Согласно исследованию Safe{Wallet} и Mandiant инцидента со взломом криптобиржи Bybit, хакеры использовали уязвимость нулевого дня в macOS рабочей станции, принадлежащем одному из ключевых разработчиков компании Safe{Wallet}. Сотрудники ByBit использовали программные продукты Safe{Wallet} для управления криптоактивами биржи.
Получив доступ к ноутбуку одного из разработчиков Safe{Wallet}, хакеры извлекли AWS-токены сессии, что позволило им обойти многофакторную аутентификацию и беспрепятственно проникнуть в инфраструктуру ByBit. Выбранный хакерами разработчик обладал высокими привилегиями, необходимыми для работы с кодовой базой биржи. Действуя скрытно несколько суток, хакеры удалили вредоносное программное обеспечение и стерли следы своего присутствия в IT-инфраструктуре Safe{Wallet}.
Согласно данным расследования, внедрение стороннего кода в продуктивную систему Safe{Wallet} произошло 4 февраля 2025 года через Docker-проект при подключении к сайту getstockprice.com. Несмотря на то, что сам проект к моменту анализа уже был удален, обнаруженные экспертами по ИБ файлы в каталоге загрузок указывают на использование хакерами методов социальной инженерии для первоначального проникновения.
Для доступа к AWS-аккаунту разработчика, хакеры использовали сервис ExpressVPN, маскируя свои действия под легитимную активность. Хакеры заранее тщательно изучили рабочее расписание жертвы и подстраивали свою деятельность под него, используя похищенные токены активных сессий для незаметного доступа.
21 февраля 2025 года хакеры атаковали криптобиржу Bybit и смогли похитить 70% Ethereum‑активов (400 тысяч ETH), признал глава компании Бен Чжоу. За взломом криптобиржи Bybit на $1,4 млрд стоит Lazarus Group, считают эксперты по ИБ.
Источник: https://habr.com/ru/news/889434/