FBI, DC3 en NPA sporen diefstal van cryptocurrency ter waarde van $308 miljoen op wijst naar Noord-Koreaanse hackers
Indignatie redactie
5 min. lezen
In mei 2024 werd een cryptocurrency-diefstal van $ 308 miljoen gelinkt aan Noord-Koreaanse hackers door de Federal Bureau of Investigation (FBI), het Department of Defense Cyber Crime Center (DC3) en de National Police Agency (NPA) van Japan. De diefstal was gericht op DMM, een in Japan gevestigd cryptocurrencybedrijf, en was onderdeel van de aanhoudende illegale activiteiten van Noord-Koreaanse cyberactoren, die cybercriminaliteit steeds vaker gebruiken om inkomsten te genereren voor het regime.
cryptocurrency De cybercriminele groep achter de aanval is gevolgd onder verschillende aliassen, waaronder TraderTraitor, Jade Sleet, UNC4899 en Slow Pisces. Deze actoren staan bekend om hun gebruik van gerichte social engineeringtechnieken om toegang te krijgen tot kritieke systemen. In dit specifieke geval hebben de aanvallers de DMM-cryptovalutawallet gecompromitteerd via een reeks zorgvuldig geplande acties die uiteindelijk resulteerden in de diefstal van 4.502,9 Bitcoin (BTC), destijds ter waarde van ongeveer $ 308 miljoen.
De aanval: social engineering en malware-exploitatie
De reeks gebeurtenissen die leidden tot de diefstal van cryptovaluta begon eind maart 2024 toen een Noord-Koreaanse cyberacteur, die zich voordeed als recruiter, contact opnam met een werknemer bij Ginco, een in Japan gevestigd softwarebedrijf voor cryptovalutawallets. Deze persoon, die toegang had tot het walletmanagementsysteem van Ginco, werd het doelwit van een kwaadaardige link die was vermomd als een pre-employment test. De link leidde naar een Python-script dat op GitHub werd gehost.
In de veronderstelling dat de communicatie legitiem was, kopieerde de werknemer de Python-code naar zijn persoonlijke GitHub-pagina, waarmee hij onbewust het toneel zette voor een inbreuk op de beveiliging. De malware die verborgen zat in het Python-script gaf de aanvallers een houvast in het systeem van de werknemer. Nadat de malware was geactiveerd, werd het account van de werknemer gecompromitteerd, waardoor de aanvallers gevoelige gegevens konden verzamelen.
Noord-Koreaanse hackers kregen toegang tot DMM-systemen
Medio mei 2024 misbruikten de cyberactoren van TraderTraitor de sessiecookie-informatie van de gecompromitteerde werknemer om zich voor te doen als het slachtoffer. Dit gaf hen toegang tot het ongecodeerde communicatiesysteem van Ginco, dat cruciale informatie over transacties en bedrijfsactiviteiten bevatte. De actoren konden deze toegang gebruiken om een lopend transactieverzoek van DMM te manipuleren, waardoor de cryptovalutafondsen uiteindelijk werden omgeleid naar wallets die door de aanvallers werden beheerd.
De frauduleuze transactie betrof de diefstal van een groot bedrag aan Bitcoin—4.502,9 BTC—op dat moment gewaardeerd op $308 miljoen. De gestolen fondsen werden vervolgens verplaatst naar wallets onder controle van TraderTraitor, en hun beweging is gevolgd door autoriteiten, hoewel de aanvallers blijven proberen hun sporen te verbergen.
Lopende onderzoeken en internationale samenwerking
De FBI, DC3 en NPA hebben benadrukt dat dit incident deel uitmaakt van een groter patroon van illegale activiteiten uitgevoerd door Noord-Koreaanse cyberactoren. Deze actoren staan erom bekend zich bezig te houden met cybercriminaliteit , waaronder diefstal van cryptovaluta, om inkomsten te genereren die het regime van Noord-Korea ondersteunen. Het onderzoek naar deze diefstal is gaande, waarbij experts op het gebied van rechtshandhaving en cyberbeveiliging over de grenzen heen werken om de gestolen fondsen te traceren en de volledige omvang van de activiteiten van de cyberactoren bloot te leggen.
De samenwerking tussen de Amerikaanse en Japanse autoriteiten, samen met andere internationale partners, speelt een cruciale rol bij het identificeren en ter verantwoording roepen van de verantwoordelijken voor dergelijke grootschalige diefstallen.
Impact op de cryptocurrency-industrie
Hoewel cryptocurrency-transacties een zekere mate van anonimiteit bieden, is de beweging van grote sommen geld nog steeds traceerbaar en kunnen autoriteiten gestolen fondsen op de blockchain traceren. De uitdaging blijft echter om deze fondsen terug te krijgen en verdere diefstallen te voorkomen.
Naarmate cybercriminelen hun technieken blijven verfijnen, wordt de behoefte aan verbeterde cyberbeveiligingsmaatregelen en waakzaam toezicht in de cryptovalutasector steeds groter.
Een bredere campagne tegen cybercriminaliteit
Noord-Koreaanse cyberactoren, vaak gelinkt aan de Lazarus Group, hebben een geschiedenis van cybercriminaliteit om staatsoperaties te financieren. De groep is gelinkt aan verschillende spraakmakende cyberaanvallen, waaronder cyberaanvallen op financiële instellingen, cryptobeurzen en kritieke infrastructuur. Deze activiteiten maken vaak deel uit van een bredere strategie om internationale sancties te omzeilen en illegale inkomsten voor het regime te genereren.
De aanval op DMM is een goed voorbeeld van hoe cybercriminelen, gesteund door natiestaten, geavanceerde tactieken zoals social engineering en malware kunnen gebruiken om kwetsbaarheden binnen organisaties te exploiteren . In dit geval was het succes van de aanval deels te danken aan het vermogen van de cyberactoren om een lopende legitieme transactie te manipuleren, wat de risico ’s illustreert voor bedrijven die actief zijn in de financiële en cryptovalutasector.
Voortdurende inspanningen om cybercriminaliteit te bestrijden
De FBI , DC3, NPA en andere internationale partners blijven toegewijd aan het onderzoeken en blootleggen van de cyberactiviteiten van Noord-Korea. Hun inspanningen richten zich op het voorkomen van toekomstige aanvallen, het traceren van gestolen activa en het ter verantwoording roepen van de verantwoordelijken. Hoewel deze specifieke diefstal resulteerde in een aanzienlijk financieel verlies, benadrukt het ook het bredere probleem van cybercriminaliteit en het belang van voortdurende internationale samenwerking om deze groeiende bedreigingen te bestrijden.
Terwijl het onderzoek doorgaat, dringen wetshandhavingsinstanties er bij cryptovalutabedrijven en andere financiële instellingen op aan om hun cybersecurity- verdediging te versterken en robuustere maatregelen te implementeren om te beschermen tegen social engineering en andere kwaadaardige tactieken. De DMM-aanval dient als een grimmige herinnering aan de evoluerende aard van cyberdreigingen en de noodzaak van proactieve beveiligingsstrategieën in het steeds veranderende digitale landschap.
De diefstal van $308 miljoen van DMM door Noord-Koreaanse cyberactoren is een belangrijke herinnering aan het veranderende dreigingslandschap in de digitale wereld. Terwijl het onderzoek doorgaat, blijven autoriteiten toegewijd aan het blootleggen van deze illegale activiteiten en het voorkomen van verdere aanvallen.
