BitMEX vereitelt angeblichen Lazarus-Angriff, entdeckt IP-Adressen der Gruppe und 'erhebliche Sicherheitslücken'

BitMEX, die einst dominierende Handelsplattform für Bitcoin-Optionen, hat Berichten zufolge einen Social-Engineering-Angriff der Lazarus-Gruppe, einem mit der nordkoreanischen Regierung verbundenen Hacker-Kollektiv, vereitelt, so eine Ankündigung am Freitag.

Nicht nur das, BitMEX konnte angeblich den vermeintlichen Exploit rückentwickeln — was möglicherweise neue Einblicke in das beeindruckende Hacker-Kollektiv offenbart.

Die Lazarus-Gruppe stellt seit Jahren eine anhaltende und wachsende Bedrohung in der Kryptoindustrie dar. Die Gruppe wird für einige der bekanntesten Krypto-Exploits verantwortlich gemacht, darunter wahrscheinlich der größte Hack aller Zeiten (Krypto oder anderweitig) von Bybit im Februar.

Phishing-Angriffe, insbesondere solche, die von nordkoreanischen Hackern durchgeführt werden, sind in der Krypto-Welt so häufig, dass Sicherheitsexperten oft einige verräterische Anzeichen von Gefahr und Techniken zur Vermeidung solcher Angriffe teilen. (Zum Beispiel kann man seinen potenziellen Angreifer fragen, ob der Oberste Führer Kim Jong Un mit einem Hund verheiratet ist.)

"Kürzlich wurde ein BitMEX-Mitarbeiter über LinkedIn für eine potenzielle Zusammenarbeit an einem 'NFT-Marktplatz'-Web3-Projekt kontaktiert", schrieb BitMEX am Freitag in einem Blog. "Das Ziel war es, das Opfer dazu zu bringen, den Code des Projekts, der bösartigen Code enthält, auf seinem Computer auszuführen. Nach wenigen Minuten der Überprüfung des Repositories … fanden wir einige sehr verdächtige Codezeilen."

Laut BitMEX konnte der betroffene Mitarbeiter des Unternehmens die potenzielle Bedrohung schnell identifizieren und alarmierte das BitMEX-Sicherheitsteam, das eine Untersuchung einleitete, die möglicherweise einige der Tracking-Methoden von Lazarus und "erhebliche Lücken in der Betriebssicherheit" aufdeckte.

Bemerkenswert ist, dass "es scheint, dass die Gruppe sich in mehrere Untergruppen aufgeteilt hat, die nicht unbedingt über die gleiche technische Raffinesse verfügen", schrieb das Team. Laut BitMEX versuchte der Angreifer in diesem Fall, bösartigen Code namens "BeaverTail" wiederzuverwenden, der zuvor von Palo Altos Unit 42 der Lazarus-Gruppe zugeschrieben wurde.

Ohne auf die technischen Details einzugehen, wie der Bug ausgeführt werden sollte (im Wesentlichen um Opferpasswörter/IPs zu sammeln und in einer Datenbank zu speichern), sagt BitMEX, dass ein genauerer Blick auf das Skript einen "Fehler in der Betriebssicherheit" aufdeckte, der möglicherweise die "ursprüngliche IP-Adresse" eines Angreifers enthüllte.

"Sobald wir diese Informationen hatten, erstellten wir ein einfaches Programm, das diese Datenbank regelmäßig abfragt und neue Infektionen protokolliert, um das allgemeine Profil der Opfer zu verstehen und möglicherweise neue Fehler der Betreiber zu erkennen", schrieb das Team und bemerkte, dass sie offenbar mindestens 10 potenzielle "Konten zur Test- oder Malware-Entwicklung" aufgedeckt haben.

"Die Untersuchung dieser Lazarus-Gruppe-Kampagne zeigt einen deutlichen Kontrast zwischen ihren Einstiegs-Phishing-Strategien und fortgeschrittenen Post-Exploitation-Techniken", fügte das Team hinzu.

Bemerkenswert ist, dass die Entdeckung von BitMEX nur wenige Wochen nach der Offenlegung eines erheblichen Kundendatenlecks durch Coinbase erfolgt, das die Börse bis zu 400 Millionen Dollar an Schäden kosten könnte. Dieses Ereignis hat die Diskussionen über die potenziellen Gefahren von Know-Your-Customer-Anforderungen und die Notwendigkeit verbesserter, branchenweiter Cybersicherheit neu entfacht.