BitMEX ha pubblicato un articolo dettagliato sul suo blog che illustra le numerose azioni del gruppo nordcoreano Lazarus in relazione ai recenti attacchi contro il suo exchange di criptovalute. Il gruppo Lazarus è noto per aver preso di mira il settore delle criptovalute , impiegando ogni sorta di trucco e tattica per rubare fondi a ignari possessori di criptovalute.
Gli hacker hanno preso di mira diversi exchange, tra cui Phemex e Bybit . Hanno persino contattato un dipendente di BitMEX, proponendogli un progetto fasullo per camuffare un tentativo di phishing volto a installare software dannoso sul suo dispositivo. Ma ora BitMEX sta contrattaccando, analizzando a fondo il codice dannoso utilizzato dal gruppo di hacker. BitMEX ha scoperto gravi vulnerabilità che gli exchange possono sfruttare per proteggere i propri asset, tra cui l'esposizione dei database di tracciamento del gruppo e degli indirizzi IP di origine. BitMEX è in grado di tracciare le proprie ore operative e isolare gli attori chiave per le operazioni del gruppo di hacker. BitMEX ha identificato diversi livelli per gli hacker, con hacker amatoriali assegnati alle attività di phishing e hacker altamente qualificati assegnati alle procedure di post-exploitation.
Il post sul blog di BitMEX delineava diverse misure da implementare per rilevare violazioni della sicurezza in tempo reale, tra cui un sistema di monitoraggio interno per rilevare le infezioni. BitMEX ha improvvisamente mostrato interesse per la sicurezza informatica perché un membro del Lazarus Group ha contattato un dipendente di BitMEX su LinkedIn, proponendogli di unirsi a un falso progetto NFT. BitMEX non è rimasta impressionata dal sfacciato tentativo di phishing e ha deciso di indagare sulla questione. BitMEX ha avuto quindi la possibilità di analizzare il codice Lazarus live perché l'hacker ha fornito loro un link a un progetto next.js / React su GitHub. Il team ha rapidamente scoperto che il codice era stato progettato per indurre i dipendenti a eseguire codice dannoso sui propri sistemi.
I ricercatori di BitMEX hanno scoperto una base dati di Lazarus, che ha rivelato dati relativi al malware, tra cui nome utente, nome host, sistema operativo, geolocalizzazione, timestamp e indirizzo IP. BitMEX è riuscita a classificare diversi dispositivi come macchine per sviluppatori o per test in base alla frequenza delle operazioni. Molti sviluppatori utilizzavano VPN per nascondere la propria posizione. Tuttavia, uno sviluppatore ha commesso un errore a un certo punto, rivelando l'indirizzo IP effettivo della macchina, che si trova a Jiaxing, in Cina, e utilizza un indirizzo IP di China Mobile.
BitMEX ritiene che si sia trattato di un grave errore operativo e che questo potrebbe rivelare l'identità dell'hacker. Supabase ha anche rivelato quali servizi VPN stavano utilizzando gli hacker. BitMEX ha quindi sviluppato uno script per analizzare Supabase e ricercare automaticamente errori operativi. Dopotutto, anche gli hacker commettono errori, che possono essere molto costosi per loro. BitMEX ha scoperto che l'attività di Lazarus è diminuita tra le 8:00 e le 13:00 UTC, equivalenti alle 17:00 e alle 22:00 ora di Pyongyang. Un programma così strutturato suggerisce che gli aggressori stiano seguendo un programma di lavoro organizzato.
Secondo gli sviluppatori di BitMEX, gli hacker possiedono diverse competenze tecniche e operano secondo una gerarchia. Gli sviluppatori di BitMEX hanno potuto sfruttare questo dettaglio cercando errori commessi da hacker alle prime armi. Gli sviluppatori di BitMEX hanno notato che un hacker aveva tentato di riutilizzare un programma chiamato "BeaverTail", ma lo aveva implementato in modo errato, esponendo quasi completamente un indirizzo IP personale. Pertanto, BitMEX è stata in grado di migliorare la propria sicurezza categorizzando innanzitutto le vittime degli attacchi in modo da poter individuare errori operativi commessi da hacker alle prime armi.
La deoffuscamento di JavaScript ha avuto un impatto significativo sugli sviluppatori di BitMEX, poiché il gruppo Lazarus si basava in gran parte su codice offuscato. Il blog di BitMEX ha commentato che gli sviluppatori si sono divertiti molto a scoprire il codice offuscato, perché hanno potuto utilizzare diversi metodi creativi per individuare il malware. Hanno utilizzato lo strumento Webcrack per rinominare le variabili JavaScript con testo leggibile. Webcrack dispone di una funzione di rinominazione dei simboli che facilita il processo di deoffuscamento. Il team di BitMEX aveva deoffuscato malware precedenti ed era pronto per il compito che lo attendeva. Avevano potuto memorizzare diverse procedure in modo da poter eseguire il processo rapidamente. Tuttavia, gli sviluppatori hanno notato che il codice conteneva una nuova funzione connessa a un database Supabase e aggiungeva dettagli sulla macchina della vittima. Supabase permetteva agli aggressori di creare un database al volo senza bisogno di un livello API. Gli sviluppatori di BitMEX sapevano che spesso i programmatori non proteggono un database di questo tipo tramite autenticazione. Potevano accedere a Supabase ed eseguire ulteriori analisi sugli aggressori.