Safe{Wallet} je otkrio da je cyber sigurnosni incident koji je doveo do krađe kriptovaluta u vrijednosti od 1,5 milijardi dolara s platforme Bybit bio “izuzetno sofisticiran, napad sponzorisan od strane države.” Navodi se da su sjevernokorejski hakerski iza ovog napada preduzeli korake kako bi izbrisali tragove svojih malicioznih aktivnosti s ciljem otežavanja istrage.
Ova multi-potpisna (multisig) platforma, koja je angažovala Google Cloud Mandiant radi forenzičke istrage, idenfikovala je napad kao djelo hakerske grupe TraderTraitor, poznate i pod imenima Jade Sleet, PUKCHONG i UNC4899.
“Napad je uključivao kompromitaciju laptopa jednog od Safe{Wallet} developera (‘Developer1’) i otmicu AWS sesijskih tokena kako bi se zaobišle multi-faktorske autentifikacione (MFA) kontrole,” navodi se u izvještaju. “Ovaj developer je bio jedan od rijetkih zaposlenih s višim nivoom pristupa potrebnim za obavljanje svojih dužnosti.”
Kako je izveden napad?
Dalja analiza je pokazala da su hakeri provalili u Apple macOS uređaj developera 4. februara 2025. godine, kada je žrtva preuzela Docker projekat pod nazivom „MC-Based-Stock-Invest-Simulator-main“, najvjerovatnije putem socijalnog inženjeringa. Projekat je komunicirao s domenom “getstockprice[.]com”, registrovanim na Namecheap-u samo dva dana ranije.
Ovo je još jedan dokaz da je TraderTraitor koristio taktiku u kojoj su prevarili developere kripto-berzi da pomognu u rješavanju problema s Docker projektom, kontaktirajući ih preko Telegrama. Docker fajl je bio podešen da automatski preuzme maliciozni payload nazvan PLOTTWIST, koji omogućava trajni udaljeni pristup.
Nije sigurno da li je ista metoda korištena i u posljednjem napadu, jer je Safe{Wallet} potvrdio da su “napadači uklonili svoj malver i očistili Bash historiju” kako bi osujetili forenzičku istragu.
Na kraju, instalirani malver je korišten za praćenje AWS okruženja kompanije, kao i za otmicu aktivnih AWS korisničkih sesija kako bi napadači mogli izvoditi vlastite radnje u skladu s developerskim rasporedom, pokušavajući tako ostati neprimijećeni.
“Napadači su koristili AWS nalog Developer1 s IP adresa povezanih s ExpressVPN-om, a User-Agent stringovi su sadržavali oznaku ‘distrib#kali.2024’”, navodi se u izvještaju. “Ovaj User-Agent string ukazuje na korištenje Kali Linuxa, operativnog sistema namijenjenog sigurnosnim istraživačima i penetracijskim testerima.”
Takođe je potvrđeno da su napadači koristili open-source Mythic framework i da su ubacili maliciozni JavaScript kod na Safe{Wallet} web stranicu između 19. i 21. februara 2025. godine.
Status ukradenih sredstava i posljedice
Izvršni direktor Bybit-a, Ben Zhou, izjavio je da je preko 77% ukradenih sredstava i dalje moguće pratiti, dok je 20% nestalo, a 3% je zamrznuto. Bybit je zahvalio 11 organizacija, uključujući Mantle, Paraswap i istraživača ZachXBT, na pomoći u zamrzavanju ukradenih sredstava.
Od ukupne vrijednosti ukradenih sredstava, oko 83% (417,348 ETH) je pretvoreno u Bitcoin, te distribuirano na 6,954 različitih novčanika.
Ovaj hakerski napad dolazi u trenutku kada je 2025. godina na putu da postane rekordna po broju kripto-pljački, s gubicima u Web3 projektima koji su već dostigli šokantnih 1,6 milijardi dolara u prva dva mjeseca, što je čak osmostruko povećanje u odnosu na 200 miliona dolara u istom periodu prošle godine, prema podacima blockchain sigurnosne platforme Immunefi.
“Ovaj napad naglašava sve veću sofisticiranost prijetnji i ukazuje na kritične ranjivosti u Web3 sigurnosti,” saopštili su iz kompanije.
“Provjera transakcija koje potpisujete i osiguravanje da će rezultuje željenim ishodom ostaje jedan od najvećih sigurnosnih izazova u Web3 prostoru. Ovo nije samo problem korisnika i edukacije – već je to industrijski problem koji zahtijeva kolektivnu akciju.”
Izvor:The Hacker News
