Масштабная кража криптоактивов на сумму $1.5 млрд, связанная с использованием уязвимостей в инфраструктуре Safe{Wallet}, была официально приписана северокорейским киберпреступникам. ФБР установило причастность к инциденту, подтвердив, что в операции замешаны злоумышленники из Демократической Народной Республики Корея.
ФБР идентифицировало виновных как кластер threat-актеров под названием TraderTraitor, в состав которого входят Jade Sleet, Slow Pisces и UNC4899. Руководитель Bybit Бен Чжоу объявил «войну против Lazarus», что подчеркивает решительность компании в борьбе с организованными киберпреступлениями.
Группа TraderTraitor уже ранее привлекала внимание властей: в мае 2024 года японские и американские специалисты связали её с кражей криптовалюты на сумму $308 млн у DMM Bitcoin. Используя методы заманивания жертв через установку вредоносных приложений и проведение тематических кампаний социальной инженерии с применением поддельных npm-пакетов, злоумышленники целенаправленно атаковали организации сектора Web3.
Bybit незамедлительно запустила программу вознаграждений за помощь в возврате утраченных средств и осудила действия платформы eXch, отказавшейся сотрудничать в замораживании активов. По информации компании, похищенные средства перемещены на «незаметные для отслеживания или замораживания направления» – через обменники, миксеры, мосты и перевод в стабильные монеты.
Независимые расследования, проведенные Sygnia и Verichains, подтвердили сложность атаки. Sygnia установила, что нарушение произошло за счет внедрения вредоносного кода в инфраструктуру Safe{Wallet} через компьютеры трёх подписантов, а Verichains зафиксировала замену безопасного JavaScript-файла на сайте на зловредный код 19 февраля 2025 года в 15:29:25 UTC. Запрограммированный на активацию в следующей транзакции, этот код отразился на движении средств 21 февраля 2025 года в 14:13:35 UTC через Ethereum Multisig Cold Wallet Bybit.
Предполагается, что доступ к хранилищу мог быть получен через утечку или компрометацию AWS S3 или CloudFront API-ключа, связанного с . По заявлению Safe{Wallet}, атака была осуществлена посредством компрометации машины одного из разработчиков, что позволило инициировать замаскированное предложение транзакции, направленное на счёт, управляемый Bybit, и проведенное группой Lazarus – известной сложными методами социальной инженерии и нулевыми уязвимостями.
Анализ «Silent Push» выявил дополнительные доказательства: доменное имя bybit-assessment[.]com было зарегистрировано 20 февраля 2025 года в 22:21:57 UTC. WHOIS-запись указывает, что для регистрации использовался электронный адрес, ранее ассоциированный с операцией под названием Contagious Interview, что подчеркивает связь кампаний с группой Lazarus.
Отличительной особенностью становится разграничение действий разных северокорейских групп угроз. В то время как TraderTraitor (также именуемые Jade Sleet и Slow Pisces) непосредственно виновны в ограблении Bybit, другая группировка, известная как Contagious Interview или Famous Chollima, занимается мошенническими схемами с фальшивыми собеседованиями в LinkedIn, социальными атаками, целевыми заражениями и хищением учетных данных, что приводит к компрометации финансовых и корпоративных активов.
Накопленные данные свидетельствуют о том, что с 2017 года северокорейские хакеры присвоили свыше $6 млрд в криптоактивах. Взлом Bybit с потерями в $1.5 млрд стал крупнейшей операцией после ряда инцидентов, включая кражу на $1.34 млрд в 47 криптовалютных атаках 2024 года.
Изображение носит иллюстративный характер
ФБР идентифицировало виновных как кластер threat-актеров под названием TraderTraitor, в состав которого входят Jade Sleet, Slow Pisces и UNC4899. Руководитель Bybit Бен Чжоу объявил «войну против Lazarus», что подчеркивает решительность компании в борьбе с организованными киберпреступлениями.
Группа TraderTraitor уже ранее привлекала внимание властей: в мае 2024 года японские и американские специалисты связали её с кражей криптовалюты на сумму $308 млн у DMM Bitcoin. Используя методы заманивания жертв через установку вредоносных приложений и проведение тематических кампаний социальной инженерии с применением поддельных npm-пакетов, злоумышленники целенаправленно атаковали организации сектора Web3.
Bybit незамедлительно запустила программу вознаграждений за помощь в возврате утраченных средств и осудила действия платформы eXch, отказавшейся сотрудничать в замораживании активов. По информации компании, похищенные средства перемещены на «незаметные для отслеживания или замораживания направления» – через обменники, миксеры, мосты и перевод в стабильные монеты.
Независимые расследования, проведенные Sygnia и Verichains, подтвердили сложность атаки. Sygnia установила, что нарушение произошло за счет внедрения вредоносного кода в инфраструктуру Safe{Wallet} через компьютеры трёх подписантов, а Verichains зафиксировала замену безопасного JavaScript-файла на сайте на зловредный код 19 февраля 2025 года в 15:29:25 UTC. Запрограммированный на активацию в следующей транзакции, этот код отразился на движении средств 21 февраля 2025 года в 14:13:35 UTC через Ethereum Multisig Cold Wallet Bybit.
Предполагается, что доступ к хранилищу мог быть получен через утечку или компрометацию AWS S3 или CloudFront API-ключа, связанного с . По заявлению Safe{Wallet}, атака была осуществлена посредством компрометации машины одного из разработчиков, что позволило инициировать замаскированное предложение транзакции, направленное на счёт, управляемый Bybit, и проведенное группой Lazarus – известной сложными методами социальной инженерии и нулевыми уязвимостями.
Анализ «Silent Push» выявил дополнительные доказательства: доменное имя bybit-assessment[.]com было зарегистрировано 20 февраля 2025 года в 22:21:57 UTC. WHOIS-запись указывает, что для регистрации использовался электронный адрес, ранее ассоциированный с операцией под названием Contagious Interview, что подчеркивает связь кампаний с группой Lazarus.
Отличительной особенностью становится разграничение действий разных северокорейских групп угроз. В то время как TraderTraitor (также именуемые Jade Sleet и Slow Pisces) непосредственно виновны в ограблении Bybit, другая группировка, известная как Contagious Interview или Famous Chollima, занимается мошенническими схемами с фальшивыми собеседованиями в LinkedIn, социальными атаками, целевыми заражениями и хищением учетных данных, что приводит к компрометации финансовых и корпоративных активов.
Накопленные данные свидетельствуют о том, что с 2017 года северокорейские хакеры присвоили свыше $6 млрд в криптоактивах. Взлом Bybit с потерями в $1.5 млрд стал крупнейшей операцией после ряда инцидентов, включая кражу на $1.34 млрд в 47 криптовалютных атаках 2024 года.
