Prošlonedjeljna krađa kriptovaluta u vrijednosti od 1,4 milijarde dolara rezultat je složene hakerske operacije koja je uključivala socijalni inženjering, krađu AWS sesijskih tokena, zaobilaženje višefaktorske autentifikacije (MFA) i upotrebu izmijenjenog JavaScript fajla.
Prema forenzičkim analizama koje je sprovela firma Mandiant, napad je izvela ozloglašena hakerska grupa Lazarus iz Sjeverne Koreje, ciljajući ByBit-ov sistem hladnog novčanika za Ethereum. Ovo je najveća poznata krađa kriptovaluta do sada.
Kako je izveden napad?
Tim stručnjaka iz Safe{Wallet}-a, zajedno sa Mandiantom, rekonstruisao je lanac događaja koji su omogućili ovaj sofisticirani napad. Prvi korak bio je napad na programera koji je imao administratorska prava u Safe{Wallet}-u. Napadači su se predstavili kao pouzdani saradnici iz open-source zajednice, što je žrtvu navelo da instalira maliciozni Docker Python projekat.
Kompromitovani Docker projekat pokrenut je sa povišenim privilegijama, omogućavajući hakerima da preuzmu kontrolu nad programerskim radnim okruženjem. Odatle su napadači uspjeli da ukradu AWS sesijske tokene, koje su zatim koristili za zaobilaženje MFA zaštite i održavanje pristupa sistemu gotovo 20 dana.
Manipulisani JavaScript fajl preusmjerio sredstva
Nakon što su uspostavili kontrolu nad sistemom, hakeri su se fokusirali na ByBit-ov Ethereum hladni novčanik. Zamijenili su bezopasni JavaScript fajl njegovom kompromitovanom verzijom, čime su omogućili manipulaciju transakcijama. Kada je fajl aktiviran tokom obrade transakcija visoke vrijednosti, sredstva su preusmjerena na adrese pod kontrolom sjevernokorejskih vlasti.
„Ovo je bio visoko sofisticiran, državno sponzorisan napad“, saopštili su iz Safe{Wallet}-a, dodajući da su mnogi tehnički detalji još uvijek nepoznati jer su napadači uklonili malver i obrisali istoriju Bash komandi kako bi otežali istragu.
Mjere zaštite i istraga
Kao odgovor na napad, Safe{Wallet} je sproveo kompletnu obnovu infrastrukture, uključujući rotaciju svih kredencijala, resetovanje klastera, ažuriranje ključeva i tajni podataka, nabavku novih računara za programere, te ponovnu implementaciju kontejnerskih slika.
Takođe su uvedene restrikcije na eksterni pristup Transakcijskoj službi, uz dodatna pravila firewall-a za servise izložene internetu.
Američki FBI je povezao incident sa sjevernokorejskom APT grupom poznatom kao TraderTraitor, koju prati od 2022. godine zbog napada na blockchain kompanije. Prema FBI-ju, hakeri su već konvertovali dio ukradenih sredstava u Bitcoin i druge virtuelne valute, raspršene na hiljade adresa na različitim blockchain-ovima. Očekuje se da će sredstva biti dodatno oprana i na kraju pretvorena u fiat valutu.
ByBit nudi nagradu za povratak sredstava
ByBit, druga najveća kriptovalutna berza na svijetu po obimu trgovine, pokrenula je program nagrađivanja za one koji pomognu u pronalasku sredstava. Nude 5% od iznosa svima koji uspiju zamrznuti ukradena sredstva, kao i dodatnih 5% za one koji pomognu u njihovom praćenju.
Ovaj slučaj još jednom potvrđuje ranjivost kriptovalutne industrije na sofisticirane napade i naglašava potrebu za jačim bezbjednosnim mjerama u zaštiti digitalne imovine.
Izvor: SecurityWeek
