Nieuwe hackcampagne richt zich op volledige crypto supply chain

Een nieuwe cyberaanval gericht op de crypto industrie zorgt voor zorgen binnen de sector. Beveiligingsonderzoekers melden dat meerdere organisaties in de crypto supply chain zijn gecompromitteerd, waaronder staking platforms, aanbieders van exchange software en crypto exchanges zelf. De aanval zou mogelijk verband houden met hackers uit Noord Korea.

Volgens onderzoek van beveiligingsbedrijf Ctrl Alt Intel maakten de aanvallers gebruik van verschillende technieken om toegang te krijgen tot systemen. Daarbij werden kwetsbaarheden in web applicaties gecombineerd met toegang tot cloud infrastructuur via Amazon Web Services. De aanvallers konden uiteindelijk broncode, Docker images en gevoelige toegangssleutels buitmaken.

Hackers richten zich op volledige crypto supply chain

De aanval lijkt niet gericht op één specifieke organisatie, maar op meerdere onderdelen van de crypto industrie. Onderzoekers stellen dat de aanvallers staking platforms, softwareleveranciers voor crypto exchanges en exchanges zelf hebben onderzocht en aangevallen.

Een belangrijk onderdeel van de aanval was het misbruiken van een kwetsbaarheid genaamd React2Shell, een beveiligingslek in web applicaties. Door deze kwetsbaarheid te gebruiken konden hackers systemen scannen en servers binnendringen die onvoldoende beveiligd waren.

In een van de gevallen werd de backend broncode van een crypto staking platform buitgemaakt. In de code ontdekten onderzoekers gevoelige gegevens zoals private keys en wallet adressen die waren opgeslagen in configuratiebestanden. In dezelfde omgeving werd ook een Python script gevonden dat via de web3 bibliotheek een crypto wallet kon uitlezen.

Onderzoekers zagen dat een wallet waarin een private key stond opgeslagen later ongeveer 52,6 TRX verplaatste. Het is echter niet bevestigd of deze transactie daadwerkelijk door de aanvallers werd uitgevoerd.

Aanvallers dringen door tot AWS cloud infrastructuur

Naast web applicatie aanvallen kregen de hackers ook toegang tot cloud omgevingen. De onderzoekers ontdekten dat de aanvallers geldige AWS toegangstokens gebruikten om systemen binnen een cloud omgeving te verkennen. Hoe deze credentials oorspronkelijk zijn verkregen blijft onduidelijk.

Eenmaal binnen gebruikten de aanvallers command line tools om verschillende diensten te analyseren, waaronder S3 opslag, databases, Kubernetes clusters en container registries. Vanuit deze infrastructuur konden ze uiteindelijk gevoelige gegevens verzamelen.

Zo werden vijf Docker images gedownload en opgeslagen als archieven. Daarnaast wisten de hackers broncode en softwarecomponenten te kopiëren die worden gebruikt door klanten van het exchange softwarebedrijf ChainUp.

Mogelijke link met Noord Koreaanse hackers

Volgens de onderzoekers vertoont de aanval meerdere kenmerken die eerder zijn gezien bij cyberoperaties gelinkt aan Noord Korea. Zo werd infrastructuur gebruikt met een server in Zuid Korea en het domein itemnania.com. Daarnaast werd een command and control systeem gebruikt dat draait via VShell en een reverse proxy via DNS verkeer.

De onderzoekers benadrukken dat de attributie voorlopig met matige zekerheid wordt gemaakt. Vooral omdat niet duidelijk is hoe de AWS toegangstokens oorspronkelijk in handen van de aanvallers zijn gekomen.

Toch laat het incident opnieuw zien dat de crypto industrie een belangrijk doelwit blijft voor geavanceerde cyberaanvallen. Vooral organisaties die infrastructuur leveren aan exchanges en staking platforms vormen aantrekkelijke doelwitten omdat zij toegang kunnen bieden tot meerdere systemen tegelijk. Recente incidenten, zoals wanneer politie een crypto roof van 680.000 dollar onderzoekt na de ontvoering van een zakenman, laten zien dat zowel digitale als fysieke dreigingen in de sector blijven toenemen.

Meer details over het onderzoek zijn gepubliceerd door Ctrl Alt Intel.