Eine neue Cyberattacke auf die Kryptowährungsindustrie sorgt für Besorgnis innerhalb der Branche. Sicherheitsforscher berichten, dass mehrere Organisationen in der Krypto-Supply-Chain kompromittiert wurden, darunter Staking-Plattformen, Anbieter von Exchange-Software und Kryptowährungsbörsen selbst. Der Angriff könnte möglicherweise mit Hackern aus Nordkorea in Verbindung stehen.
Laut Untersuchungen des Sicherheitsunternehmens Ctrl Alt Intel nutzten die Angreifer verschiedene Techniken, um Zugriff auf Systeme zu erhalten. Dabei wurden Schwachstellen in Webanwendungen mit Zugriff auf Cloud-Infrastruktur über Amazon Web Services kombiniert. Die Angreifer konnten schließlich Quellcode, Docker-Images und sensible Zugriffsschlüssel stehlen.
Hacker zielen auf die gesamte Krypto-Supply-Chain
Der Angriff scheint nicht auf eine einzelne Organisation abzuzielen, sondern auf mehrere Bereiche der Kryptowährungsindustrie. Forscher erklären, dass die Angreifer Staking-Plattformen, Softwareanbieter für Kryptowährungsbörsen sowie Börsen selbst untersucht und angegriffen haben.
Ein wichtiger Bestandteil des Angriffs war die Ausnutzung einer Schwachstelle namens React2Shell, einer Sicherheitslücke in Webanwendungen. Durch diese Schwachstelle konnten Hacker Systeme scannen und Server infiltrieren, die unzureichend gesichert waren.
In einem der Fälle wurde der Backend-Quellcode einer Krypto-Staking-Plattform entwendet. In dem Code entdeckten Forscher sensible Daten wie Private Keys und Wallet-Adressen, die in Konfigurationsdateien gespeichert waren. In derselben Umgebung wurde außerdem ein Python-Skript gefunden, das über die web3-Bibliothek eine Krypto-Wallet auslesen konnte.
Forscher beobachteten, dass eine Wallet, in der ein Private Key gespeichert war, später etwa 52,6 TRX transferierte. Es ist jedoch nicht bestätigt, ob diese Transaktion tatsächlich von den Angreifern durchgeführt wurde.
Angreifer dringen in AWS-Cloud-Infrastruktur ein
Neben Angriffen auf Webanwendungen erhielten die Hacker auch Zugang zu Cloud-Umgebungen. Die Forscher stellten fest, dass die Angreifer gültige AWS-Zugangstokens nutzten, um Systeme innerhalb einer Cloud-Umgebung zu erkunden. Wie diese Credentials ursprünglich erlangt wurden, ist weiterhin unklar.
Nachdem sie Zugriff hatten, verwendeten die Angreifer Command-Line-Tools, um verschiedene Dienste zu analysieren, darunter S3-Speicher, Datenbanken, Kubernetes-Cluster und Container-Registries. Aus dieser Infrastruktur konnten sie schließlich sensible Daten sammeln.
So wurden fünf Docker-Images heruntergeladen und als Archive gespeichert. Außerdem gelang es den Hackern, Quellcode und Softwarekomponenten zu kopieren, die von Kunden des Exchange-Softwareunternehmens ChainUp genutzt werden.
Mögliche Verbindung zu nordkoreanischen Hackern
Laut den Forschern weist der Angriff mehrere Merkmale auf, die bereits bei Cyberoperationen beobachtet wurden, die mit Nordkorea in Verbindung gebracht werden. So wurde Infrastruktur mit einem Server in Südkorea und der Domain itemnania.com genutzt. Außerdem kam ein Command-and-Control-System zum Einsatz, das über VShell betrieben wird, sowie ein Reverse-Proxy über DNS-Verkehr.
Die Forscher betonen jedoch, dass die Zuordnung derzeit nur mit moderater Sicherheit erfolgt. Vor allem, weil unklar ist, wie die AWS-Zugangstokens ursprünglich in die Hände der Angreifer gelangt sind.
Der Vorfall zeigt erneut, dass die Kryptowährungsindustrie ein wichtiges Ziel für fortgeschrittene Cyberangriffe bleibt. Besonders Organisationen, die Infrastruktur für Börsen und Staking-Plattformen bereitstellen, sind attraktive Ziele, da sie potenziell Zugang zu mehreren Systemen gleichzeitig ermöglichen. Jüngste Vorfälle, etwa als die Polizei einen Kryptowährungsraub von 680.000 Dollar nach der Entführung eines Geschäftsmanns untersucht, zeigen, dass sowohl digitale als auch physische Bedrohungen in der Branche weiter zunehmen.
Weitere Details zur Untersuchung wurden von Ctrl Alt Intel veröffentlicht.
20% Cashback mit der Bybit Card, bis zu 40 $ Bonus und 10% Rabatt auf Gebühren
Bybit EU hat seine Bybit Card in Europa eingeführt, mit der Sie in mehr als 90 Millionen Geschäften mit Krypto bezahlen können, inklusive 10% Cashback. Zur Feier des Launches gibt es eine spezielle Aktion:
- 20% Cashback auf alle Einkäufe bis zu 200 $ mit der Bybit Crypto Card (mehr Informationen und Bedingungen)
- 10% Rabatt auf die Handelsgebühren (30 Tage gültig, sichtbar während der Registrierung)
- Bis zu 40 $ Bonus nach einer Einzahlung von 400 $ (mehr Informationen und Bedingungen)
Alle oben genannten Boni sind diesen Monat gleichzeitig gültig.
Bybit verfügt über eine MiCAR-Lizenz und darf offiziell in Europa unter den neuen Regelungen operieren.
Um den 40-$-Bonus zu erhalten, ist eine Mindesteinzahlung von 400 $ erforderlich. Bei einer Einzahlung von mindestens 100 $ erhalten Sie 20 $ (etwa 18,50 €). Alle Nutzer erhalten den 10% Rabatt auf die Handelsgebühren (gültig für 30 Tage). Das 20% Cashback mit der Bybit Card muss vorher aktiviert werden.
Bybit hat weltweit mehr als 70 Millionen Nutzer und über 2 Millionen Bybit-Card-Nutzer. Registrieren Sie ein Konto über den untenstehenden Button und profitieren Sie vom Willkommensbonus. Die Bedingungen finden Sie auf der Aktionsseite.