BitMEX ngăn chặn cuộc tấn công được cho là của Lazarus, phát hiện địa chỉ IP của nhóm và 'những lỗ hổng đáng kể' trong bảo mật

BitMEX, nền tảng giao dịch quyền chọn Bitcoin từng thống trị, được cho là đã ngăn chặn một cuộc tấn công kỹ thuật xã hội bởi Lazarus Group, nhóm hacker có liên hệ với chính phủ Triều Tiên, theo một thông báo vào thứ Sáu.

Không chỉ vậy, BitMEX được cho là đã có thể đảo ngược kỹ thuật khai thác được cho là — có thể tiết lộ những hiểu biết mới về nhóm hacker đáng gờm này.

Lazarus Group đã là một mối đe dọa dai dẳng và ngày càng gia tăng trong ngành công nghiệp tiền điện tử trong nhiều năm. Nhóm này được cho là đứng sau một số vụ khai thác tiền điện tử nổi bật nhất, bao gồm vụ hack lớn nhất từ trước đến nay (tiền điện tử hoặc khác) của Bybit vào tháng Hai.

Các cuộc tấn công lừa đảo, đặc biệt là những cuộc tấn công do hacker Triều Tiên thực hiện, là một hiện tượng phổ biến trong tiền điện tử đến mức các chuyên gia bảo mật thường chia sẻ một vài dấu hiệu nguy hiểm và kỹ thuật để tránh bị lừa. (Ví dụ, bạn có thể hỏi kẻ tấn công tiềm năng của mình liệu Lãnh tụ Tối cao Kim Jong Un có kết hôn với một con chó không.)

"Gần đây, một nhân viên của BitMEX đã được liên hệ qua LinkedIn cho một dự án hợp tác ‘NFT Marketplace’ web3 tiềm năng," BitMEX viết trong một blog vào thứ Sáu. "Mục tiêu là khiến nạn nhân chạy mã của dự án, bao gồm mã độc hại, trên máy tính của họ. Sau vài phút kiểm tra kho lưu trữ … chúng tôi đã tìm thấy một số đoạn mã rất đáng ngờ."

Theo BitMEX, nhân viên bị nhắm mục tiêu của công ty đã có thể nhanh chóng xác định mối đe dọa tiềm năng và cảnh báo đội ngũ bảo mật của BitMEX, đội đã bắt đầu một cuộc điều tra có thể đã tiết lộ một số phương pháp theo dõi của Lazarus và "những sai sót đáng kể trong bảo mật hoạt động."

Đáng chú ý, "có vẻ như nhóm đã chia thành nhiều nhóm con không nhất thiết có cùng trình độ kỹ thuật," đội ngũ viết. Theo BitMEX, trong trường hợp này, kẻ tấn công đã cố gắng tái sử dụng mã độc gọi là "BeaverTail" trước đây được gán cho Lazarus Group bởi Unit 42 của Palo Alto.

Không đi vào chi tiết kỹ thuật về cách lỗi này dự kiến hoạt động (chủ yếu là thu thập mật khẩu/IP của nạn nhân và lưu trữ chúng trong cơ sở dữ liệu), BitMEX cho biết rằng một cái nhìn kỹ hơn vào kịch bản đã tiết lộ một "sai lầm bảo mật hoạt động" có thể đã tiết lộ "địa chỉ IP gốc" của kẻ tấn công.

"Khi chúng tôi có thông tin này, chúng tôi đã tạo ra một chương trình đơn giản sẽ truy vấn cơ sở dữ liệu này thường xuyên và ghi lại các nhiễm trùng mới với mục tiêu hiểu hồ sơ chung của các nạn nhân và có thể phát hiện các sai lầm mới của các nhà điều hành," đội ngũ viết, lưu ý rằng họ dường như đã phát hiện ít nhất 10 "tài khoản tiềm năng được sử dụng để thử nghiệm hoặc phát triển phần mềm độc hại."

"Điều tra chiến dịch của Lazarus Group này cho thấy sự tương phản rõ rệt giữa các chiến lược lừa đảo cấp đầu vào của họ và các kỹ thuật khai thác sau tiên tiến," đội ngũ bổ sung.

Đáng chú ý, phát hiện của BitMEX đến vài tuần sau khi Coinbase tiết lộ một vi phạm dữ liệu khách hàng đáng kể có thể khiến sàn giao dịch thiệt hại hơn 400 triệu đô la. Sự kiện đó đã làm dấy lên các cuộc thảo luận về những nguy cơ tiềm ẩn của các yêu cầu biết khách hàng của bạn và sự cần thiết phải cải thiện an ninh mạng trên toàn ngành.