安全的 出版 初步报告 3月6日,将导致的违规行为归因于 bybit 入侵受损的开发人员笔记本电脑。漏洞导致了恶意软件的注射,这允许黑客入侵。
肇事者通过利用活动来规避多因素身份验证(MFA) 亚马逊 Web Services(AWS)令牌,实现未经授权的访问。
这使黑客可以修改Bybit的安全多签名钱包接口,更改交易所应向的地址发送约15亿美元的以太坊(eth),导致历史上最大的黑客。
开发人员工作站的妥协
违规行为起源于属于安全开发人员的MACOS工作站,报告中称为“开发人员1”。
2月4日,一个受污染的Docker项目与一个名为“ GetStockPrice”的恶意域进行了交流[.]com,提出社会工程策略。开发人员1添加了折衷的Docker项目中的文件,损害了其笔记本电脑。
该域于2月2日通过NAMECHEAP注册。慢慢人后来确定了GetStockPrice[.]Info是1月7日注册的域名,是归因于大韩民国民主共和国(DPRK)的已知妥协指标(IOC)。
攻击者使用名为“分布#Kali.2024”的用户代理字符串访问了开发人员1的AWS帐户。跟踪UNC4899的网络安全公司Mandiant指出,该标识符对应于Kali Linux用法,这是进攻安全从业者常用的工具集。
此外,报告显示,攻击者在进行操作时使用ExpressVPN掩盖了其起源。也是如此 强调这次袭击类似于以前的事件,涉及UNC4899,这是与TraderTraitor相关的威胁行为者,这是据称与DPRK相关的犯罪集体。
在2024年9月的先前情况下,UNC4899利用电报操纵加密交易所开发人员来对Docker项目进行故障排除,部署PlottWist,这是一种启用持久访问的第二阶段MacOS恶意软件。
AWS安全控制的开发
Safe的AWS配置需要每12小时的安全令牌服务(STS)会话进行MFA重新认证。攻击者试图但未能注册自己的MFA设备。
为了绕过这一限制,他们通过开发器1的工作站上种植的恶意软件劫持了Active AWS用户会话令牌。这允许未经授权的访问权限,而AWS会话保持活跃。
Mandiant确定了在安全攻击中使用的另外三个UNC4899链接域。这些域也通过NameCheap注册,出现在AWS网络日志中和Developer1的工作站日志中,表明基础架构开发更广泛。
Safe表示,违规后已实施了大量的安全增援。该团队对基础设施进行了重组,并支持了远远超出事前水平的安全性。尽管发生了攻击,但安全的智能合约仍然不受影响。
Safe的安全计划包括诸如将特权基础架构访问限制在少数开发人员中,执行开发源代码和基础架构管理之间的分离,以及在生产更改之前需要进行多次同行评估。
此外,安全发誓要维护监控系统,以检测外部威胁,进行独立的安全审核,并利用第三方服务来确定恶意交易。
