За взломом криптобиржи ByBit, а также кражей с ее баланса криптовалюты стоимостью почти $1,5 млрд стоит северокорейская хакерская группировка TraderTraitor. Ключевую роль в инциденте сыграла уязвимость нулевого дня в MacBook, принадлежащем одному из сотрудников компании Safe{Wallet}. ByBit использовала продукты Safe{Wallet} для управления своими криптоактивами.
Это следует из расследования инцидента, проведенного компаниями Safe{Wallet} и Mandiant.Злоумышленники проникли в систему, воспользовавшись уязвимостью в MacBook одного из разработчиков Safe{Wallet}. Получив доступ к ноутбуку, хакеры извлекли AWS-токены сессии, что позволило им обойти многофакторную аутентификацию и беспрепятственно проникнуть в инфраструктуру ByBit. Выбранный хакерами разработчик обладал высокими привилегиями, необходимыми для работы с кодовой базой биржи. Действуя скрытно, киберпреступники удалили вредоносное программное обеспечение и стерли следы своего присутствия в инфраструктуре.
Согласно данным расследования, заражение произошло 4 февраля 2025 года. Вредоносный код проник в систему через Docker-проект при подключении к сайту getstockprice.com. Несмотря на то, что сам проект к моменту анализа уже был удален, обнаруженные файлы в каталоге загрузок указывают на использование методов социальной инженерии для первоначального проникновения.
Для доступа к AWS-аккаунту разработчика, хакеры использовали сервис ExpressVPN, маскируя свои действия под легитимную активность. Киберпреступники тщательно изучили рабочее расписание жертвы и подстраивали свою деятельность под него, используя похищенные токены активных сессий для незаметного доступа.
Расследователи отмечают, что группировка TraderTraitor имеет связи с другой северокорейской хакерской командой APT38, также известной как BlueNoroff и Stardust Chollima, которые, в свою очередь, входят в состав более крупного синдиката Lazarus.
Свежие комментарии