نحوه سرقت ۱.۴ میلیارد دلاری بای بیت مشخص شد

تحقیقات شرکت Mandiant نشان می‌دهد که هکرهای کره شمالی پس از نفوذ به لپ‌تاپ مک شرکت Safe از طریق یک پروژه جعلی سرمایه‌گذاری سهام که به آنها کمک کرد امنیت AWS را دور بزنند، 1.4 میلیارد دلار از بای‌بیت به سرقت بردند.

به باور کارشناسان، حمله سایبری 1.4 میلیارد دلاری به Bybit که اکنون بزرگترین سرقت ارز دیجیتال در تاریخ محسوب می‌شود با بدافزاری از یک پروژه جعلی سرمایه‌گذاری سهام آغاز شد که لپ‌تاپ مک شرکت Safe را آلوده کرده و امنیت آمازون وب سرویس (AWS) را دور زد.

نفوذ به بای بیت از طریق لب تاپ توسعه دهنده safe

در مقاله‌ای که در تاریخ 6 مارس در X منتشر شد، شرکت Safe فاش کرد که گروه هکری کره شمالی معروف به TraderTraitor، لپ‌تاپ توسعه‌دهنده Safe{Wallet} با نام ” Developer1″ را آلوده کرده و با استفاده از توکن‌های دزدیده شده نشست AWS، احراز هویت چند عاملی(MFA) را دور زدند.

طبق تحقیقات Mandiant، این نفوذ در 4 فوریه رخ داد؛ یعنی زمانی که پروژه Docker که به عنوان “شبیه‌ساز سرمایه‌گذاری سهام  معرفی شده بود، بر روی مک Developer1 دانلود شد. این پروژه با یک دامنه مشکوک (getstockprice[.]com) ارتباط برقرار کرد که منجر به نصب بدافزار شد.

تاکتیک های مهندسی اجتماعی این گروه هکری

هنوز مشخص نیست چه چیزی Developer1 را مجبور به دانلود بدافزار از طریق ورک‌استیشن کرد اما تحقیقات نشان می‌دهد که تاکتیک‌های مهندسی اجتماعی مشابهی قبلاً در حملات قبلی این گروه هکری استفاده شده است.

همچنین گزارش Mandiant نشان داد که مهاجمان با ربودن توکن‌های نشست‌های فعال کاربران، احتمالاً از طریق بدافزار موجود در ورک‌استیشن Developer1، احراز هویت چند عاملی AWS را دور زدند. این توکن‌های ربوده شده به هکرها اجازه داد بدون نیاز به عبور از بررسی‌های MFA، به سرویس‌های AWS دسترسی پیدا کنند.

طبق این گزارش، این حمله از آدرس‌های IP مرتبط با یک سرویس VPN و ابزارهای امنیتی طراحی شده برای هک تهاجمی انجام شده است؛ شرکت Safe اعلام کرد: «به دلیل حذف بدافزار توسط مهاجم و پاک کردن تاریخچه Bash برای خنثی کردن تلاش‌های تحقیقاتی، شکاف‌هایی در بازیابی کامل برخی جنبه‌های حمله باقی مانده است.»

بازنشانی زیرساخت های شرکت امنیتی safe

Safe{Wallet} به عنوان یک اقدام احتیاطی، زیرساخت خود را بازنشانی کرده و دسترسی خارجی را محدود کرده است. همچنین ادعا می‌کند که با همکاری Blockaid که یک شرکت امنیتی بلاک چین است، شناسایی تراکنش‌های مخرب را بهبود بخشیده است. به گفته Safe، قراردادهای هوشمند آن تحت تأثیر این نفوذ قرار نگرفته‌اند.

صرافی ارز دیجیتال Bybit  در اوایل ماه مارس فاش کرد که نزدیک به 20 درصد از وجوه دزدیده شده، تنها کمتر از دو هفته پس از اینکه این صرافی 1.46 میلیارد دلار در یک حمله بسیار پیچیده از دست داد، غیرقابل ردیابی هستند. بن ژو مدیرعامل Bybit، در پستی در X فاش کرد که حدود 77 درصد از وجوه دزدیده شده قابل ردیابی باقی مانده، اما نزدیک به 20 درصد از طریق سرویس‌های مخلوط‌کننده ناپدید شده‌اند.

خوشبختانه کاربران خیلی محدودی از ایران در صرافی بای بیت فعالیت می کردند و پیشنهاد ما برای کاربران ایرانی، صرافی توبیت به عنوان پیشرو امنیت در بین رقبا.