La Corée du Nord est liée au piratage de 308 millions de dollars de bitcoins DMM


Principaux renseignements

  • Des cybercriminels nord-coréens ont été officiellement associés au vol de 308 millions de dollars de crypto-monnaies à DMM Bitcoin.
  • TraderTraitor, un groupe de menace connu sous les noms de Jade Sleet, UNC4899 et Slow Pisces, utilise souvent des tactiques d’ingénierie sociale sophistiquées ciblant simultanément plusieurs employés au sein d’une même entreprise.
  • Les attaquants ont exploité les informations des cookies de session pour se faire passer pour un employé compromis et obtenir un accès non autorisé au système de communication non crypté de Ginco.

Des cybercriminels nord-coréens liés au vol de bitcoins de DMM

Les autorités japonaises et américaines ont officiellement établi un lien entre des cybercriminels nord-coréens et le vol de 308 millions de dollars de crypto-monnaies à DMM Bitcoin en mai 2024. Cet incident est attribué à un groupe de menace connu sous le nom de TraderTraitor, également désigné par des pseudonymes tels que Jade Sleet, UNC4899 et Slow Pisces. Ces cybercriminels utilisent souvent des tactiques d’ingénierie sociale sophistiquées, ciblant simultanément plusieurs employés d’une même entreprise.

Alerte conjointe émise et DMM Bitcoin cesse ses activités

L’alerte conjointe a été émise par le Federal Bureau of Investigation des États-Unis, le Centre de lutte contre la cybercriminalité du ministère de la défense et l’Agence de police nationale du Japon. Il convient de noter que DMM Bitcoin a cessé ses activités au début du mois. TraderTraitor, un groupe de menaces persistantes ayant des liens avec la Corée du Nord, a l’habitude de cibler des entreprises du secteur Web3. Son mode opératoire consiste à inciter les victimes à télécharger des applications malveillantes de crypto-monnaie contenant des logiciels malveillants, ce qui aboutit à un vol.

Méthodes d’attaque et historique de TraderTraitor

Les attaques de TraderTraitor impliquent fréquemment des campagnes d’ingénierie sociale sur le thème de l’emploi ou l’approche de cibles potentielles sous l’apparence d’une collaboration sur un projet GitHub. Cela se traduit souvent par le déploiement de paquets npm nuisibles. Le groupe s’est fait connaître en infiltrant et en compromettant les systèmes de JumpCloud l’année dernière, puis en ciblant un nombre limité de clients en aval.

L’analyse du FBI

L’analyse du FBI de cette chaîne d’attaque particulière révèle que les cybercriminels de la menace ont contacté un employé de Ginco, une société de logiciels de portefeuilles de crypto-monnaies basée au Japon, en mars 2024. Se faisant passer pour des recruteurs, ils ont envoyé à l’employé une URL menant à un script Python malveillant hébergé sur GitHub dans le cadre d’un prétendu test de pré-embauche. La victime, qui avait accès au système de gestion des portefeuilles de Ginco, a involontairement compromis sa sécurité en copiant le code Python sur sa page GitHub personnelle.

Les attaquants exploitent les vulnérabilités et volent des fonds

À la mi-mai 2024, les attaquants ont exploité les informations des cookies de session pour se faire passer pour l’employé compromis et obtenir un accès non autorisé au système de communication non chiffré de Ginco. Fin mai, ils ont probablement utilisé cet accès pour manipuler une demande de transaction légitime d’un employé de DMM, ce qui a entraîné la perte de 4 502,9 BTC, d’une valeur de 308 millions de dollars au cours de l’attaque.

Cette divulgation fait suite à l’attribution par Chainalysis du piratage de DMM Bitcoin à des criminels nord-coréens. Ils ont déclaré que les attaquants ont exploité les vulnérabilités de l’infrastructure pour effectuer des retraits non autorisés. Selon Chainalysis, les attaquants ont transféré des millions de dollars de crypto-monnaie de DMM Bitcoin vers plusieurs adresses intermédiaires avant d’atteindre un service de mixage Bitcoin CoinJoin.

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!

Plus