То, что эта рутинная операция закончилась передачей средств третьей стороне (атаку приписывают группировке из Северной Кореи), стало неожиданностью для сотрудников криптобиржи. Bybit привлекла сразу две сторонних компании для расследования инцидента, и 25 февраля два независимых отчета. Полностью прояснить причины взлома все же пока не удалось, так как в нем оказалась замешана еще одна сторона — поставщик криптовалютных сервисов .
Результаты расследования популярно издание Ars Technica. «Холодный» кошелек сейчас является стандартным средством безопасного хранения криптовалюты. В отличие от «теплого» и «горячего» кошельков, имеющих доступ к Интернету и необходимых для окончательной регистрации транзакции, холодный кошелек представляет собой защищенную флешку, хранящую приватный ключ, без которого перевод средств невозможен. Дополнительным средством безопасности является концепция multisig — когда разблокировать средства должны одновременно несколько авторизованных пользователей. Это позволяет избежать потери средств, когда компьютер единственного управляющего скомпрометирован.
Таким образом, главный вопрос по итогам кражи звучит следующим образом: как получилось ввести в заблуждение сразу трех администраторов криптобиржи? По свидетельствам сразу из двух независимых отчетов компаний Sygnia и Verichains, была скомпрометирована инфраструктура компании Safe, посредника при проведении транзакций, предоставляющего соответствующую инфраструктуру. Еще 18 февраля, за три дня до кражи, на сервер Safe на хостинге AWS был загружен вредоносный скрипт. Он таргетировал исключительно компанию Bybit. Вредоносный скрипт подменял адрес, на который требовалось перевести средства, на принадлежащий организаторам атаки, а затем производил обратную подмену.
Скрипт удалось обнаружить в кэше браузеров на ПК, принадлежащих сотрудникам Bybit. Вредоносный скрипт был сохранен на ресурсе web.archive.org 19 февраля. Через две минуты после атаки на сервере safe.global, по-видимому, произошла операция по заметанию следов атаки — вредоносный скрипт был убран и заменен на безвредный. Соответственно, речь идет об атаке на цепочку поставок: когда взлом поставщика услуг приводит к компрометации клиента.
Впрочем, у этой истории пока есть одна проблема: представители Safe взлом своей инфраструктуры . В компании сообщили о проведении собственного расследования.
Если исключить компрометацию Safe, то речь идет не об атаке класса supply chain (которая могла бы привести к атакам и на других клиентов этого сервиса), а о банальном взломе компьютеров сотрудников Bybit. То есть скрипт не был доставлен с сервера Safe, а был подменен непосредственно на ПК администраторов. Они выполняли рутинную операцию, которая для них не выглядела подозрительно. И в процессе все трое одобрили транзакцию средств в пользу атакующих. Как бы ни повернулась эта история, главный вывод следующий: даже продвинутые меры предосторожности при управлении криптокошельками не гарантируют полной безопасности.
Что еще произошло
Исследователи «Лаборатории Касперского» опубликовали об эволюции мобильных угроз за 2024 год.
Разработчики браузера Mozilla Firefox на прошлой неделе за обновленное пользовательское соглашение, из которого пропало обещание никогда не продавать пользовательские данные сторонним компаниям. Вместо этого появилась конструкция, в которой пользователи предоставляют Mozilla лицензию на использование их контента. Как в Mozilla, изменение чисто юридическое: законодательство разных стран может крайне широко трактовать понятие «продажи данных», поэтому давать громкие обещания никогда этого не делать просто невозможно. Два года назад мы цитировали фонда Mozilla о приватности пользовательских данных в автомобилях. Там говорилось о «ночном кошмаре приватности» и приводились примеры похожих формулировок в пользовательских соглашениях автопроизводителей, которые, скорее всего, и появились там по той же причине, что и нововведения в соглашении на использование Firefox. Необязательно для торговли данными, а чтобы, например, избежать потенциальных судебных разбирательств.
компании GreyNoise о распространенных атаках на сетевые устройства подтверждает уже известный факт: часто наиболее активно эксплуатируются довольно старые уязвимости, которые все еще актуальны. В топе наиболее часто фиксируемых эксплойтов в сетевом трафике — уязвимости в роутерах и видеокамерах 2014–2018 годов. Только одна, наиболее свежая уязвимость в Top 5 была обнаружена в 2023 году.
Исследователи из Microsoft еще один случай использования легитимного драйвера во вредоносных атаках, так называемой схемы Bring Your Own Vulnerable Driver. В компоненте BioNTdrv.sys программы Paragon Partition Manager были найдены пять уязвимостей, которые могут быть использованы для повышения привилегий.
