نشت ۱.۴ میلیارد دلاری بایبیت با بدافزار سرمایهگذاری در سهام آغاز شد، تحقیقات نشان میدهد.
هکرهای کره شمالی ۱.۴ میلیارد دلار از Bybit دزدیدند پس از نفوذ به لپتاپ Mac Safe از طریق یک پروژه سرمایهگذاری جعلی که به آنها اجازه داد از امنیت AWS عبور کنند، طبق گزارش Mandiant.
حمله سایبری ۱.۴ میلیارد دلاری Bybit، که اکنون بزرگترین سرقت ارز دیجیتال در تاریخ است، به نظر میرسد با بدافزار از یک پروژه سرمایهگذاری جعلی که لپتاپ Mac Safe را به خطر انداخت و امنیت Amazon Web Services را دور زد، آغاز شده باشد، طبق تحقیقات Mandiant.
در مقالهای در تاریخ ۶ مارس در X، Safe فاش کرد که گروه هکری کره شمالی معروف به TraderTraitor لپتاپ یکی از توسعهدهندگان Safe{Wallet}، به نام “Developer1” را به خطر انداخته و از توکنهای جلسه AWS دزدیده شده برای دور زدن احراز هویت چندعاملی استفاده کرده است.
طبق تحقیقات Mandiant، نفوذ در تاریخ ۴ فوریه رخ داده است، زمانی که یک پروژه Docker — که به عنوان “شبیهساز سرمایهگذاری در بورس” معرفی شده بود — بر روی Mac Developer1 دانلود شد. این پروژه با یک دامنه مشکوک (getstockprice[.]com) ارتباط برقرار کرد که منجر به نصب بدافزار شد.
مشخص نیست که چه چیزی باعث شد Developer1 بدافزار را از طریق ایستگاه کاری دانلود کند، اما تحقیقات یادآور میشود که تاکتیکهای مشابه مهندسی اجتماعی قبلاً در حملات گذشته توسط این گروه هکری استفاده شده است.
گزارش Mandiant همچنین نشان داد که حملهکنندگان با ربودن توکنهای فعال جلسه کاربر، MFA AWS را دور زدند، که احتمالاً از طریق بدافزار روی ایستگاه کاری Developer1 انجام شده است. این توکنهای ربودهشده به هکرها اجازه داد تا به خدمات AWS دسترسی پیدا کنند بدون اینکه نیاز به عبور از بررسیهای MFA داشته باشند. حمله از آدرسهای IP وابسته به یک سرویس VPN و ابزارهای امنیتی طراحی شده برای هک تهاجمی انجام شد، طبق گزارش.
“برخی شکافها در بازیابی کامل جنبههای خاصی از حمله باقی مانده است زیرا حملهکننده بدافزار خود را حذف کرده و تاریخچه Bash را پاک کرده است تا تلاشهای تحقیقاتی را مختل کند.”
Safe
به عنوان یک اقدام احتیاطی، Safe{Wallet} زیرساخت خود را بازنشانی کرده و دسترسی خارجی را محدود کرده است. این شرکت همچنین ادعا میکند که شناسایی معاملات مخرب را با کمک Blockaid، یک شرکت امنیت بلاکچین، افزایش داده است. به گفته Safe، قراردادهای هوشمند آنها تحت تأثیر نفوذ قرار نگرفته است.
صرافی ارز دیجیتال Bybit در اوایل مارس اعلام کرد که تقریباً ۲۰٪ از وجوه دزدیده شده اکنون قابل ردیابی نیستند، فقط کمتر از دو هفته بعد از اینکه این صرافی ۱.۴۶ میلیارد دلار در یک حمله بسیار پیچیده از دست داد. در یک پست X، مدیرعامل Bybit بن ژو فاش کرد که حدود ۷۷٪ از وجوه دزدیده شده همچنان قابل ردیابی است، اما تقریباً ۲۰٪ از طریق خدمات مخلوطکن “خاموش” شدهاند.
