Indice dei contenuti
- L’attacco: ingegneria sociale e copertura delle tracce
- TraderTraitor: il legame con APT38 e Lazarus
- Le contromisure di Safe{Wallet}: rafforzare la sicurezza
- Il ruolo dell’FBI e la caccia agli hacker
- Cosa possiamo imparare da questo attacco?
Il più grande furto di criptovalute della storia ha avuto inizio da un trojan installato su un MacBook di uno sviluppatore di Safe{Wallet}. Gli hacker, appartenenti al gruppo nordcoreano TraderTraitor, hanno sfruttato una vulnerabilità presente sul dispositivo, ottenendo accesso a token di sessione AWS.
Questi token hanno permesso loro di aggirare l’autenticazione a più fattori e di infiltrarsi nell’infrastruttura di ByBit. Lo sviluppatore, che disponeva di privilegi elevati, era responsabile della gestione del codice dell’exchange, rendendo il suo dispositivo un bersaglio particolarmente appetibile.
L’attacco: ingegneria sociale e copertura delle tracce
L’infezione è avvenuta il 4 febbraio 2025, quando il MacBook ha effettuato una connessione al sito web getstockprice.com tramite un progetto in esecuzione su Docker.
Sebbene il progetto non fosse più presente al momento dell’analisi, tracce di file nella directory ~/Downloads/ suggeriscono l’uso di tecniche di ingegneria sociale. Gli hacker hanno inoltre utilizzato ExpressVPN per accedere all’account AWS dello sviluppatore, sincronizzando le loro attività con i suoi impegni lavorativi per evitare di suscitare sospetti.
Dopo aver completato l’attacco, i criminali hanno rimosso il malware e cancellato la cronologia di Bash per nascondere le tracce dell’intrusione.
TraderTraitor: il legame con APT38 e Lazarus
Il gruppo TraderTraitor è strettamente collegato ad altri gruppi hacker nordcoreani, tra cui APT38 (noto anche come BlueNoroff o Stardust Chollima), parte del più ampio collettivo Lazarus.
Questi gruppi sono noti per la loro sofisticazione e per aver condotto alcuni dei più grandi furti di criptovalute al mondo. L’attacco a ByBit conferma la loro capacità di sfruttare vulnerabilità tecniche e umane per raggiungere obiettivi di alto profilo.
Le contromisure di Safe{Wallet}: rafforzare la sicurezza
Nonostante la complessità dell’attacco, gli smart contract di Safe{Wallet} sono rimasti inalterati.
Tuttavia, la società ha intrapreso una serie di misure per rafforzare la sicurezza, tra cui un riavvio completo dell’infrastruttura con rotazione di tutte le credenziali, la chiusura dell’accesso esterno ai servizi e l’implementazione di sistemi avanzati per il rilevamento di transazioni dannose.
Inoltre, Safe{Wallet} ha temporaneamente disabilitato il supporto nativo per i portafogli hardware, poiché questi dipendevano dalla funzione vulnerabile eth_sign.
Il ruolo dell’FBI e la caccia agli hacker
L’FBI ha rilasciato un avviso pubblico confermando che la Corea del Nord è responsabile del furto di 1,5 miliardi di dollari in asset virtuali da ByBit. Gli hacker hanno già convertito parte dei fondi rubati in Bitcoin e altre criptovalute, distribuendoli su migliaia di indirizzi su diverse blockchain.
L’FBI esorta le aziende del settore, tra cui exchange, DeFi services e blockchain analytics firms, a bloccare le transazioni provenienti dagli indirizzi associati a TraderTraitor.
Cosa possiamo imparare da questo attacco?
Questo episodio evidenzia l’importanza di strumenti di sicurezza avanzati e di una maggiore consapevolezza da parte degli utenti.
Gli esperti sottolineano che la sicurezza delle transazioni in criptovaluta deve essere semplificata per ridurre i rischi. Safe{Wallet} sta lavorando per integrare la piattaforma IPFS, che garantirà un ulteriore livello di protezione.
