09 марта 2025 г. 16:34
986
0
За атаками на криптобиржу ByBit и похищением криптовалюты на сумму почти $1,5 млрд стоит северокорейская хакерская группа TraderTraitor.
Важную роль в инциденте сыграла уязвимость нулевого дня в MacBook, который принадлежал одному из сотрудников компании Safe{Wallet}. ByBit использовала продукты Safe{Wallet} для управления своими криптоактивами. Это выяснилось в расследовании инцидента, которое провели компании Safe{Wallet} и Mandiant.
Злоумышленники проникли в систему, воспользовавшись уязвимостью в MacBook одного из разработчиков Safe{Wallet}. Получив доступ к ноутбуку, хакеры извлекли AWS-токены сессии, что дало им возможность обойти многофакторную аутентификацию и беспрепятственно проникнуть в инфраструктуру ByBit. Разработчик, выбранный хакерами, имел высокие привилегии, необходимые для работы с кодовой базой биржи. Действуя скрытно, киберпреступники удалили вредоносное программное обеспечение и стерли следы своего присутствия в инфраструктуре.
Согласно данным расследования, заражение произошло 4 февраля 2025 года. Вредоносный код проник в систему через Docker-проект при подключении к сайту getstockprice.com. Хотя на момент анализа сам проект уже был удален, обнаруженные файлы в каталоге загрузок указывают на использование методов социальной инженерии для первоначального проникновения.
Для доступа к AWS-аккаунту разработчика, хакеры использовали сервис ExpressVPN, маскируя свои действия под легитимную активность. Киберпреступники тщательно изучили рабочий график жертвы и подстраивали свои действия под его расписание, используя украденные токены активных сессий для незаметного доступа.
Расследователи подчеркивают, что группа TraderTraitor связана с другой северокорейской хакерской командой APT38, также известной как BlueNoroff и Stardust Chollima, которые, в свою очередь, входят в более крупный синдикат Lazarus.