Det tog bara två minuter för nordkoreanska hackare att komma undan med 1,5 miljarder dollar (1,2 miljarder pund) i kryptovaluta, tror cybersäkerhetsforskare, i det enskilt största rånet i historien.
Obduktionsrapporter på uppdrag av kryptovalutabörsen Bybit, som förra veckan såg hundratals miljoner dollar i Ethereum-kryptovalutan stulen av en Pyongyang-kopplad grupp, avslöjade detaljer om hur hackarna bröt sig in i dess system.
Cyberangriparna kunde äventyra en så kallad kall plånbok som används av Bybit, en Dubai-baserad kryptovalutabörs. Dessa hårdvaruplånböcker, som liknar ett krypterat USB-minne, är tänkta att vara säkra, eftersom de hålls offline och borta från internet.
Men när kryptovalutabörsen försökte flytta pengar från sin hårdvaruplånbok till ett onlinekonto kunde angriparna slå till inom några sekunder.
Cybersäkerhetsexperter från Sygnia och Verichains sa att den hackade transaktionen var ett resultat av ett intrång i en teknik som kallas Safe Wallet, efter att ha pusslat ihop händelserna från digitala register.
Två dagar före incidenten injicerade nordkoreanska hackare, som tros vara en del av den skurkaktiga statens ökända Lazarus Group, skadlig kod i Safe Wallets onlineinfrastruktur, som de skulle använda för att kommunicera med ByBits konto när det aktiverades.
Safe Global, företaget bakom plånboken, sa att hackarna hade lyckats ”äventyra en Safe Wallet-utvecklares maskin” och skyllde på hackargruppens ”sofistikerade sociala ingenjörsattacker”.
Den skadliga koden var speciellt utformad för att knäcka Bybits plånbok. Den kunde efterlikna den kodade ”signaturen” för tre konton, inklusive verkställande direktören för Bybit, när den aktiverades.
När Bybit försökte överföra sina pengar, klockan 14.15 i fredags, tömde hackarna snabbt sina plånböcker på 400 000 Ethereum-mynt med hjälp av en bakdörrsfunktion som de hade infogat.
Enligt Sygnias rapport ”två minuter efter att den skadliga transaktionen utfördes och publicerades” tog hackarna bort sin kod och flydde från systemet innan Bybit ens insåg att pengarna var borta.
Efter att ha gjort sig av med pengarna har den nordkoreanska gruppen snabbt arbetat för att tvätta pengarna genom en rad kryptovalutabörser.
Största rånet i historien
Hackningen representerar den mest förödande attacken hittills av Nordkoreas cyberagenter, som står under befäl av statens underrättelsetjänst och har till uppgift att stjäla pengar från väst för att finansiera landets massförstörelsevapen.
Det överskuggar de 1,3 miljarder dollar som stulits av Nordkorea under hela 2024.
Landets hackare har beskyllts för totalt 6 miljarder dollar i stölder av kryptovaluta under det senaste decenniet. Det är större än det största bankrånet i historien, när Saddam Hussein stal 1 miljard dollar från Iraks centralbank 2003.
Bybit-hacket har skyllts på Lazarus Group, en grupp kopplad till Kim Jong-uns underrättelsetjänst, Reconnaissance General Bureau.
Gruppen är ökänd för sina noggrant planerade attacker, där de använder en blandning av social ingenjörskonst, nätfiske via e-post och teknisk briljans för att avslöja system.
På onsdagen beskyllde FBI formellt Nordkorea för rånet och stämplade hackergruppen bakom med kodnamnet TraderTraitor. FBI sa att hackarna ”gick snabbt fram och har konverterat några av de stulna tillgångarna till bitcoin och andra virtuella tillgångar utspridda över tusentals adresser på flera blockkedjor”.
Den uppmanade börserna att identifiera och blockera misstänkta transaktioner. Även om många digitala mynttransaktioner är anonyma, kan de spåras genom dess digitala huvudboksteknik, känd som blockchain, av säkerhetsexperter.
Många börser har dock få kundkännedoms- eller bedrägeribekämpningskontroller – eller små incitament att följa utredningar i det oreglerade området.
Samtidigt sa Ben Zhou, verkställande direktör för Bybit, att han hade förklarat ”krig mot Lazarus” och lovade upp till 140 miljoner dollar som belöning till organisationer som kunde fånga eller frysa stulna medel.
Han tillade att han skulle namnge och skämma ut börser som misslyckades med att blockera kända transaktioner från Lazarus Group. Han sa: ”Vi kommer inte att sluta förrän Lazarus eller dåliga aktörer i branschen har eliminerats.”
Safe Global sa att de hade ”byggt om helt, konfigurerat om all infrastruktur och roterat alla autentiseringsuppgifter, vilket säkerställer att attackvektorn är helt eliminerad”. De tillade: ”Safe är fortfarande engagerade i säkerhet, transparens, självförvaring och att driva branschen framåt.”
Lämna kommentar