Взлом криптобиржи ByBit, приведший к утечке почти $1,5 млрд в криптовалюте, был осуществлен северокорейской хакерской группировкой «TraderTraitor». Ключевым фактором инцидента стала уязвимость нулевого дня в MacBook, принадлежащем сотруднику компании «Safe{Wallet}», чьи продукты использовались ByBit для управления своими активами.
Согласно расследованию, проведенному «Safe{Wallet}» и «Mandiant», злоумышленники смогли обратиться к системе, воспользовавшись уязвимостью, и извлекли AWS-токены, которые позволили обойти многофакторную аутентификацию и получить доступ к инфраструктуре ByBit. Выбранный разработчик имел высокие привилегии, необходимые для работы с кодовой базой биржи, что сделало взлом более легким.
Киберпреступники успешно удалили вредоносное ПО и очистили следы своего присутствия в системе. По информации расследования, инцидент произошел 4 февраля 2025 года, и вредоносный код попал в систему через проект Docker при подключении к сайту «getstockprice.com». Несмотря на удаление проекта, в каталоге загрузок остались файлы, подтверждающие использование социальной инженерии для первого доступа.
Для маскировки своих действий хакеры применяли сервис «ExpressVPN», а также следили за рабочим графиком жертвы, подстраивая свои действия под него. Эти меры позволяли им использовать похищенные токены для захвата доступа без подозрений.
Кроме того, «TraderTraitor» имеет связи с другой северокорейской хакерской командой «APT38», известной также как «BlueNoroff» и «Stardust Chollima», которые входят в более широкий syndicat «Lazarus».
