- Los atacantes explotaron la vulnerabilidad React2Shell y robaron credenciales AWS para acceder a sistemas.
- Los hackers buscaron en la infraestructura de la nube claves privadas, credenciales y código fuente de intercambio.
- Las pruebas y tácticas apuntan a grupos cibernéticos norcoreanos que están dirigiéndose a la industria cripto.
La empresa de ciberseguridad Ctrl-Alt-Intel ha descubierto una sofisticada campaña de hackeo que apunta al corazón de la industria de las criptomonedas, y las huellas dactilares dejadas sugieren posibles vínculos con actores amenazantes norcoreanos .
El robo
Los atacantes usaron múltiples puntos de entrada. En algunos casos, explotaron React2Shell, una vulnerabilidad en un framework web popular, buscando en internet plataformas cripto que ejecutaban software obsoleto.
En otro caso, los atacantes parecían ya poseer credenciales válidas de Amazon Web Services, lo que les permitía acceder al entorno cloud de una bolsa de criptomonedas sin activar los métodos típicos de intrusión. Cómo se obtuvieron esas credenciales sigue siendo desconocido.
El saqueo metódico
Lo que siguió no fue un robo y robo. Fue una búsqueda cuidadosa, habitación por habitación, de toda una infraestructura digital. Los atacantes revisaron cubos de almacenamiento en la nube buscando claves privadas y archivos de configuración.
Rastrearon a través de planos de infraestructura buscando contraseñas de bases de datos. Probaron las conexiones de red y, cuando una base de datos resultó inaccesible, simplemente la reconfiguraron para que fuera accesible públicamente y conectada de todos modos.
Luego llegó el verdadero premio. Se extrajeron y tomaron cinco imágenes propietarias de contenedores Docker, esencialmente el código fuente empaquetado de un intercambio de criptomonedas en activo. Se clonaron repositorios privados.
Los secretos de la aplicación y las credenciales codificadas en fija se recolectaban de cloud vaults, clústeres de Kubernetes y contenedores en vivo. Una plataforma de staking tuvo todo el backend despojado, incluyendo una llave de cartera privada. Poco después, una pequeña cantidad de criptomonedas fue transferida desde la dirección asociada.
El camino de regreso a Pyongyang
Los investigadores fueron cuidadosos con su lenguaje, sin llegar a una acusación definitiva. Pero las pruebas que recopilaron, el objetivo sistemático de empresas cripto, las herramientas utilizadas, los patrones de infraestructura y la naturaleza de lo robado coinciden estrechamente con los actores amenazantes norcoreanos que han pasado años saqueando la industria cripto para generar divisas fuertes para un régimen asfixiado por sanciones.
Para ocultar sus huellas, los atacantes encaminaron su actividad a través de nodos VPN surcoreanos, una capa de distracción diseñada para complicar exactamente el tipo de investigación que finalmente les atrapó.
Ctrl-Alt-Intel ha notificado a las empresas afectadas. El resto de la industria ha sido avisado.
Relacionado: La actividad cripto de los Estados sancionados se expande a través de redes globales
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
