- Angreifer nutzten die React2Shell-Schwachstelle aus und stahlen AWS-Zugangsdaten, um auf Systeme zuzugreifen.
- Hacker durchsuchten die Cloud-Infrastruktur nach privaten Schlüsseln, Zugangsdaten und Exchange-Quellcode.
- Beweise und Taktiken deuten darauf hin, dass nordkoreanische Cybergruppen die Kryptoindustrie ins Visier nehmen.
Eine ausgeklügelte Hacking-Kampagne, die das Herz der Kryptoindustrie ins Visier nimmt, wurde von der Cybersicherheitsfirma Ctrl-Alt-Intel aufgedeckt, und die hinterlassenen Fingerabdrücke deuten auf mögliche Verbindungen zu nordkoreanischen Bedrohungsakteuren hin.
Der Einbruch
Die Angreifer nutzten mehrere Eingänge. In einigen Fällen nutzten sie React2Shell, eine Schwachstelle in einem beliebten Web-Framework, aus, um das Internet nach Krypto-Plattformen mit veralteter Software abzusuchen.
In einem anderen Fall schienen die Angreifer bereits über gültige Amazon Web Services-Zugangsdaten zu verfügen, die es ihnen ermöglichten, in die Cloud-Umgebung einer Kryptobörse einzutreten, ohne übliche Eindringlingsmethoden auszulösen. Wie diese Qualifikationen erhalten wurden, ist unbekannt.
Die methodische Plünderung
Was folgte, war kein Smash-and-Grab. Es war eine sorgfältige, Zimmer-für-Zimmer-Suche einer gesamten digitalen Infrastruktur. Die Angreifer durchkämmten Cloud-Speichereimer auf der Suche nach privaten Schlüsseln und Konfigurationsdateien.
Sie haben Infrastruktur-Baupläne nachverfolgt, um nach Datenbankpasswörtern zu suchen. Sie testeten Netzwerkverbindungen, und wenn sich eine Datenbank als unerreichbar herausstellte, wurden sie einfach so umkonfiguriert, dass sie ohnehin öffentlich zugänglich und verbunden war.
Dann kam der eigentliche Preis. Fünf proprietäre Docker-Container-Images, im Wesentlichen der verpackte Quellcode einer Live-Kryptowährungsbörse, wurden abgerufen und entwendet. Private Repositories wurden geklont.
Anwendungsgeheimnisse und fest kodierte Zugangsdaten wurden aus Cloud-Tresoren, Kubernetes-Clustern und Live-Containern gewonnen. Einer der Staking-Plattformen wurde das gesamte Backend entfernt, einschließlich eines privaten Wallet-Schlüssels. Kurz darauf wurde eine kleine Menge Kryptowährung von der zugehörigen Adresse überwiesen.
Der Weg zurück nach Pjöngjang
Forscher waren vorsichtig mit ihrer Sprache und blieben kurz vor einer eindeutigen Anschuldigung. Aber die von ihnen gesammelten Beweise, das systematische Angriff auf Krypto-Unternehmen, die eingesetzten Werkzeuge, die Infrastrukturmuster und die Art des Gestohlenen stimmen eng mit nordkoreanischen Bedrohungsakteuren überein, die jahrelang die Kryptoindustrie geplündert haben, um harte Währung für ein sanktionsgedrängtes Regime zu generieren.
Um ihre Spuren zu verwischen, leiteten die Angreifer ihre Aktivitäten über südkoreanische VPN-Knotenpunkte – eine Irreführungsebene, die genau die Art von Ermittlung, die sie letztlich erwischte, erschweren sollte.
Strg-Alt-Intel hat die betroffenen Unternehmen benachrichtigt. Der Rest der Branche wurde gewarnt.
Verwandt: Krypto-Aktivitäten sanktionierter Staaten weiten sich über globale Netzwerke aus
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
