Kryptowährung im Wert von 1,5 Milliarden US-Dollar konnten Cyberkriminelle stehlen, weil es ihnen gelang, das vom betroffenen Unternehmen genutzte Wallet des Anbieters "Safe{Wallet}" zu manipulieren. Dieser beschäftigt sich seitdem damit, wie das passieren konnte und es künftig (hoffentlich) nicht nochmal wird. Erste Untersuchungsdetails veröffentlichte Safe jetzt, demnach könnten die Angreifer unter anderem einen verantwortlichen Entwickler bei Safe getäuscht haben.

Der Coup, der den Kriminellen am 21. Februar bei der Kryptobörse Bybit gelang, machte große Schlagzeilen: Als die Verantwortlichen eine große Menge der Kryptowährung Ethereum (Ether) von einem Wallet ins andere transferieren wollten, gelangten die Coins in die Hände professioneller Angreifer, wohl auch, weil diese das eingesetzte Safe-Wallet manipulieren konnten. Das FBI macht die mit dem nordkoreanischen Staat in Verbindung stehende Gruppe "TraderTraitor" verantwortlich. Safe kooperiert bei der Aufarbeitung des Vorfalls jetzt mit der amerikanischen IT-Sicherheitsberatung Mandiant.

Auf X teilte Safe den aktuellen Stand der Untersuchungen mit. Mit der klaren Einschränkung: Dies sei nur ein vorläufiger Bericht, es sei noch viel weitere Arbeit zu tun. Bestimmte Lücken bei der Rekonstruktion würden bleiben, da es dem Angreifer gelungen sei, die Malware nach dem Angriff vom betroffenen Gerät zu löschen, ebenso wie den Verlauf des Bash-Terminals. Zudem arbeite Safe daran, alle Dienste und Netzwerke für Online-Nutzer wiederherzustellen.

Angreifer drangen Wochen zuvor ein

Das Übel nahm bereits am 4. Februar seinen Lauf: An diesem Tag wurde laut Safe der Laptop eines Entwicklers ("Developer1") kompromittiert und ein Sitzungstoken für Amazon Web Services (AWS) entwendet, um die Kontrollen der Multi-Faktor-Authentifizierung (MFA) zu umgehen. Der Betroffene war demnach einer der wenigen Mitarbeiter, die für die Erfüllung ihrer Aufgaben eine höhere Zugriffsberechtigung hatten.

Die Sicherheitsforscher gehen davon aus, dass für die Kompromittierung ein Docker-Projekt namens MC-Based-Stock-Invest-Simulator-main mit der Domain getstockprice(.)com kommuniziert hat. Das Docker-Projekt sei auf dem Gerät nicht mehr verfügbar, dennoch waren Dateien dazu im Verzeichnis ~/Downloads/ zu finden, was ein möglicher Anhaltspunkt für Social Engineering sei. Dabei versuchen Angreifer, die Opfer zu manipulieren, indem sie menschliche Schwächen und Eigenschaften ausnutzen. Zum Beispiel, damit die Opfer selbstständig Programme auf Systemen installieren, wie womöglich in diesem Fall. Mandiant verweist auf weitere ähnliche Angriffe durch TraderTraitor, von denen das Unternehmen Kenntnis hat.

Die Domain getstockprice(.)com wurde laut Mandiant erst kurz zuvor registriert, laut WHOIS-Protokoll geschah das am 2. Februar über den Webhoster Namecheap. Mandiant verweist auf eine nahezu identische Domain namens getstockprice(.)info mit Nordkorea-Bezug, welche die IT-Sicherheitsberatung SlowMist am 23. Februar als Indikator für eine Kompromittierung (IoC) meldete. Diese sei schon am 7. Januar registriert worden, ebenfalls via Namecheap.

AWS-Zugriff über VPN und Kali Linux

Der Zugriff auf den AWS-Account von Developer1 erfolgte laut Mandiant erstmals am 5. Februar, verschleiert über IP-Adressen des Anbieters ExpressVPN. In den User Agent Strings ist die Zeichenfolge distrib#kali.2024 enthalten, woraus die Sicherheitsforscher ableiten, dass die Angreifer eine Distribution von Kali Linux verwendet haben. Das Muster aus ExpressVPN und Kali Linux hat Mandiant demnach schon häufiger bei TraderTraitor beobachtet.

