BitMEX предотвращает предполагаемую атаку Lazarus, обнаруживает IP-адреса группы и «значительные пробелы» в безопасности

BitMEX, когда-то доминирующая площадка для торговли опционами на биткойн, как сообщается, предотвратила атаку социальной инженерии со стороны Lazarus Group, хакерской группы, связанной с правительством Северной Кореи, согласно объявлению в пятницу.

Более того, BitMEX якобы смогла провести обратную разработку предполагаемой уязвимости — возможно, раскрывая новые сведения о грозной хакерской группе.

Lazarus Group уже много лет является постоянной и растущей угрозой в криптоиндустрии. Считается, что эта группа стоит за некоторыми из самых громких криптоэксплойтов, включая, вероятно, крупнейшую в истории хакерскую атаку (крипто или иного рода) на Bybit в феврале.

Фишинговые атаки, особенно те, которые совершаются северокорейскими хакерами, достаточно распространены в криптоиндустрии, чтобы эксперты по безопасности часто делились несколькими характерными признаками опасности и методами, как избежать обмана. (Например, вы можете спросить у потенциального атакующего, женат ли Верховный лидер Ким Чен Ын на собаке.)

"Недавно сотрудник BitMEX был контактирован через LinkedIn для потенциального сотрудничества по проекту ‘NFT Marketplace’ web3," написала BitMEX в блоге в пятницу. "Целью было заставить жертву запустить код проекта, который включает в себя вредоносный код, на их компьютере. После нескольких минут проверки репозитория … мы обнаружили несколько очень подозрительных фрагментов кода."

По данным BitMEX, целевой сотрудник компании смог быстро выявить потенциальную угрозу и сообщил об этом команде безопасности BitMEX, которая начала расследование, возможно, раскрыв некоторые методы отслеживания Lazarus и "значительные упущения в операционной безопасности."

Примечательно, что "похоже, что группа разделилась на несколько подгрупп, которые не обязательно обладают одинаковой технической сложностью," написала команда. По данным BitMEX, в этом случае атакующий попытался повторно использовать вредоносный код под названием "BeaverTail", ранее приписываемый Lazarus Group компанией Palo Alto’s Unit 42.

Не вдаваясь в технические детали того, как должна была работать ошибка (по сути, собирать пароли/IP жертв и хранить их в базе данных), BitMEX утверждает, что более пристальный взгляд на скрипт выявил "ошибку в операционной безопасности", которая могла раскрыть "оригинальный IP-адрес" атакующего.

"Как только у нас появилась эта информация, мы создали простую программу, которая регулярно запрашивала бы эту базу данных и фиксировала новые инфекции с целью понимания общего профиля жертв и, возможно, выявления новых ошибок операторов," написала команда, отмечая, что они, по-видимому, обнаружили как минимум 10 потенциальных "аккаунтов, использованных для тестирования или разработки вредоносного ПО."

"Расследование этой кампании Lazarus Group показывает резкий контраст между их начальными фишинговыми стратегиями и продвинутыми техниками пост-эксплуатации," добавила команда.

Примечательно, что открытие BitMEX произошло через несколько недель после того, как Coinbase раскрыла значительное нарушение данных клиентов , которое может обойтись бирже в более чем 400 миллионов долларов убытков. Это событие возобновило разговоры о потенциальных опасностях требований "знай своего клиента" и необходимости улучшения кибербезопасности в масштабе всей отрасли.