Скорошният обир на криптовалута на стойност 1,4 млрд. долара, за който своевременно писахме, беше резултат от многостранна атака, която съчетаваше социално инженерство, откраднати сесийни токени на AWS, заобикаляне на MFA и привидно доброкачествен файл на JavaScript.
Това е заключението на експертите по криминалистика от Mandiant, повикани да разберат как севернокорейският хакерски екип Lazarus е успял да компрометира системата за студен портфейл Ethereum на ByBit в най-голямата документирана кражба на криптовалута в историята.
Работейки заедно с екипа на Safe{Wallet}, за да сглобят веригата от събития, от Mandiant заявиха, че нападателите първо са се насочили към разработчик, като са се представили за доверен сътрудник с отворен код. След това разработчикът, един от малкото служители на Safe{Wallet} с администраторски права, е бил подмамен да инсталира злонамерен проект Docker Python.
При разгръщането на компрометирането на веригата за доставки разследването установи, че проектът Docker е бил изпълнен с повишени привилегии, което е проправило пътя на хакерите да компрометират работната станция на разработчика.
Имайки достъп до тази машина, нападателите са успели да откраднат токени за сесии на AWS и да ги използват, за да заобиколят многофакторното удостоверяване и да поддържат достъп до системата в продължение на близо 20 дни.
След това севернокорейските крадци на криптовалути насочили вниманието си към системата за студен портфейл на Bybit Ethereum, като заменили безобиден JavaScript файл с подправена версия, предназначена да манипулира процеса на транзакциите.
Когато компрометираният файл се активира по време на транзакция с висока стойност, той пренасочва средствата към адреси, контролирани от свързаните с правителството севернокорейски агенти.
„Доказателствата сочат, че това е била високотехнологична, спонсорирана от държавата атака“, заяви Safe{Wallet], като отбеляза, че някои технически подробности за хакерската атака все още са мъгляви, тъй като нападателят е премахнал зловредния си софтуер и е изтрил историята на Bash в опит да осуети усилията на разследващите.
Safe{Wallet] заяви, че е въвела пълно възстановяване на инфраструктурата, което включва ротация на всички пълномощия, нулиране на клъстери, ротация на ключове и тайни, осигуряване на нови машини за разработчици, актуализиране на компилации и повторно внедряване на образи на контейнери.
Изпадналият в затруднение доставчик също така е ограничил външния достъп до услугата Transaction Service, като е позволил само вътрешна комуникация, и е добавил нови правила за защитна стена за услугите, насочени към външни лица.
ФБР е свързало инцидента със севернокорейска APT, която проследява като TraderTraitor, която агенцията следи от 2022 г. заради атаките ѝ срещу блокчейн компании.
„Участниците в TraderTraitor действат бързо и са преобразували част от откраднатите активи в биткойн и други виртуални активи, разпръснати в хиляди адреси на множество блокчейн. Очаква се тези активи да бъдат допълнително изпирани и в крайна сметка конвертирани във фиатна валута“, се казва в изявление на ФБР.
Bybit, която твърди, че е втората по големина криптовалутна борса в света по обем на търговията, стартира програма за възнаграждение за грешки в опит да възстанови откраднатите средства, като предлага 5% от възстановената сума на организацията, която успее да замрази средствата, и 5% на тези, които са помогнали за проследяването на средствата.
