Уязвимость в MacBook позволила хакерам похитить 1,5 миллиарда долларов у компании ByBit

09 марта 2025

2197

Уязвимость в MacBook позволила хакерам похитить 1,5 миллиарда долларов у компании ByBit

Важную роль в инциденте сыграла уязвимость нулевого дня в MacBook, который принадлежал одному из сотрудников компании Safe{Wallet}. ByBit использовала продукты Safe{Wallet} для управления своими криптоактивами. Это выяснилось в расследовании инцидента, которое провели компании Safe{Wallet} и Mandiant.

Злоумышленники проникли в систему, воспользовавшись уязвимостью в MacBook одного из разработчиков Safe{Wallet}. Получив доступ к ноутбуку, хакеры извлекли AWS-токены сессии, что дало им возможность обойти многофакторную аутентификацию и беспрепятственно проникнуть в инфраструктуру ByBit. Разработчик, выбранный хакерами, имел высокие привилегии, необходимые для работы с кодовой базой биржи. Действуя скрытно, киберпреступники удалили вредоносное программное обеспечение и стерли следы своего присутствия в инфраструктуре.

Согласно данным расследования, заражение произошло 4 февраля 2025 года. Вредоносный код проник в систему через Docker-проект при подключении к сайту getstockprice.com. Хотя на момент анализа сам проект уже был удален, обнаруженные файлы в каталоге загрузок указывают на использование методов социальной инженерии для первоначального проникновения.

Для доступа к AWS-аккаунту разработчика, хакеры использовали сервис ExpressVPN, маскируя свои действия под легитимную активность. Киберпреступники тщательно изучили рабочий график жертвы и подстраивали свои действия под его расписание, используя украденные токены активных сессий для незаметного доступа.

Расследователи подчеркивают, что группа TraderTraitor связана с другой северокорейской хакерской командой APT38, также известной как BlueNoroff и Stardust Chollima, которые, в свою очередь, входят в более крупный синдикат Lazarus.