- Злоумышленники воспользовались уязвимостью React2Shell и украли учетные данные AWS для доступа к системам.
- Хакеры искали в облачной инфраструктуре приватные ключи, учетные данные и исходный код обмена.
- Доказательства и тактики указывают на то, что северокорейские кибергруппы нацеливаются на криптоиндустрию.
Сложная кампания взлома, направленная на сердце криптовалютной индустрии, была раскрыта кибербезопасностью компанией Ctrl-Alt-Intel, а оставленные отпечатки указывают на возможные связи с северокорейскими злоумышленниками.
Взлом
Нападавшие использовали несколько точек входа. В некоторых случаях они использовали React2Shell — уязвимость популярного веб-фреймворка, сканируя интернет в поисках криптоплатформ с устаревшим ПО.
В другом случае злоумышленники, по-видимому, уже имели действительные учетные данные Amazon Web Services, что позволяло им проникать в облачную среду криптобиржи без активации типичных методов вторжения. Как именно были получены эти документы, остаётся неизвестным.
Методическое грабеж
То, что последовало, не было просто разбитым захватом. Это был тщательный, комнатный поиск по всей цифровой инфраструктуре. Злоумышленники тщательно изучали облачные хранилища в поисках приватных ключей и конфигурационных файлов.
Они проследили инфраструктурные чертежи в поисках паролей от баз данных. Они проверяли сетевые соединения, и когда одна база данных оказалась недоступна, просто перенастроили её, чтобы она была публично доступной и подключённой.
А потом наступил настоящий приз. Пять проприетарных изображений контейнеров Docker, по сути, упакованного исходного кода живой криптовалютной биржи, были извлечены и взяты. Частные хранилища были клонированы.
Секреты приложений и жёстко закодированные учетные данные собирались из облачных хранилищ, кластеров Kubernetes и живых контейнеров. Одна из платформ для стейкинга была полностью очищена, включая ключ от приватного кошелька. Небольшое количество криптовалюты было переведено с соответствующего адреса вскоре после этого.
Путь обратно в Пхеньян
Исследователи были осторожны с языком, не выдвигая окончательного обвинения. Но собранные ими доказательства, систематическое нацеление на криптобизнес, используемые инструменты, структурные структуры и характер украденного — тесно совпадают с северокорейскими злоумышленниками, которые годами проводили рейды в криптоиндустрии ради создания жёсткой валюты для режима, заблокированного санкциями.
Чтобы скрыть свои следы, злоумышленники направили свою активность через южнокорейские VPN-узлы — слой дезориентации, призванный усложнить именно тот тип расследования, который в итоге их поймал.
Ctrl-Alt-Intel уведомил затронутые компании. Остальная часть отрасли была предупреждена.
Связано: Криптоактивность санкционированных государств расширяется по глобальным сетям
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
