Согласно исследованию Safe{Wallet} и Mandiant инцидента со взломом криптобиржи Bybit, хакеры использовали уязвимость нулевого дня в macOS рабочей станции, принадлежащем одному из ключевых разработчиков компании Safe{Wallet}. Сотрудники ByBit использовали программные продукты Safe{Wallet} для управления криптоактивами биржи.
Получив доступ к ноутбуку одного из разработчиков Safe{Wallet}, хакеры извлекли AWS-токены сессии, что позволило им обойти многофакторную аутентификацию и беспрепятственно проникнуть в инфраструктуру ByBit. Выбранный хакерами разработчик обладал высокими привилегиями, необходимыми для работы с кодовой базой биржи. Действуя скрытно несколько суток, хакеры удалили вредоносное программное обеспечение и стерли следы своего присутствия в IT-инфраструктуре Safe{Wallet}.
Согласно данным расследования, внедрение стороннего кода в продуктивную систему Safe{Wallet} произошло 4 февраля 2025 года через Docker-проект при подключении к сайту getstockprice.com. Несмотря на то, что сам проект к моменту анализа уже был удален, обнаруженные экспертами по ИБ файлы в каталоге загрузок указывают на использование хакерами методов социальной инженерии для первоначального проникновения.
Для доступа к AWS-аккаунту разработчика, хакеры использовали сервис ExpressVPN, маскируя свои действия под легитимную активность. Хакеры заранее тщательно изучили рабочее расписание жертвы и подстраивали свою деятельность под него, используя похищенные токены активных сессий для незаметного доступа.
21 февраля 2025 года хакеры атаковали криптобиржу Bybit и смогли похитить 70% Ethereum‑активов (400 тысяч ETH), признал глава компании Бен Чжоу. За взломом криптобиржи Bybit на $1,4 млрд стоит Lazarus Group, считают эксперты по ИБ.
Сразу после взлома хакеры перевели средства по десяткам кошельков. Команда ByBit утверждает, что был скомпрометирован только один холодный кошелек, все остальные — в безопасности.
По словам Чжоу, сотрудники биржи совершали штатный перевод с «холодного» кошелька биржи на «теплый». Хакер взял под контроль кошелек благодаря подмене его интерфейса. Чжоу отметил, что остальные холодные кошельки биржи в безопасности и все операции происходят в штатном режиме. Чжоу попросил у сообщества помощи в поиске украденных средств.
Пояснение инцидента от эксперта по ИБ:
22 февраля Bybit объявила о награде в размере $140 млн за помощь в поимке команды хакеров или её организаторов, укравших $1,4 млрд. Примечательно, что криптобиржа по обычной программе багбаунти платит 4 тыс. USDT за критическую уязвимость в своей системе. Теперь компания решила выделить 10% от суммы кражи на вознаграждение экспертов по этической кибербезопасности и сетевой безопасности, которые играют активную роль в возвращении украденных криптовалют в ходе инцидента.
Федеральное бюро расследований США сообщило, что считает хакеров из Северной Кореи ответственными за кражу криптовалюты Ethereum на сумму $1,5 млрд с биржи Bybit. В ФБР уточнили, что вывод средств хакерами удалось осуществить с помощью специализированного инструментария, которому в американской спецслужбе дали условное название TraderTraitor.
В начале марта профильный специалист по криптовалюте и эксперты из Odaily пояснили, что хакеры за 10 суток успешно «отмыли» все 499 000 Ethereum на $1,4 млрд, украденные с Bybit. Хакеры в основном использовали протокол THORChain для отмывания украденных средств, что привело к объёму транзакций в $5,9 млрд на этой платформе и принесло около $5,5 млн дохода от комиссий.
Источник новости: habr.com
