Seguro publicado a Relatório Preliminar em 6 de março, atribuindo a violação que levou ao Bybit Hackear um laptop de desenvolvedor comprometido. A vulnerabilidade resultou na injeção de malware, o que permitiu o hack.
Os autentadores contornaram a autenticação multifatorial (MFA) explorando ativo Amazon Tokens de Serviços da Web (AWS), permitindo acesso não autorizado.
Isso permitiu que os hackers modificassem a interface de carteira de assinatura com vários assinaturas do Bybit, alterando o endereço para o qual a troca deveria enviar aproximadamente US $ 1,5 bilhão em Ethereum (Eth), resultando no maior truque da história.
Compromisso da estação de trabalho do desenvolvedor
A violação se originou de uma estação de trabalho MacOS comprometida pertencente a um desenvolvedor seguro, referido no relatório como “desenvolvedor1”.
Em 4 de fevereiro, um projeto Docker contaminado se comunicou com um domínio malicioso chamado “GetStockPrice[.]com, ”sugerindo táticas de engenharia social. O desenvolvedor 1 adicionou arquivos do projeto Docker comprometido, comprometendo seu laptop.
O domínio foi registrado via Namecheap em 2 de fevereiro.[.]Informações, um domínio registrado em 7 de janeiro, como um indicador conhecido de compromisso (COI) atribuído à República Popular Democrática da Coréia (RPDC).
Os invasores acessaram a conta da AWS do desenvolvedor 1 usando uma string de agente de usuário intitulada “Distrib#kali.2024”. A empresa de segurança cibernética Mandiant, rastreando UNC4899, observou que esse identificador corresponde ao uso do Kali Linux, um conjunto de ferramentas comumente usado por profissionais de segurança ofensivos.
Além disso, o relatório revelou que os atacantes usaram o ExpressVPN para mascarar suas origens enquanto conduzem operações. Também destacou que o ataque se assemelha aos incidentes anteriores envolvendo a UNC4899, um ator de ameaças associado ao Tradertrator, um coletivo criminal supostamente ligado à RPDC.
Em um caso anterior de setembro de 2024, a UNC4899 alavancou o telegrama para manipular um desenvolvedor de troca de criptografia para solucionar um projeto de docker, implantando o plottwist, um malware de macos em segundo estágio que permitia acesso persistente.
Exploração de controles de segurança da AWS
A configuração da AWS da Safe exigia a reutenticação do MFA para sessões de serviço de token de segurança (STS) a cada 12 horas. Os atacantes tentaram, mas não conseguiram registrar seu próprio dispositivo MFA.
Para ignorar essa restrição, eles sequestraram os tokens de sessão de usuários ativos da AWS por meio de malware plantado na estação de trabalho do desenvolvedor1. Isso permitiu acesso não autorizado, enquanto as sessões da AWS permaneceram ativas.
Mandiant identificou três domínios adicionais ligados à UNC4899 usados no ataque seguro. Esses domínios, também registrados via Namecheap, apareceram nos logs da AWS Network e nos registros da estação de trabalho do Developer1, indicando uma exploração mais ampla de infraestrutura.
A Safe disse que implementou reforços de segurança significativos após a violação. A equipe reestruturou a infraestrutura e reforçou a segurança muito além dos níveis pré-incidente. Apesar do ataque, os contratos inteligentes da Safe permanecem inalterados.
O Programa de Segurança da Safe incluiu medidas, como restringir o acesso de infraestrutura privilegiada a alguns desenvolvedores, aplicando a separação entre o código -fonte do desenvolvimento e o gerenciamento de infraestrutura e exigindo várias revisões de pares antes das mudanças na produção.
Além disso, o seguro prometeu manter os sistemas de monitoramento para detectar ameaças externas, realizar auditorias de segurança independentes e utilizar serviços de terceiros para identificar transações maliciosas.
