crypto.news
crypto.news . ۱ سال پیش

هک ۱.۴ میلیارد دلاری Bybit؛ حمله کره شمالی با بدافزار جعلی

هک ۱.۴ میلیارد دلاری Bybit؛ حمله کره شمالی با بدافزار جعلی

سرقت ۱.۴ میلیارد دلاری از Bybit با بدافزار سرمایه‌گذاری سهام آغاز شد

هکرهای کره شمالی ۱.۴ میلیارد دلار از Bybit سرقت کردند، پس از آنکه لپ‌تاپ مک Safe را از طریق یک پروژه جعلی سرمایه‌گذاری سهام نقض کردند که به آنها کمک کرد امنیت AWS را دور بزنند، Mandiant فاش می‌کند.

حمله سایبری ۱.۴ میلیارد دلاری به Bybit، که اکنون بزرگترین سرقت کریپتو در تاریخ است، به نظر می‌رسد با بدافزاری از یک پروژه جعلی سرمایه‌گذاری سهام آغاز شده باشد که لپ‌تاپ مک Safe را به خطر انداخت و امنیت Amazon Web Services را دور زد، طبق تحقیقات Mandiant.

در یک مقاله در ۶ مارس در X، Safe فاش کرد که گروه هکری کره شمالی معروف به TraderTraitor لپ‌تاپ یکی از توسعه‌دهندگان Safe{Wallet} به نام «Developer1» را نقض کرده و از توکن‌های جلسه AWS دزدیده شده برای دور زدن احراز هویت چندعاملی استفاده کرده است.

نحوه نفوذ

طبق تحقیقات Mandiant، این نقض در ۴ فوریه رخ داد، زمانی که یک پروژه Docker — که خود را به عنوان یک «شبیه‌ساز سرمایه‌گذاری سهام» جا زده بود — روی مک Developer1 دانلود شد. این پروژه با یک دامنه مشکوک (getstockprice[.]com) ارتباط برقرار کرد و منجر به نصب بدافزار شد.

مشخص نیست چه چیزی Developer1 را مجبور به دانلود بدافزار از طریق ایستگاه کاری کرد، اما تحقیقات نشان می‌دهد که تاکتیک‌های مهندسی اجتماعی مشابه قبلاً در حملات قبلی توسط این گروه هکری استفاده شده است.

دور زدن امنیت AWS

گزارش Mandiant همچنین نشان داد که مهاجمان با ربودن توکن‌های جلسه کاربر فعال، احتمالاً از طریق بدافزار روی ایستگاه کاری Developer1، احراز هویت چندعاملی AWS را دور زدند. این توکن‌های ربوده شده به هکرها اجازه دادند بدون نیاز به عبور از چک‌های MFA به خدمات AWS دسترسی پیدا کنند.

این حمله از آدرس‌های IP مرتبط با یک سرویس VPN و ابزارهای امنیتی طراحی شده برای هک تهاجمی انجام شد، طبق گزارش.

«برخی از شکاف‌ها در بازیابی کامل جنبه‌های خاصی از حمله باقی مانده‌اند زیرا مهاجم بدافزار خود را حذف کرده و تاریخچه Bash را پاک کرده است تا تلاش‌های تحقیقاتی را خنثی کند.»

اقدامات احتیاطی

به عنوان یک اقدام احتیاطی، Safe{Wallet} زیرساخت خود را بازنشانی کرده و دسترسی خارجی را محدود کرده است. همچنین ادعا می‌کند که با Blockaid، یک شرکت امنیت بلاکچین، تشخیص تراکنش‌های مخرب را بهبود بخشیده است. طبق گفته Safe، قراردادهای هوشمند آن تحت تأثیر این نقض قرار نگرفته‌اند.

وضعیت فعلی وجوه سرقت شده

صرافی ارز دیجیتال Bybit در اوایل مارس فاش کرد که نزدیک به ۲۰٪ از وجوه سرقت شده اکنون غیرقابل ردیابی هستند، کمتر از دو هفته پس از اینکه صرافی ۱.۴۶ میلیارد دلار را در یک حمله بسیار پیچیده از دست داد.

در یک پست X، مدیرعامل Bybit، بن ژو، فاش کرد که حدود ۷۷٪ از وجوه سرقت شده قابل ردیابی باقی مانده‌اند، اما نزدیک به ۲۰٪ از طریق خدمات میکسینگ «ناپدید شده‌اند».

نوشته شده توسط admin
80

نظرات

هنوز دیدگاهی ثبت نشده است.