Скорошният обир на криптовалута на стойност 1,4 млрд. долара, за който своевременно писахме, беше резултат от многостранна атака, която съчетаваше социално инженерство, откраднати сесийни токени на AWS, заобикаляне на MFA и привидно доброкачествен файл на JavaScript.
Това е заключението на експертите по криминалистика от Mandiant, повикани да разберат как севернокорейският хакерски екип Lazarus е успял да компрометира системата за студен портфейл Ethereum на ByBit в най-голямата документирана кражба на криптовалута в историята.
Работейки заедно с екипа на Safe{Wallet}, за да сглобят веригата от събития, от Mandiant заявиха, че нападателите първо са се насочили към разработчик, като са се представили за доверен сътрудник с отворен код. След това разработчикът, един от малкото служители на Safe{Wallet} с администраторски права, е бил подмамен да инсталира злонамерен проект Docker Python.
При разгръщането на компрометирането на веригата за доставки разследването установи, че проектът Docker е бил изпълнен с повишени привилегии, което е проправило пътя на хакерите да компрометират работната станция на разработчика.
Имайки достъп до тази машина, нападателите са успели да откраднат токени за сесии на AWS и да ги използват, за да заобиколят многофакторното удостоверяване и да поддържат достъп до системата в продължение на близо 20 дни.
След това севернокорейските крадци на криптовалути насочили вниманието си към системата за студен портфейл на Bybit Ethereum, като заменили безобиден JavaScript файл с подправена версия, предназначена да манипулира процеса на транзакциите.
Когато компрометираният файл се активира по време на транзакция с висока стойност, той пренасочва средствата към адреси, контролирани от свързаните с правителството севернокорейски агенти.
„Доказателствата сочат, че това е била високотехнологична, спонсорирана от държавата атака“, заяви Safe{Wallet], като отбеляза, че някои технически подробности за хакерската атака все още са мъгляви, тъй като нападателят е премахнал зловредния си софтуер и е изтрил историята на Bash в опит да осуети усилията на разследващите.
Safe{Wallet] заяви, че е въвела пълно възстановяване на инфраструктурата, което включва ротация на всички пълномощия, нулиране на клъстери, ротация на ключове и тайни, осигуряване на нови машини за разработчици, актуализиране на компилации и повторно внедряване на образи на контейнери.
Изпадналият в затруднение доставчик също така е ограничил външния достъп до услугата Transaction Service, като е позволил само вътрешна комуникация, и е добавил нови правила за защитна стена за услугите, насочени към външни лица.
ФБР е свързало инцидента със севернокорейска APT, която проследява като TraderTraitor, която агенцията следи от 2022 г. заради атаките ѝ срещу блокчейн компании.
„Участниците в TraderTraitor действат бързо и са преобразували част от откраднатите активи в биткойн и други виртуални активи, разпръснати в хиляди адреси на множество блокчейн. Очаква се тези активи да бъдат допълнително изпирани и в крайна сметка конвертирани във фиатна валута“, се казва в изявление на ФБР.
Bybit, която твърди, че е втората по големина криптовалутна борса в света по обем на търговията, стартира програма за възнаграждение за грешки в опит да възстанови откраднатите средства, като предлага 5% от възстановената сума на организацията, която успее да замрази средствата, и 5% на тези, които са помогнали за проследяването на средствата.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
