Het Federal Bureau of Investigation (FBI) heeft in een gezamenlijke onderzoek met het Cyber Crime Center van het Amerikaanse Ministerie van Defensie en de Nationale Politie van Japan de betrokkenheid van een Koreaanse groepering onthuld bij de hack in mei op DMM, een Japanse cryptocurrency-exchange.
De hack liet een negatief saldo van meer dan 4.000 BTC achter in DMM-wallets met een waarde van $308 miljoen op dat moment. Tevens werd de hack uitgevoerd door een Koreaanse hackersgroep genaamd “Tradertraitor,” die bekendstaat om zijn unieke aanpak bij dergelijke operaties.
Een individu gelinkt aan deze groep nam contact op met een medewerker van Ginco, een in Japan gevestigde aanbieder van cryptocurrency-wallets voor bedrijven, met een aanbod voor een nieuwe baan, aldus de FBI. De Koreaanse actor stuurde het slachtoffer een internetadres voor een pre-employment-test als onderdeel van het voorstel. Het slachtoffer kopieerde dit naar zijn persoonlijke Github-account, waardoor toegang tot zijn systeem werd gecompromitteerd.
Door deze kwetsbaarheid te benutten, deden de Koreaanse actoren zich voor als de gecompromitteerde medewerker en manipuleerden ze een legitieme transactie die door een DMM-medewerker was aangevraagd, waarbij de fondsen werden omgeleid naar wallets beheerd door Tradertraitor.
De nasleep van deze kraak bleek fataal voor de beurs, die momenteel wordt geliquideerd en naar verwachting zal worden overgenomen door SBI VC Trade, een beurs van de SBI Group.
De FBI had eerder het werkingsmodel van Tradertraitor in kaart gebracht en legde uit dat de groep zwaar leunt op social engineering om toegang te krijgen tot gerichte bedrijven en organisaties. In april waarschuwde een gezamenlijke melding dat de groep crypto-gerelateerde instellingen aanviel met berichten die zich richtten op werknemers. In de adviesnota stond:
“De berichten bootsen vaak een wervingspoging na en bieden goedbetaalde banen aan om ontvangers te verleiden malware-gevulde cryptocurrency-applicaties te downloaden, die door de Amerikaanse overheid worden aangeduid als ‘TraderTraitor’.”
