Bir Milyar Dramurji -inç darbesi: Bybit davasında ilk soruşturma detayı
1,5 milyar dolar değerinde cyptocurrency siber suçlular çalabilir, çünkü etkilenen şirket tarafından kullanılan “güvenli {cüzdan}” cüzdanını manipüle etmeyi başardılar. O zamandan beri, bunun nasıl olabileceği ile uğraşıyor ve (umarım) gelecekte tekrar olmayacak. SAFE, saldırganların diğer şeylerin yanı sıra Safe'de sorumlu bir geliştiriciyi aldatabileceği ilk soruşturma ayrıntılarını yayınladı.
21 Şubat'ta Kriptobörse Bybit'te suçlular tarafından elde edilen darbe büyük manşetler yaptı: Sorumlu olanlar bir cüzdandan diğerine çok sayıda kripto para birimi Ethereum'u (eter) aktarmak istediklerinde, madeni paralar profesyonel saldırganların eline geçti, muhtemelen güvenli cüzdanı manipüle edebildikleri için. FBI, Kuzey Kore Devleti ile ilişkili “Tradertraitor” grubunu suçluyor. SAFE, olayla uğraşırken Amerikan BT güvenlik danışmanlığı maniant ile işbirliği yapıyor.
SAFE, araştırmaların mevcut durumunu X'e duyurdu. Açık bir kısıtlama ile: Bu sadece daha fazla iş olduğu bir ön rapordur. Yeniden yapılanmadaki bazı boşluklar kalacaktı, çünkü saldırgan etkilenen cihazın saldırısından sonra kötü amaçlı yazılımları ve BASH terminalinin seyrini silmeyi başardı. Buna ek olarak, SAFE, çevrimiçi kullanıcılar için tüm hizmetleri ve ağları geri yüklemek için çalışmaktadır.
Saldırgan haftalar önce nüfuz etti
Kötülük 4 Şubat'ta yol aldı: Safe'a göre, bir geliştiricinin dizüstü bilgisayarı (“geliştirici1”) bu gün tehlikeye atıldı ve çok faktörlü kimlik doğrulama (MFA) kontrollerinden kaçınmak için Amazon Web Hizmetleri (AWS) için bir oturum çalındı. Bu nedenle ilgili kişi, görevlerini yerine getirmek için daha yüksek erişim yetkisine sahip olan birkaç çalışandan biriydi.
Güvenlik araştırmacıları, bir Docker projesinin uzlaşma için çağrıldığını varsayar. MC-Based-Stock-Invest-Simulator-main Alan adıyla getstockprice(.)com iletişim kurdu. Docker projesi artık cihazda mevcut değil, ancak dosyalar dizindeydi ~/Downloads/ Sosyal mühendisliğin olası bir göstergesinin ne olduğunu bulmak. Saldırganlar, insan zayıflıklarından ve özelliklerinden yararlanarak kurbanları manipüle etmeye çalışırlar. Örneğin, kurbanlar bu durumda olduğu gibi sistemlere bağımsız olarak programlar kurarlar. Mantian, şirketin farkında olduğu TraderTraitor'un diğer benzer saldırılarını ifade eder.
Alan adı getstockprice(.)com Mantiant'a göre, sadece yakın zamanda kaydedildi, Whois protokolüne göre, bu 2 Şubat'ta Nameceap web sunucusunda oldu. Mantian, neredeyse aynı alan adını ifade eder. getstockprice(.)info 23 Şubat'ta BT güvenlik danışmanlığı Slowgmist'in uzlaşmanın (IOC) bir göstergesi olarak bildiren Kuzey Kore Cover ile. Bu zaten 7 Ocak'ta Namecheap aracılığıyla kaydedilmişti.
VPN ve Kali Linux üzerinden AWS erişimi
Mantiant'a göre, geliştiricinin AWS hesabına ilk olarak 5 Şubat'ta, sağlayıcı ExpressVPN'nin IP adresleri tarafından örtüldü. Dize kullanıcı aracısı dizelerinde distrib#kali.2024 Güvenlik araştırmacılarının saldırganların Kali Linux'un bir dağıtımını kullandıklarını türettikleri içerir. Mantiant genellikle TraderTraitor'da ExpressVPN ve Kali Linux modelini gözlemlemiştir.
