- Os atacantes exploraram a vulnerabilidade do React2Shell e roubaram credenciais AWS para acessar sistemas.
- Hackers vasculharam a infraestrutura da nuvem em busca de chaves privadas, credenciais e código-fonte de troca.
- Evidências e táticas apontam para grupos cibernéticos norte-coreanos que estão mirando a indústria cripto.
Uma campanha sofisticada de hacking que tem como alvo o coração da indústria de criptomoedas foi exposta pela empresa de cibersegurança Ctrl-Alt-Intel, e as impressões digitais deixadas sugerem possíveis ligações com atores de ameaça norte-coreanos .
O Arrombamento
Os atacantes usaram múltiplos pontos de entrada. Em alguns casos, eles exploraram o React2Shell, uma vulnerabilidade em um framework web popular, vasculhando a internet em busca de plataformas criptográficos rodando softwares desatualizados.
Em outro caso, os atacantes pareciam já possuir credenciais válidas da Amazon Web Services, permitindo que eles entrassem no ambiente de nuvem de uma exchange de criptomoedas sem acionar métodos típicos de invasão. Como essas credenciais foram obtidas permanece desconhecido.
O Saque Metódico
O que se seguiu não foi um arrombamento. Foi uma busca cuidadosa, cômodo por cômodo, de toda uma infraestrutura digital. Os atacantes vasculharam buckets de armazenamento em nuvem em busca de chaves privadas e arquivos de configuração.
Eles rastrearam por projetos de infraestrutura procurando senhas de banco de dados. Eles testaram conexões de rede e, quando um banco de dados se mostrou inacessível, simplesmente o reconfiguraram para ser acessível publicamente e conectado mesmo assim.
Então veio o verdadeiro prêmio. Cinco imagens proprietárias de contêineres Docker, essencialmente o código-fonte empacotado de uma exchange de criptomoedas ao vivo, foram extraídas e tiradas. Repositórios privados foram clonados.
Segredos de aplicação e credenciais codificadas fixamente foram coletados de cloud vaults, clusters Kubernetes e contêineres ativos. Uma plataforma de staking teve todo o backend removido, incluindo uma chave de carteira privada. Uma pequena quantidade de criptomoeda foi transferida do endereço associado logo depois.
A Trilha de Volta a Pyongyang
Os pesquisadores foram cuidadosos com a linguagem, evitando uma acusação definitiva. Mas as evidências que reuniram, o ataque sistemático a empresas de criptomoedas, as ferramentas usadas, os padrões de infraestrutura e a natureza do que foi roubado estão alinhados de perto com os atores de ameaça norte-coreanos que passaram anos saqueando a indústria cripto para gerar moeda forte para um regime sufocado por sanções.
Para obscurecer seus rastros, os atacantes direcionaram suas atividades por nós de VPN sul-coreanos, uma camada de desorientação projetada para complicar exatamente o tipo de investigação que acabou pegando-os.
Ctrl-Alt-Intel notificou as empresas afetadas. O restante da indústria foi alertado.
Relacionado: Atividade cripto por Estados Sancionados Expande-se por Redes Globais
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
