bencede
New member
Bir milyar darbenin dramaturjisi: Bybit davasında ilk soruşturma
1.5 milyar dolarlık bir değer için Cipocurrenza, suçluları çalabilir, çünkü ilgili şirket tarafından kullanılan “güvenli {cüzdan}” portföyünü manipüle etmeyi başardılar. O zamandan beri, bunun nasıl olabileceği ile ilgisi vardı ve gelecekte tekrar (umarım) olmayacak. SAFE şimdi ilk detayları, saldırganların diğer şeylerin yanı sıra Safe'de sorumlu bir geliştiriciyi aldatabileceğini araştırdı.
21 Şubat'ta suçlular tarafından Kriptobörse Bybit'e ulaşılan darbe d'état, büyük başlıklar yaptı: yöneticiler bir portföyden diğerine çok sayıda kripto para birimi ethereum'u (eter) aktarmak istediğinde, paralar da profesyonel saldırganların ellerinde ellerinde birleşti, muhtemelen güvenli portfolo kullandılar. FBI, Kuzey Kore devletiyle ilişkili “Traddraitor” grubunu suçluyor. SAFE, kaza söz konusu olduğunda Amerikan BT güvenlik danışmanlığı maniant ile işbirliği yapmaktır.
SAFE, X'e yapılan soruşturmaların mevcut durumunu açıkladı. Açık bir kısıtlama ile: Bu sadece daha fazla iş olduğu bir ön ilişkidir. Yeniden yapılanmadaki bazı boşluklar kalacaktı, çünkü saldırgan ilgili cihazın saldırısından sonra kötü amaçlı yazılımları ve BASH terminalinin seyrini ortadan kaldırmayı başardı. Buna ek olarak, SAFE, çevrimiçi kullanıcılar için tüm hizmetleri ve ağları geri yüklemek için çalışıyor.
Forvet haftalar önce nüfuz etti
Kötülük 4 Şubat'ta seyrini izledi: Safe'a göre, bir geliştiricinin dizüstü bilgisayarı (“geliştirici1”) bu gün tehlikeye atıldı ve Amazon Web Services (AWS) için bir oturum çalındı (MFA). Bu nedenle ilgili kişi, görevlerini yerine getirmek için büyük bir erişim yetkisine sahip olan birkaç çalışandan biriydi.
Güvenlik araştırmacıları, bir Docker projesinin uzlaşma istediğine inanıyor MC-Based-Stock-Invest-Simulator-main Alan adıyla getstockprice(.)com İletişim kurdu. Docker projesi artık cihazda mevcut değil, ancak dosyalar dizinindeydi ~/Downloads/ Mümkün olanı bulmak için sosyal mühendisliğin bir göstergesi. Saldırganlar, zayıflıklardan ve insan mülklerinden yararlanarak kurbanları manipüle etmeye çalışırlar. Örneğin, kurbanlar bu durumda olduğu gibi sistemlere programlar yükleyeceklerdir. Mantian, şirketin farkında olduğu TraderTraito'nun diğer benzer saldırılarını ifade eder.
Alan adı getstockprice(.)com Mantiant'a göre, sadece yakın zamanda kaydedildi, Whois protokolüne göre, bu 2 Şubat'ta Nameceap ana bilgisayar web'de gerçekleşti. Mantian, neredeyse aynı alan adını ifade eder. getstockprice(.)info 23 Şubat'ta BT Slowgmist güvenlik tavsiyesini bir uzlaşma göstergesi (IOC) olarak bildiren Kuzey Kore'nin kapsamı ile. Bu zaten 7 Ocak'ta Namecheap aracılığıyla kaydedilmişti.
VPN ve Kali Linux üzerinden AWS erişimi
Mantiant'a göre, geliştirici1 hesabı AWS'ye, 5 Şubat'ta ExpressVPN sağlayıcısının IP adresleri tarafından örtülü oldu. Dize, kullanıcı aracısının dizelerinde bulunur distrib#kali.2024 Güvenlik araştırmacılarının saldırganların Linux Kali'nin bir dağıtımını kullandıklarını türettik. Mantiant, TraderTraito'daki ExpressVPN ve Kali Linux modelini sık sık gözlemledi.
Güvenli Çok Faktörlü Kimlik Doğrulama (MFA) AWS yapılandırması üzerinde çalışmak için her 12 saatte bir. Mantiant'a göre, saldırganlar AWS erişimlerini oluşturmak için birkaç kez denediler, ancak bu başarısız oldu. Sonuç olarak, saldırganlar muhtemelen dizüstü bilgisayarındaki kötü amaçlı yazılım yardımıyla geliştirici1'in aktif oturumunu yönlendirdiler. Faaliyetlerini geliştiricinin çalışma saatlerine göre takip etmek zorunda kaldılar.
Artan kod avın anahtarıydı
17 Şubat'ta saldırganlar daha sonra hasarlı kodu güvenli AWS kaynak koduna ekledi. Mastro Güvenlik Danışmanı Kitap, bu kodun sadece Bybit'ten etkilenen portföylerden birine eklendiğini varsayar. Sonunda bu kod, saldırganların 21 Şubat'ta Bybit portföyünden milyarlarca değeri kullanmasına izin verdi.
Güvenli ve Bybit somut bir skandal hareket etti. Her şeyden önce, Bybit Ben Zhou'nun CEO'su da dahil olmak üzere çeşitli uzmanlar, saldırıdan sonra altını çizen: Güvenli cüzdan bu büyüklükteki işlemler için asla kullanılmamalıdır. Kader işlemine izin veren Zhou'ydu.
Bununla birlikte, SAFE, saldırıdan önce mevcut güvenlik önlemlerinden bazılarından da bahseder. Bu, örneğin, şirket dışındaki uzmanlarla bile düzenli güvenlik denetimlerini içeriyordu. Ayrıca, üründeki değişikliklerde birkaç dört gözlem kontrolü de vardı. SAFE, bir dizi yeni önlemle saldırıya tepki verir. Bu, işlem sistemi için harici hizmetler için geçici bir blok ve tüm yığın seviyelerinin tamamen izlenmesini içerir.
Ayrıca oku
Daha Fazla Göster
Daha az belirti
Rapor yeni sorular doğuruyor
Yeni soruşturma raporu, bazı X kullanıcılarından da yeni sorular gündeme getiriyor. Safe'ın baş ürün sorumlusu Rahul Rumalla, saldırganların çok sayıda güvenlik önlemini atlatmak için mevcut bilgi düzeyine dayanan faaliyetlerini çok yetenekli bir şekilde “manevra yaptığını ve düzenlediğini” belirtiyor. Saldırganlar oldukça sofistike. Aynı kullanıcı ayrıca söz konusu dizüstü bilgisayarın özel veya resmi bir cihaz olup olmadığını ve geliştiricinin rolünün kamuya açık olup olmadığını bilmek istiyor. Ancak Rumalla, çalışanın gizliliğini derinleştirmek istemiyor.
SAFE ayrıca tüm sektöre itirazla karşı karşıya: Bu saldırıların artan iyileştirilmesi, Web 3.0 güvenliğindeki kritik zayıflıkları göstermektedir. Bir işlemin kullanıcı tarafından yetkilendirilmesi, bilgisayar suçuna karşı son savunma hattıdır ve ancak etkilenen insanlar her zaman tam olarak neye izin verdiklerini biliyorsa çalışır. Bunun için Safe bir rehber geliştirdi. Ancak genel olarak, şirket sadece kriptografik işlemlerin kullanıcılarını görmekle kalmaz, aynı zamanda bu sorunlara hakim olmak için tüm sektör de zorlanmaktadır.
(Nen)