Система поверила не тому администратору…А Lazarus ликует.
Криптовалютная биржа BitoPro, базирующаяся на Тайване, подтвердила , что стала жертвой хакерской атаки, в результате которой было похищено цифровых активов на сумму около 11 миллионов долларов. По результатам внутреннего расследования компания возлагает ответственность за инцидент на печально известную северокорейскую группировку Lazarus .
В заявлении BitoPro подчёркивается, что характер атаки, методы проникновения и дальнейшая отмывка средств полностью соответствуют ранее зафиксированным схемам, использовавшимся Lazarus Group. В качестве аналогий упоминаются не только похищения с других криптовалютных бирж, но и атаки на международную систему SWIFT с целью перевода средств из банков.
BitoPro — крупная криптобиржа, ориентированная прежде всего на тайваньских пользователей. Она поддерживает операции с фиатной валютой (тайваньский доллар, TWD), а также предлагает широкий выбор цифровых активов. На платформе зарегистрировано свыше 800 тысяч пользователей, а ежедневный объём торгов превышает $30 млн.
Атака произошла 8 мая 2025 года во время проведения обновления горячего кошелька. Злоумышленники воспользовались уязвимостью старого кошелька, с которого была произведена несанкционированная массовая отправка криптовалюты. Средства были выведены в обход защиты сразу в нескольких блокчейнах: Ethereum, Tron, Solana и Polygon.
Похищенные активы начали быстро отмываться с помощью децентрализованных платформ и микшеров: Tornado Cash , ThorChain и Wasabi Wallet. Эти инструменты широко используются хакерами для сокрытия следов происхождения средств и усложнения отслеживания транзакций.
Информация об инциденте долгое время не разглашалась. BitoPro официально признала факт взлома только 2 июня, спустя почти месяц. Компания заявила, что ключевые операции не были затронуты, а пострадавшие горячие кошельки были оперативно восполнены из резервного фонда.
Расследование показало, что к атаке не были причастны сотрудники компании. Тем не менее хакеры провели сложную операцию социальной инженерии и внедрили вредоносное ПО на устройство сотрудника, отвечающего за управление облачной инфраструктурой.
Через заражённую систему злоумышленники получили AWS-сессионные токены — временные ключи доступа к облаку Amazon Web Services, — что позволило обойти даже многофакторную аутентификацию (MFA) и получить административный доступ к облачной среде биржи.
Далее управляющий сервер (C2) начал передавать команды вредоносному ПО. На этапе подготовки атаки скрипты внедрялись в систему, обслуживающую горячий кошелёк, что позволило хакерам маскировать свои действия под обычную техническую активность.
Когда обновление кошелька было завершено и активы начали перемещаться, злоумышленники синхронно провели вывод средств, сделав это максимально похоже на стандартные внутренние операции, что отсрочило момент обнаружения взлома.
После выявления компрометации компания остановила работу горячего кошелька и провела ротацию криптографических ключей. Однако на тот момент утечка уже составила около 11 миллионов долларов.
BitoPro сообщила об инциденте соответствующим регулирующим органам и привлекла стороннюю команду специалистов по кибербезопасности для полноценного расследования. Работа была завершена 11 июня.
Группировка Lazarus давно известна как один из самых активных и технически оснащённых участников в сфере криптовалютного киберпреступления. Она стоит за рядом крупнейших хищений в отрасли, включая недавнюю кражу на 1,5 миллиарда долларов с платформы Bybit .
В случае с BitoPro речь идёт не только о значительном ущербе, но и о продолжении долгосрочной тактики Lazarus по целенаправленным атакам на инфраструктуру Web3, криптобиржи и децентрализованные сервисы финансового обмена.
(c)
https://www.securitylab.ru/news/560622.php
06-22-2025, 10:29 AM
Threaded Mode