Согласно отчету, Lazarus, похоже, скомпрометировал машину разработчика Safe перед взломом Bybit на $1,5 миллиарда

Bybit, жертва крупнейшей на сегодняшний день однодневной хакерской атаки, выпустила "промежуточный отчет" о расследовании, раскрывающий, что биржа знает на данный момент, продолжая отслеживать $1,5 миллиарда, выведенные северокорейской хакерской группой Lazarus в пятницу. 

Как сообщалось ранее, атака произошла во время относительно безобидной операции, когда держатели мультиподписей Bybit координировали перевод средств из холодного кошелька в "теплый кошелек" с использованием интерфейса Safe(Wallet), когда "злоумышленник вмешался и манипулировал транзакцией".

"Злоумышленник смог получить контроль над затронутым холодным кошельком и перевел его средства в кошелек под своим контролем", — пишет в отчете криптокибербезопасная фирма Sygnia из Тель-Авива. 

Согласно судебно-медицинскому расследованию модифицированных систем и веб-архивов, предназначенных "для выявления источника и масштаба компрометации", Sygnia обнаружила, что Lazarus, по-видимому, смогли взять под контроль компьютер разработчика Safe, чтобы внедрить вредоносное ПО, специально разработанное для атаки на подписантов Bybit. 

Это подтверждает некоторые исследования, быстро проведенные сообществом безопасности Ethereum в течение нескольких часов после эксплуатации — хотя не все. Хотя кажется, что Lazarus использовали все более популярную стратегию заражения устройств подписания, используемых для перемещения средств, и "слепых подписей", чтобы обмануть подписантов, заставив их неосознанно взаимодействовать с незнакомым адресом, контролируемым злоумышленниками, маскируя интерфейс, как ранее сообщал The Block, теперь стало ясно, что устройства Bybit не были непосредственно вовлечены. 

Тем не менее, исследование Sygnia помогает лучше понять, как Lazarus смогли взять под контроль операцию подписания держателя мультиподписи Bybit.

Не инфраструктура Bybit

"Выделенные первоначальные выводы предполагают, что атака началась с инфраструктуры Safe(Wallet) на AWS", — сообщает Sygnia. "На данный момент судебно-медицинское расследование не выявило никакой компрометации инфраструктуры Bybit."

Выводы предполагают, что несанкционированная активность возникла в результате целевой атаки на облачную систему Safe(Wallet), а именно на ее Amazon Web Services (AWS) S3 bucket, гибкую систему, обычно используемую для хранения и извлечения статических файлов (таких как скрипты или HTML-код) для веб-приложений. Браузеры подписантов затем загружали скомпрометированный JavaScript из S3 bucket (кэшированный локально, как обнаружено в артефактах Chrome, изученных Sygnia), который затем выполнял измененную транзакцию, когда Bybit собирался переместить свои средства. Более того, Sygnia обнаружила этот код на всех хостах мультиподписи, использованных для инициирования и подписания скомпрометированной транзакции

Со своей стороны, Safe — команда, выделившаяся из Gnosis — подтвердила, что атака "была осуществлена через скомпрометированную машину разработчика Safe{Wallet}, что привело к предложению замаскированной вредоносной транзакции", но не скомпрометировала фронтенд Safe