Safe publié un rapport préliminaire Le 6 mars, attribuant la violation qui a conduit au piratage de Bybt à un ordinateur portable de développeur compromis. La vulnérabilité a entraîné l’injection de logiciels malveillants, ce qui a permis le piratage.
Les auteurs ont contourné l’authentification multi-facteurs (MFA) en exploitant les jetons AMATON Web Services (AWS) actifs (AWS), permettant un accès non autorisé.
Cela a permis aux pirates de modifier l’interface de portefeuille multi-signature de Bybit, modifiant l’adresse à laquelle l’échange était censé envoyer environ 1,5 milliard de dollars d’Ethereum (ETH), ce qui a entraîné le plus grand piratage de l’histoire.
Compromis de la station de travail des développeurs
La violation provient d’un poste de travail MacOS compromis appartenant à un développeur sûr, appelé dans le rapport «Developer1».
Le 4 février, un projet Docker contaminé a communiqué avec un domaine malveillant nommé «GetstockPrice (.) Com», suggérant des tactiques d’ingénierie sociale. Développeur 1 a ajouté des fichiers du projet Docker compromis, compromettant leur ordinateur portable.
Le domaine a été enregistré via Namecheap le 2 février. Slowmist a ensuite identifié GetstockPrice (.) Info, un domaine enregistré le 7 janvier, comme un indicateur connu du compromis (CIO) attribué à la République populaire démocrate de Corée (DPRC).
Les attaquants ont accédé au compte AWS du développeur 1 à l’aide d’une chaîne d’agent utilisateur intitulée «Distrib # kali.2024». La société de cybersécurité Mandiant, suivant UNC4899, a noté que cet identifiant correspond à l’utilisation de Kali Linux, un ensemble d’outils couramment utilisé par les praticiens de la sécurité offensive.
De plus, le rapport a révélé que les attaquants ont utilisé ExpressVPN pour masquer leurs origines lors de la réalisation d’opérations. Il aussi a souligné que l’attaque ressemble à des incidents antérieurs impliquant UNC4899, un acteur de menace associé à TraderTraitor, un collectif criminel prétendument lié à la RPDC.
Dans un cas antérieur à partir de septembre 2024, UNC4899 a exploité Telegram pour manipuler un développeur d’échange de crypto dans le dépannage d’un projet Docker, déploiement de Plottwist, un malware macOS de deuxième étape qui a permis un accès persistant.
Exploitation des contrôles de sécurité AWS
La configuration AWS de Safe a requis la réauthentification MFA pour les séances de service de token de sécurité (STS) toutes les 12 heures. Les attaquants ont tenté mais n’ont pas réussi à enregistrer leur propre appareil MFA.
Pour contourner cette restriction, ils ont détourné les jetons de session utilisateur AWS actifs via des logiciels malveillants plantés sur la station de travail de Developer1. Cela a permis un accès non autorisé lorsque les sessions AWS sont restées actives.
Mandiant a identifié trois domaines liés à UNC4899 supplémentaires utilisés dans l’attaque sûre. Ces domaines, également enregistrés via Namecheap, sont apparus dans AWS Network Logs et les journaux de travail de Developer1, indiquant une exploitation plus large des infrastructures.
Safe a déclaré avoir mis en œuvre des renforts de sécurité importants à la suite de la violation. L’équipe a restructuré les infrastructures et renforcé la sécurité bien au-delà des niveaux préalables. Malgré l’attaque, les contrats intelligents de Safe ne restent pas affectés.
Le programme de sécurité de Safe comprenait des mesures telles que la restriction de l’accès aux infrastructures privilégiées à quelques développeurs, appliquant la séparation entre le code source de développement et la gestion des infrastructures, et nécessitant plusieurs revues par les pairs avant les changements de production.
De plus, il s’est engagé en toute sécurité pour maintenir les systèmes de surveillance pour détecter les menaces externes, effectuer des audits de sécurité indépendants et utiliser des services tiers pour identifier les transactions malveillantes.
Mentionné dans cet article
(TagStotranslate) Ethereum
