Biro Investigasi Federal AS (FBI) secara resmi mengaitkan peretasan bybit $ 1,5 miliar dengan aktor ancaman Korea Utara, karena CEO perusahaan Ben Zhou menyatakan “perang melawan Lazarus.”
Badan itu mengatakan Republik Rakyat Demokratik Korea (Korea Utara) bertanggung jawab atas pencurian aset virtual dari pertukaran cryptocurrency, menghubungkannya dengan kluster tertentu yang dilacaknya sebagai Tradertraitor, yang juga dilacak sebagai Jade Sleet, Slow Pisces, dan UNC4899.
“Aktor Tradertraitor melanjutkan dengan cepat dan telah mengonversi beberapa aset curian menjadi Bitcoin dan aset virtual lainnya yang tersebar di ribuan alamat di beberapa blockchain,” kata FBI. “Diharapkan aset -aset ini akan dicuci lebih lanjut dan akhirnya dikonversi menjadi mata uang fiat.”
Perlu dicatat bahwa cluster Tradertraitor sebelumnya terlibat oleh otoritas Jepang dan AS dalam pencurian cryptocurrency senilai $ 308 juta dari perusahaan cryptocurrency DMM Bitcoin pada Mei 2024.
Aktor ancaman ini dikenal karena penargetan perusahaan di sektor Web3, sering menipu para korban untuk mengunduh aplikasi cryptocurrency yang dilacak malware untuk memfasilitasi pencurian. Bergantian, itu juga telah ditemukan untuk mengatur kampanye rekayasa sosial bertema pekerjaan yang mengarah pada penyebaran paket NPM berbahaya.
BYBIT, sementara itu, telah meluncurkan program hadiah untuk membantu memulihkan dana curian, sambil memanggil Exch karena menolak untuk bekerja sama dalam penyelidikan dan membantu membekukan aset.
“Dana yang dicuri telah ditransfer ke tujuan yang tidak dapat dilacak atau dapat dibekukan, seperti pertukaran, mixer, atau jembatan, atau dikonversi menjadi stablecoin yang dapat dibekukan,” katanya. “Kami membutuhkan kerja sama dari semua pihak yang terlibat untuk membekukan dana atau memberikan pembaruan tentang gerakan mereka sehingga kami dapat terus menelusuri.”
Perusahaan yang berbasis di Dubai juga telah berbagi kesimpulan dari dua investigasi yang dilakukan oleh Sygnia dan Verichains, yang menghubungkan peretasan ke Grup Lazarus.
“Investigasi forensik dari host tiga penandatangan menunjukkan akar penyebab serangan itu adalah kode jahat yang berasal dari infrastruktur {dompet {dompet safe,” kata Sygnia.
Verichains mencatat bahwa “file javascript jinak dari app.safe.global tampaknya telah digantikan dengan kode jahat pada 19 Februari 2025, pada 15:29:25 UTC, secara khusus menargetkan Ethereum MultiSig Dompet Cold pada Februari,” dan bahwa “serangan dirancang untuk diaktifkan selama transaksi Bybit berikutnya, yang terjadi pada Februari.
Diduga bahwa AWS S3 atau CloudFront Account/API Key of Safe.Global kemungkinan besar bocor atau dikompromikan, sehingga membuka jalan bagi serangan rantai pasokan.
Dalam pernyataan terpisah, platform Wallet Multisig Safe {Wallet} mengatakan serangan itu dilakukan dengan mengkompromikan mesin pengembang {Wallet} yang aman yang mempengaruhi akun yang dioperasikan oleh BITBIT. Perusahaan lebih lanjut mencatat bahwa mereka menerapkan langkah -langkah keamanan tambahan untuk mengurangi vektor serangan.
Serangan “dicapai melalui mesin yang dikompromikan dari pengembang {dompet} yang aman yang mengakibatkan proposal transaksi berbahaya yang menyamar,” katanya. “Lazarus adalah kelompok peretas Korea Utara yang disponsori negara yang terkenal dengan serangan rekayasa sosial yang canggih pada kredensial pengembang, kadang-kadang dikombinasikan dengan eksploitasi nol-day.”
Saat ini tidak jelas bagaimana sistem pengembang dilanggar, meskipun analisis baru dari Silent Push telah mengungkap bahwa Grup Lazarus mendaftarkan domain THIBBIT-ISESSMENT[.]Com di 22:21:57 pada 20 Februari 2025, beberapa jam sebelum pencurian cryptocurrency terjadi.
Catatan whois menunjukkan bahwa domain tersebut terdaftar menggunakan alamat email “Trevorgreer9312@gmail[.]com, “yang sebelumnya telah diidentifikasi sebagai persona yang digunakan oleh kelompok Lazarus sehubungan dengan kampanye lain yang dijuluki wawancara menular.
“Tampaknya pencurian Bitbit dilakukan oleh kelompok aktor ancaman DPRK yang dikenal sebagai Tradertraitor, juga dikenal sebagai Jade Sleet dan Slow Pisces – sedangkan penipuan wawancara crypto dipimpin oleh kelompok aktor ancaman DPRK yang dikenal sebagai wawancara menular, juga dikenal sebagai Chollima yang terkenal,” kata perusahaan itu.
“Korban biasanya didekati melalui LinkedIn, di mana mereka direkayasa secara sosial untuk berpartisipasi dalam wawancara kerja palsu. Wawancara ini berfungsi sebagai titik masuk untuk penyebaran malware yang ditargetkan, pemanenan kredensial, dan kompromi lebih lanjut dari aset keuangan dan perusahaan.”
Aktor-aktor terkait Korea Utara diperkirakan telah mencuri lebih dari $ 6 miliar dalam aset crypto sejak 2017. $ 1,5 miliar dicuri pekan lalu melampaui $ 1,34 miliar yang dicuri oleh aktor ancaman dari 47 pencurian cryptocurrency di semua 2024.
