Hacker-ek Kihasználják a Radiant Capital-t Kártékony Szoftverrel, 50 millió dollár Lopás Azonban elkövetve

Egy kártékony programot tartalmazó PDF, amit a Radiant Capital mérnökeinek küldtek, lehetővé tette észak-koreai hackereknek, hogy több mint 50 millió dollárt lopjanak el.

A Radiant által, a Mandiant támogatásával készített nemrégiben megjelent következő jelentés további részleteket tár fel a biztonsági incidensről. 2024. szeptember 11-én egy Radiant fejlesztő egy álcázott volt alvállalkozótól kapott Telegram üzenetet.

Az üzenet, amely állítólag egy korábbi alvállalkozótól érkezett, tartalmazott egy linket egy összetömörített PDF-hez. Állítólag egy új intelligens szerződés-auditálási projekttel kapcsolatos, a dokumentum szakmai visszajelzést kért.

A ZIP fájlhoz kapcsolt domain hitelesen utánozta az alvállalkozó törvényes weboldalát, és a kérés szokványosnak tűnt a szakmai körökben. A fejlesztők gyakran küldenek egymásnak PDF-eket olyan feladatokhoz, mint jogi felülvizsgálatok vagy technikai auditok, ezáltal csökkentve az elsődleges gyanakvást.

Bízva a forrásban, a címzett megosztotta a fájlt kollégáival, akaratlanul előkészítve a terepet a kibertolvajlásra.

A Radiant csapat tudta nélkül a ZIP fájl tartalmazta az INLETDRIFT-ot, egy fejlett macOS kártevőt, ami a “legitim” dokumentumon belül volt álcázva. Amint aktiválódott, a kártevő egy állandó hátsó ajtót hozott létre, egy rosszindulatú AppleScript segítségével.

A kártékony szoftver tervezése kifinomult volt, meggyőző PDF-et mutatott a felhasználóknak, miközben észrevétlenül működött a háttérben.

Annak ellenére, hogy a Radiant szigorú kiberbiztonsági gyakorlatokat alkalmazott – beleértve a tranzakció szimulációkat, a terhelés ellenőrzését, és az iparági szabványos működési eljárások (SOPs) betartását – a kártékony szoftver sikeresen bejutott és több fejlesztői eszközt is kompromittált.

A támadók kihasználták a vak aláírást és hamisították az előtérben lévő interfészeket, ártalmatlan tranzakciós adatokat jelenítve meg, hogy leplezzék a rosszindulatú tevékenységeket. Ennek eredményeként a csalásos tranzakciók észrevétlenül hajtódtak végre.

A rablás előkészítése során a támadók rosszindulatú okos szerződéseket helyeztek el több platformon, beleértve az Arbitrumot, a Binance Smart Chain-t, a Base-t és az Ethereumot. Csak három perccel a lopás után törölték a hátsó bejáratuk és böngésző kiterjesztéseik nyomait.

A rablást precíz pontossággal hajtották végre: mindössze három perccel a lopott pénzeszközök átutalása után, a támadók eltüntették a hátsó ajtó nyomait és a hozzá kapcsolódó böngésző kiegészítőket, ami tovább bonyolítja a kriminalisztikai elemzést.

A Mandiant a támadást az UNC4736-nak tulajdonítja, amelyet AppleJeus vagy Citrine Sleet néven is ismernek, és ami Észak-Korea Felderítő Általános Igazgatóságához (RGB) köthető. Ez az eset rávilágít a vak aláírások és a front-end ellenőrzések sebezhetőségére, és hangsúlyozza a hardver szintű megoldások sürgető szükségességét a tranzakció tartalmak hitelesítéséhez.

A Radiant együttműködik az amerikai törvényenforcementtel, a Mandianttal és a zeroShadow-val, hogy befagyassza az ellopott eszközöket. A DAO továbbra is elkötelezett a helyreállítási erőfeszítések támogatása és az iparágszerte érvényes biztonsági szabványok javítása érdekében megosztott ismeretek mellett.