Минулого тижня криптовалюта в 1,4 мільярда доларів була результатом багатопрограмної атаки, яка поєднала соціальну інженерію, викрадені жетони сеансу AWS, обхід MFA та, здавалося б, доброякісний файл JavaScript.
Це висновок від експертів з криміналістики в Манданіанті закликав розібратися, як екіпаж Лазару Північної Кореї в Північній Кореї зміг компрометувати систему холодного гаманця Bybit Bybit у найбільшій задокументованій крадіжці криптовалют.
Працюючи разом із командою Safe {Wallet}, щоб зібрати ланцюжок подій, Мандант сказав, що зловмисники спочатку націлили на розробника, представляючи себе надійним учасником з відкритим кодом. Розробник, один з небагатьох безпечних персоналу {Wallet} з правами адміністратора, був обдурований у встановленні шкідливого проекту Docker Python.
По мірі розгортання компромісу ланцюга поставок, слідство встановило, що проект Docker виконаний з підвищеними привілеями, прокладаючи шлях хакерам компрометувати робочу станцію розробника.
З доступом до цієї машини зловмисники змогли вкрасти жетони сеансу AWS та використовувати їх для обходу багатофакторної автентифікації та підтримки доступу до системи майже 20 днів.
Потім злодії криптовалюти Північної Кореї звернули свою увагу на систему холодного гаманця Bybit, замінивши нешкідливий файл JavaScript на підроблену версію, призначену для маніпулювання процесом транзакції.
Коли компрометований файл був активований під час високоцінної транзакції, він перенаправив кошти на адреси, контрольовані урядом, пов'язаними з північнокорейськими оперативними працівниками.
“Докази свідчать про те, що це була дуже складна атака, спонсорована державою”,-сказав безпечний {Wallet]зазначивши, що деякі технічні подробиці злому все ще туманні, оскільки зловмисник видалив їх зловмисне програмне забезпечення та очистив історію Баша, намагаючись перешкодити слідчому зусиллям.
Safe {Wallet]заявив, що він реалізував повне скидання інфраструктури, що включає обертання всіх облікових даних, скидання кластерів, обертових ключів та таємниць, надання нових машин для розробників, оновлення збірок та перерозподілення контейнерних зображень.
Постачальник, що перебуває у пострілі, також обмежив зовнішній доступ до служби транзакцій, що дозволило лише внутрішнього зв'язку та додав нові правила брандмауера для зовнішніх послуг.
ФБР пов'язує інцидент з північнокорейською APT, яку він відстежує як торговця, який агентство моніторинг з 2022 року за свої напади на блокчейн -компанії.
«Актори торговців швидко проходять і перетворили деякі викрадені активи в біткойн та інші віртуальні активи, розповсюджені на тисячі адрес на декількох блокчейнах. Очікується, що ці активи будуть відмиті та врешті -решт перетворені на фіатну валюту “, – йдеться у повідомленні ФБР.
BYBIT, який стверджує, що є другим за величиною у світі біржем криптовалют за обсягом торгівлі, запустив програму Bug Bounty, намагаючись стягнути викрадені кошти, пропонуючи 5% відновленої суб'єкта господарювання, яка вдається заморозити кошти та 5% для тих, хто допоміг простежити фонд.
Пов'язаний: ФБР каже
Пов'язаний: 1,5 мільярда доларів Bybit Heist, пов'язаний з північнокорейськими хакерами
Пов'язаний: Bybit Hack затуляє 1,5 мільярда доларів від обміну криптовалютами
Пов'язаний: Атака з нульовою днем Windows, пов’язана з Лазаром Північної Кореї