorによるものだとした。
暗号強盗は2024年5月に発生し、プラットフォームは調査が完了するまで口座登録、暗号通貨の引き出し、取引を制限せざるを得なかった。
今週初め、ブロックチェーン・インテリジェンス企業Chainalysisの報告書では、この攻撃は北朝鮮の脅威アクターによるものだとされているが、具体的な詳細は明らかにされていない。
攻撃チェーン
FBIは短い発表の中で、TraderTraitorによるDMM Bitcoinへの攻撃は2024年3月下旬に始まり、攻撃者の1人がLinkedInで合法的なリクルーターのふりをして、日本の企業向け暗号通貨ウォレットソフトウェア会社であるGincoの従業員に接触したと述べている。
ハッカーは、雇用主のウォレット管理システムにアクセスできるGincoの従業員に、GitHub上の入社前テストを含む求人案を送った。この手口は今年、北朝鮮の脅威グループに流行した[1,2]。
被害者は、テストを実施するために、個人のGitHubページにコピーする悪意のあるPythonコードを受け取った。しかし、このコードはコンピュータを危険にさらし、TraderTraitorがGincoに侵入し、DMMに横移動するのを許してしまった。
「2024年5月中旬以降、TraderTraitorの行為者はセッション・クッキー情報を悪用して侵害された従業員になりすまし、Gincoの暗号化されていない通信システムへのアクセスに成功した」とFBIは説明する。
「2024年5月下旬、行為者はこのアクセスを利用してDMMの従業員による正当な取引要求を操作した可能性が高く、その結果、攻撃時点で3億800万ドル相当の4,502.9 BTCが失われた」とFBIは述べている。
米国当局は、TraderTraitorが偽アプリでブロックチェーン領域を狙い始めた2022年以来、その活動を監視してきた。
2023年、ギットハブは、特定の脅威行為者がプラットフォーム上で行ったソーシャルエンジニアリングキャンペーンについて警告し、ブロックチェーン、暗号通貨、オンラインギャンブル、サイバーセキュリティ分野の開発者のアカウントを標的とした。
その後、FBIは、TraderTraitorがその年に様々なソースから盗まれた1,580ビットコイン(当時の価値は約4,100万ドル)を現金化する準備をしていると警告した。
Comments