Nach Angaben der Polizei haben nordkoreanische Hacker Bitcoin im Wert von 300 Millionen US-Dollar von der DMM-Börse gestohlen

Im Mai wurden Bitcoins im Wert von etwa 48,2 Milliarden JPY (ca. 306 Millionen US-Dollar) rechtswidrig von DMM Bitcoin abgezogen.

Around ¥48.2 billion JPY (approximately $306 million USD) in Bitcoin was unlawfully siphoned from DMM Bitcoin in May. The Tokyo entity is a cryptocurrency exchange that operates under the major IT firm DMM.com.

Etwa 48,2 Milliarden JPY (ca. 306 Millionen US-Dollar) in Bitcoin wurden im Mai unrechtmäßig von DMM Bitcoin abgezogen. Das Unternehmen in Tokio ist eine Kryptowährungsbörse, die unter dem großen IT-Unternehmen DMM.com betrieben wird.

On December 24, the National Police Agency (NPA) announced that the North Korean cyberattack group TraderTraitor was responsible for the attack. The investigation was carried out by the Metropolitan Police Department and NPA, in cooperation with the American Federal Bureau of Investigation (FBI).

Am 24. Dezember gab die National Police Agency (NPA) bekannt, dass die nordkoreanische Cyberangriffsgruppe TraderTraitor für den Angriff verantwortlich sei. Die Ermittlungen wurden vom Metropolitan Police Department und der NPA in Zusammenarbeit mit dem amerikanischen Federal Bureau of Investigation (FBI) durchgeführt.

TraderTraitor’s Phishing Tactics

Die Phishing-Taktiken von TraderTraitor

According to the NPA, attackers from TraderTraitor posed as recruiters on the business-focused social networking site LinkedIn in late March. They contacted an employee of Ginco (Tokyo), which manages the cryptocurrency wallet system for DMM Bitcoin.

Nach Angaben der NPA gaben sich Angreifer von TraderTraitor Ende März auf der geschäftsorientierten Social-Networking-Seite LinkedIn als Personalvermittler aus. Sie kontaktierten einen Mitarbeiter von Ginco (Tokio), das das Kryptowährungs-Wallet-System für DMM Bitcoin verwaltet.

The attackers sent messages with URLs, attempting to entice the employee to click the link. When clicked, the link infected the employee’s computer with a virus.

Die Angreifer verschickten Nachrichten mit URLs und versuchten, den Mitarbeiter zum Klicken auf den Link zu verleiten. Beim Anklicken des Links wurde der Computer des Mitarbeiters mit einem Virus infiziert.

After mid-May, the attackers used the employee’s credentials to gain unauthorized access to the Ginco system. They were able to modify the system, altering both the amounts and destinations of cryptocurrency transfers, which resulted in the theft.

Ab Mitte Mai nutzten die Angreifer die Zugangsdaten des Mitarbeiters, um sich unbefugten Zugriff auf das Ginco-System zu verschaffen. Sie konnten das System modifizieren und sowohl die Beträge als auch die Ziele der Kryptowährungstransfers ändern, was zum Diebstahl führte.

Investigating the Theft

Untersuchung des Diebstahls

The stolen funds were eventually transferred to digital wallets controlled by TraderTraitor. Investigations confirmed that the accounts used to contact the employee and the connections for the malicious program were both managed by TraderTraitor.

Die gestohlenen Gelder wurden schließlich auf von TraderTraitor kontrollierte digitale Geldbörsen übertragen. Untersuchungen bestätigten, dass sowohl die Konten, über die der Mitarbeiter kontaktiert wurde, als auch die Verbindungen für das Schadprogramm von TraderTraitor verwaltet wurden.

In response, the NPA, together with the National Center of Incident Readiness and Strategy for Cybersecurity, issued a public attribution statement directly naming North Korea and TraderTraitor and condemning both entities. The NPA also issued a warning, highlighting the rise in cryptocurrency thefts attributed to North Korea.

Als Reaktion darauf gab die NPA zusammen mit dem National Center of Incident Readiness and Strategy for Cybersecurity eine öffentliche Attributionserklärung heraus, in der Nordkorea und TraderTraitor direkt benannt und beide Unternehmen verurteilt wurden. Die NPA gab ebenfalls eine Warnung heraus und wies auf die Zunahme von Kryptowährungsdiebstählen hin, die Nordkorea zugeschrieben werden.

Following the breach, DMM Bitcoin raised ¥55 billion with support from group companies to guarantee the full amount of the stolen funds to users. However, the company announced its closure on December 2 due to continuing restrictions on services.

Nach dem Verstoß sammelte DMM Bitcoin mit Unterstützung von Konzernunternehmen 55 Milliarden Yen, um den Nutzern den vollen Betrag der gestohlenen Gelder zu garantieren. Allerdings gab das Unternehmen am 2. Dezember seine Schließung bekannt, da die Dienstleistungen weiterhin eingeschränkt waren.

Naming the Culprits

Benennung der Schuldigen

Public attribution is an effort to publicly name countries or organizations suspected of involvement in cyberattacks. It aims to prevent further damage and deter future attacks. The United States was the first to carry out public attribution in 2014. Japan has done so previously in cases involving China and North Korea. This case was Japan’s eighth instance.

Unter öffentlicher Namensnennung versteht man den Versuch, Länder oder Organisationen, die im Verdacht stehen, an Cyberangriffen beteiligt zu sein, öffentlich zu benennen. Ziel ist es, weiteren Schaden zu verhindern und zukünftige Angriffe abzuschrecken. Die Vereinigten Staaten waren 2014 die ersten, die eine öffentliche Namensnennung vorgenommen haben. Japan hat dies bereits zuvor in Fällen mit China und Nordkorea getan. Dieser Fall war Japans achter Fall.