Een nieuwe cyberaanval gericht op de crypto industrie zorgt voor zorgen binnen de sector. Beveiligingsonderzoekers melden dat meerdere organisaties in de crypto supply chain zijn gecompromitteerd, waaronder staking platforms, aanbieders van exchange software en crypto exchanges zelf. De aanval zou mogelijk verband houden met hackers uit Noord Korea.
Volgens onderzoek van beveiligingsbedrijf Ctrl Alt Intel maakten de aanvallers gebruik van verschillende technieken om toegang te krijgen tot systemen. Daarbij werden kwetsbaarheden in web applicaties gecombineerd met toegang tot cloud infrastructuur via Amazon Web Services. De aanvallers konden uiteindelijk broncode, Docker images en gevoelige toegangssleutels buitmaken.
Hackers richten zich op volledige crypto supply chain
De aanval lijkt niet gericht op één specifieke organisatie, maar op meerdere onderdelen van de crypto industrie. Onderzoekers stellen dat de aanvallers staking platforms, softwareleveranciers voor crypto exchanges en exchanges zelf hebben onderzocht en aangevallen.
Een belangrijk onderdeel van de aanval was het misbruiken van een kwetsbaarheid genaamd React2Shell, een beveiligingslek in web applicaties. Door deze kwetsbaarheid te gebruiken konden hackers systemen scannen en servers binnendringen die onvoldoende beveiligd waren.
In een van de gevallen werd de backend broncode van een crypto staking platform buitgemaakt. In de code ontdekten onderzoekers gevoelige gegevens zoals private keys en wallet adressen die waren opgeslagen in configuratiebestanden. In dezelfde omgeving werd ook een Python script gevonden dat via de web3 bibliotheek een crypto wallet kon uitlezen.
Onderzoekers zagen dat een wallet waarin een private key stond opgeslagen later ongeveer 52,6 TRX verplaatste. Het is echter niet bevestigd of deze transactie daadwerkelijk door de aanvallers werd uitgevoerd.
Aanvallers dringen door tot AWS cloud infrastructuur
Naast web applicatie aanvallen kregen de hackers ook toegang tot cloud omgevingen. De onderzoekers ontdekten dat de aanvallers geldige AWS toegangstokens gebruikten om systemen binnen een cloud omgeving te verkennen. Hoe deze credentials oorspronkelijk zijn verkregen blijft onduidelijk.
Eenmaal binnen gebruikten de aanvallers command line tools om verschillende diensten te analyseren, waaronder S3 opslag, databases, Kubernetes clusters en container registries. Vanuit deze infrastructuur konden ze uiteindelijk gevoelige gegevens verzamelen.
Zo werden vijf Docker images gedownload en opgeslagen als archieven. Daarnaast wisten de hackers broncode en softwarecomponenten te kopiëren die worden gebruikt door klanten van het exchange softwarebedrijf ChainUp.
Mogelijke link met Noord Koreaanse hackers
Volgens de onderzoekers vertoont de aanval meerdere kenmerken die eerder zijn gezien bij cyberoperaties gelinkt aan Noord Korea. Zo werd infrastructuur gebruikt met een server in Zuid Korea en het domein itemnania.com. Daarnaast werd een command and control systeem gebruikt dat draait via VShell en een reverse proxy via DNS verkeer.
De onderzoekers benadrukken dat de attributie voorlopig met matige zekerheid wordt gemaakt. Vooral omdat niet duidelijk is hoe de AWS toegangstokens oorspronkelijk in handen van de aanvallers zijn gekomen.
Toch laat het incident opnieuw zien dat de crypto industrie een belangrijk doelwit blijft voor geavanceerde cyberaanvallen. Vooral organisaties die infrastructuur leveren aan exchanges en staking platforms vormen aantrekkelijke doelwitten omdat zij toegang kunnen bieden tot meerdere systemen tegelijk. Recente incidenten, zoals wanneer politie een crypto roof van 680.000 dollar onderzoekt na de ontvoering van een zakenman, laten zien dat zowel digitale als fysieke dreigingen in de sector blijven toenemen.
Meer details over het onderzoek zijn gepubliceerd door Ctrl Alt Intel.
Wil jij altijd op de hoogte blijven van het laatste crypto nieuws? Volg ons dan gratis op Google Nieuws.
10% cashback met de Bybit Card, tot $40 bonus en 10% korting op fees
Bybit EU heeft haar Bybit Card in Europa gelanceerd, waarmee je bij meer dan 90 miljoen winkels kan betalen met je crypto, inclusief een 10% cashback. Om dit te vieren hebben zij een speciale promotie:
- 10% cashback op al je aankopen tot 150 EUR met de Bybit Crypto Card (meer informatie en voorwaarden)
- 10% korting op de handelskosten (30 dagen geldig, zichtbaar tijdens registratie)
- Tot $40 bonus na storting van $400 (meer informatie en voorwaarden)
Alle bovengenoemde bonussen zijn deze maand tegelijkertijd geldig.
Bybit beschikt over een MiCAR licentie en mag officieel in Europa opereren onder de nieuwe regels.
Om aanspraak te maken op de $40 is een storting van minimaal $400 vereist. Bij een storting van minimaal $100 ontvang je $20 (ongeveer €18,50). Alle gebruikers ontvangen de 10% korting op de handelskosten (geldig voor 30 dagen). De 20% cashback met de Bybit Card moet eerst geactiveerd worden.
Bybit heeft wereldwijd meer dan 70 miljoen gebruikers en meer dan 2 miljoen Bybit Card gebruikers. Registreer een account via onderstaande knop en profiteer van de welkomstbonus. Je vindt de voorwaarden op de actiepagina.