Um an der AWS-Konfiguration von Safe zu arbeiten, sei alle 12 Stunden eine Multi-Faktor-Authentifizierung (MFA) notwendig gewesen. Laut Mandiant versuchten die Angreifer auch mehrfach, sich einen eigenen AWS-Zugang anzulegen, das misslang jedoch. In der Folge kaperten die Angreifer aktive Sitzungstokens von Developer1, wahrscheinlich mithilfe von Malware auf dessen Laptop. Sie mussten sich bei ihren Aktivitäten entsprechend nach den Arbeitszeiten des Entwicklers richten.

Eingeschleuster Code war Schlüssel zur Beute

Am 17. Februar fügten die Angreifer dann schadhaften Code in den AWS-Quellcode von Safe ein. Die IT-Sicherheitsberatung Ledger Insights geht davon aus, dass dieser Code nur bei einem der betroffenen Wallets von Bybit eingefügt wurde. Dieser Code ermöglichte es den Angreifern letztendlich, am 21. Februar die Milliardenwerte aus dem Bybit-Wallet abzugreifen.

Das handelte Safe und Bybit einen handfesten Skandal ein. Besonders, weil diverse Experten, einschließlich des Bybit-CEOs Ben Zhou, nach der Attacke betonten: Das Safe-Wallet hätte für Transaktionen dieser Größe niemals genutzt werden dürfen. Zhou selbst war es, der die verhängnisvolle Transaktion autorisierte.

Safe nennt allerdings auch einige der Sicherheitsmaßnahmen, die bereits vor dem Angriff bestanden. Dazu gehörten zum Beispiel regelmäßige Sicherheits-Audits, auch mit Experten von außerhalb des Unternehmens. Auch mehrere Vier-Augen-Checks bei Änderungen am Produkt seien gang und gäbe gewesen. Auf den Angriff reagiert Safe mit einer ganzen Reihe neuer Maßnahmen. Dazu gehören eine vorübergehende Sperre für externe Dienste für das eigene Transaktionssystem und ein umfassendes Monitoring aller Stack-Ebenen.

Bericht wirft neue Fragen auf

Der neue Untersuchungsbericht wirft bei einigen X-Nutzern aber auch neue Fragen auf. Wie war es zum Beispiel möglich, dass die Angreifer ihren Code einschleusen konnten, wenn eigentlich jede Änderung am Produkt von anderen Safe-Kollegen überprüft werden muss? Rahul Rumalla, Chief Product Officer bei Safe, sagt dazu, dass die Angreifer ihre Aktivitäten nach dem aktuellen Kenntnisstand sehr geschickt "manövriert und orchestriert" hätten, um die zahlreichen Sicherheitsvorkehrungen zu umgehen. Die Angreifer seien durchaus raffiniert gewesen. Auch, ob es sich bei dem betroffenen Laptop um ein privates oder ein dienstliches Gerät handelte und ob die Rolle des Entwicklers öffentlich bekannt war, will derselbe Nutzer wissen. Zum Schutz der Privatsphäre des Mitarbeiters möchte Rumalla darauf jedoch nicht eingehen.

Safe richtet auch einen Appell an die gesamte Branche: Die zunehmende Raffinesse solcher Angriffe zeige kritische Schwachstellen in der Sicherheit des Web 3.0 auf. Die Autorisierung einer Transaktion durch den Nutzer sei die letzte Verteidigungslinie gegen Cyberkriminalität, und sie funktioniere nur, wenn die Betroffenen immer wüssten, was genau sie autorisieren. Hierfür habe Safe einen Leitfaden ausgearbeitet. Insgesamt sieht das Unternehmen aber nicht nur die Nutzer von Kryptotransaktionen, sondern die gesamte Branche gefordert, um solcher Probleme Herr zu werden.