A BitMEX publicou um artigo detalhado em seu blog delineando as muitas explorações do Grupo Lazarus da Coreia do Norte relacionadas a ataques recentes contra sua exchange de criptomoedas. O Grupo Lazarus tem sido notório por atacar o setor de criptomoedas, empregando todo tipo de truques e táticas para roubar fundos de detentores de criptomoedas desavisados.
Os hackers têm como alvo várias exchanges, incluindo Phemex e Bybit. Eles até abordaram um funcionário da BitMEX, oferecendo um projeto falso para disfarçar uma tentativa de phishing para instalar software malicioso no dispositivo do funcionário. Mas agora a BitMEX está reagindo, mergulhando profundamente no código malicioso usado pelo grupo de hackers. A BitMEX descobriu vulnerabilidades sérias que as exchanges podem explorar para proteger seus ativos, incluindo a exposição dos bancos de dados de rastreamento do grupo e endereços IP de origem. A BitMEX pode rastrear suas horas operacionais e isolar atores fundamentais para as operações do grupo de hackers. A BitMEX identificou diferentes níveis para hackers, com hackers amadores designados a tarefas de phishing e hackers altamente qualificados designados a procedimentos de pós-exploração.
A postagem no blog da BitMEX delineou várias medidas a serem implementadas para detectar brechas de segurança em tempo real, incluindo um sistema de monitoramento interno para detectar infecções. A BitMEX teve um súbito interesse em cibersegurança porque um membro do Grupo Lazarus contatou um funcionário da BitMEX no LinkedIn, oferecendo uma proposta para se juntar a um projeto falso de NFT. A BitMEX não ficou impressionada com a ousada tentativa de phishing e decidiu investigar o assunto. A BitMEX agora tinha a chance de analisar o código do Lazarus ao vivo porque o hacker lhes deu um link para um projeto next.js / React no GitHub. A equipe rapidamente descobriu que o código foi projetado para atrair funcionários a executar código malicioso em seus sistemas.
Um Supabase do Lazarus foi descoberto por pesquisadores da BitMEX, revelando dados relacionados ao malware, incluindo nome de usuário, nome do host, sistema operacional, geolocalização, carimbo de data/hora e endereço IP. A BitMEX conseguiu classificar vários dispositivos como máquinas de desenvolvedor ou de teste devido à frequência de operação. Muitos dos desenvolvedores estavam usando VPNs para ofuscar sua localização. No entanto, um desenvolvedor cometeu um erro em um estágio, revelando o endereço IP real da máquina, que está localizada em Jiaxing, China, e utiliza um endereço IP da China Mobile.
A BitMEX acredita que isso foi uma falha operacional importante e poderia revelar a identidade do hacker. O Supabase também revelou quais serviços de VPN os hackers estavam usando. A BitMEX então desenvolveu um script para analisar o Supabase e buscar automaticamente erros operacionais. Afinal, até hackers cometem erros, que podem ser muito custosos para eles. A BitMEX descobriu que a atividade do Lazarus caiu entre 8h e 13h UTC, equivalente a 17h e 22h, horário de Pyongyang. Tal cronograma estruturado sugere que os atacantes estão seguindo uma agenda de trabalho organizada.
De acordo com os desenvolvedores da BitMEX, hackers possuem várias habilidades técnicas e residem em uma hierarquia de operações. Os desenvolvedores da BitMEX poderiam explorar tal detalhe buscando erros cometidos por hackers novatos. Os desenvolvedores da BitMEX notaram que um hacker tentou reutilizar um programa chamado 'BeaverTail', mas o implementou incorretamente, quase expondo um endereço IP pessoal. Portanto, a BitMEX conseguiu aprimorar sua segurança ao primeiro categorizar as vítimas de ataque para que pudesse detectar erros operacionais cometidos por hackers novatos.
A desofuscação de JavaScript impactou significativamente os desenvolvedores da BitMEX porque o Grupo Lazarus dependia fortemente de código ofuscado. O blog da BitMEX comentou que os desenvolvedores se divertiram muito descobrindo o código ofuscado porque puderam utilizar vários métodos criativos para encontrar o malware. Eles usaram a ferramenta Webcrack para renomear variáveis JavaScript com texto legível por humanos. O Webcrack possui uma função de renomeação de símbolos que auxilia no processo de desofuscação. A equipe da BitMEX já havia desofuscado malware anterior e estava preparada para a tarefa à frente. Eles puderam armazenar vários procedimentos para que o processo pudesse ser feito rapidamente. No entanto, os desenvolvedores notaram que o código tinha uma nova função conectada a um banco de dados Supabase e adicionaram detalhes sobre a máquina da vítima. O Supabase permitiu que os atacantes criassem um banco de dados rapidamente, sem precisar de uma camada de API. Os desenvolvedores da BitMEX sabiam que programadores frequentemente não protegem tal banco de dados com autenticação. Eles puderam acessar o Supabase e realizar mais análises sobre os atacantes.