Северокорейская хакерская группировка TraderTraitor стоит за взломом криптобиржи ByBit и кражей криптовалюты на сумму около 1,5 миллиарда долларов.
Расследование, проведенное компаниями Safe{Wallet} и Mandiant, выявило, что инцидент произошел из-за уязвимости нулевого дня в MacBook, принадлежащем сотруднику Safe{Wallet}. ByBit использовала продукты этой компании для управления своими криптоактивами.
Хакеры получили доступ к системе, воспользовавшись уязвимостью в ноутбуке разработчика, который имел высокую степень привилегий, необходимую для взаимодействия со скодовой базой биржи.
После проникновения злоумышленники извлекли AWS-токены сессии, что позволило им обойти многофакторную аутентификацию и беспрепятственно получить доступ к инфраструктуре ByBit.
Преступники действовали осторожно, удаляя следы своего присутствия в системе. Инфекция произошла 4 февраля 2025 года через Docker-проект, подключенный к сайту getstockprice.com.
Хотя сам проект был уже удален к моменту расследования, оставшиеся файлы в каталоге загрузок свидетельствовали о применении методов социальной инженерии для изначального проникновения.
В целях маскировки своих действий хакеры использовали сервис ExpressVPN, тщательно изучая рабочий график жертвы и адаптируя свои действия под него.
Группировка TraderTraitor связывается с другой северокорейской командой APT38, известной также как «BlueNoroff» и «Stardust Chollima», которые входят в состав более крупного синдиката «Lazarus». Это подчеркивает серьезность и организованность киберугроз, исходящих из Северной Кореи.