Güvenli AWS yapılandırması üzerinde çalışmak için, her 12 saatte bir çok faktörlü kimlik doğrulama (MFA) gerekliydi. Mantiant'a göre, saldırganlar da kendi AWS erişimlerini yaratmak için birkaç kez denedi, ancak bu başarısız oldu. Sonuç olarak, saldırganlar muhtemelen dizüstü bilgisayarındaki kötü amaçlı yazılım yardımıyla geliştirici1'den aktif oturumu kaçırdı. Faaliyetlerini geliştiricinin çalışma saatlerine göre takip etmek zorunda kaldılar.
Artan kod avın anahtarıydı
17 Şubat'ta saldırganlar daha sonra Safe'ın AWS kaynak koduna hasarlı kod ekledi. BT Güvenlik Danışmanlığı Ledger Insights, bu kodun yalnızca BYBIT tarafından etkilenen cüzdanlardan birine eklendiğini varsayar. Bu kod nihayetinde saldırganların 21 Şubat'ta Bybit Cüzdanından milyar değerleri kullanmasını sağladı.
Güvenli ve Bybit somut bir skandal hareket etti. Özellikle Bybit CEO'su Ben Zhou da dahil olmak üzere çeşitli uzmanlar saldırıdan sonra vurgulandığından: Güvenli cüzdan bu büyüklükteki işlemler için asla kullanılmamalıdır. Kader işlemine izin veren Zhou'ydu.
Ancak SAFE, saldırıdan önce var olan bazı güvenlik önlemlerinden de bahseder. Bu, örneğin, şirket dışından uzmanlarla da düzenli güvenlik denetimlerini içeriyordu. Ayrıca, üründeki değişikliklerde birkaç dört göz kontrolü vardı. SAFE, bir dizi yeni önlemle saldırıya tepki verir. Bu, kendi işlem sisteminiz için harici hizmetler için geçici bir kilit ve tüm yığın seviyelerinin kapsamlı bir şekilde izlenmesini içerir.
Çok okuma
Daha Fazla Göster
Daha az belirti
Rapor yeni sorular gündeme getiriyor
Yeni soruşturma raporu ayrıca bazı X kullanıcılarından yeni sorular gündeme getiriyor. Örneğin, diğer güvenli meslektaşlarının ürünündeki her değişikliğin kontrol edilmesi gerektiğinde saldırganların kodlarını nasıl koyabilmeleri nasıl mümkün oldu? Safe baş ürün sorumlusu Rahul Rumalla, saldırganların sayısız güvenlik önlemini atlatmak için mevcut bilgi düzeyine göre faaliyetlerini çok ustalıkla “manevra yaptığını ve düzenlediğini” söylüyor. Saldırganlar oldukça sofistike. Aynı kullanıcı, ilgili dizüstü bilgisayarın özel mi yoksa resmi bir cihaz mı olup olmadığını ve geliştiricinin rolünün kamuya açık olup olmadığını bilmek istiyor. Ancak Rumalla, çalışanın gizliliğini korumak için buna girmek istemiyor.
SAFE ayrıca tüm sektöre itirazda bulunur: Bu tür saldırıların artan karmaşıklığı, Web 3.0'ın güvenliğinde kritik zayıflıkları gösterir. Bir işlemin kullanıcı tarafından yetkilendirilmesi, siber suçlara karşı son savunma hattıdır ve yalnızca etkilenenler her zaman tam olarak neye izin verdiklerini biliyorsa çalışır. Bunun için SAFE bir rehber çalıştı. Ancak genel olarak, şirket sadece kripto işlemlerinin kullanıcılarını görmekle kalmaz, aynı zamanda bu tür sorunlara hakim olmak için tüm endüstri de zorlanır.
(Nen)