توسعه‌دهندگان BitMEX جزئیات هکرهای گروه لازاروس را پس از دسترسی به پایگاه داده آن‌ها فاش کردند

BitMEX مقاله‌ای تفصیلی در وبلاگ خود منتشر کرده که سوءاستفاده‌های متعدد گروه لازاروس کره شمالی را در ارتباط با حملات اخیر علیه صرافی رمزارزهای این شرکت تشریح می‌کند. گروه لازاروس به دلیل هدف قرار دادن بخش رمزارز و استفاده از انواع ترفندها و تاکتیک‌ها برای سرقت وجوه از کاربران بی‌احتیاط رمزارز بدنام است.
این هکرها صرافی‌های مختلفی از جمله Phemex و Bybit را هدف قرار داده‌اند. آن‌ها حتی به کارمندی از BitMEX نزدیک شدند و پروژه‌ای جعلی را پیشنهاد دادند تا تلاش فیشینگ خود برای نصب نرم‌افزار مخرب بر روی دستگاه کارمند را پنهان کنند. اما اکنون BitMEX در حال مقابله است و به بررسی عمیق کد مخربی که توسط این گروه هکری استفاده می‌شود، پرداخته است.
BitMEX آسیب‌پذیری‌های جدی کشف کرده که صرافی‌ها می‌توانند از آن‌ها برای محافظت از دارایی‌های خود استفاده کنند، از جمله افشای پایگاه‌های داده ردیابی گروه و آدرس‌های IP مبدأ. BitMEX قادر است ساعات عملیاتی آن‌ها را ردیابی کند و بازیگران کلیدی عملیات گروه هکری را شناسایی کند. BitMEX سطوح مختلفی برای هکرها تعریف کرده، به طوری که هکرهای آماتور به وظایف فیشینگ اختصاص یافته و هکرهای بسیار ماهر به رویه‌های پس از سوءاستفاده منصوب شده‌اند.
پست وبلاگ BitMEX اقدامات مختلفی را برای تشخیص نقض امنیت در زمان واقعی تشریح کرد، از جمله سیستم نظارت داخلی برای تشخیص عفونت‌ها. BitMEX علاقه ناگهانی به امنیت سایبری پیدا کرده زیرا عضوی از گروه لازاروس در لینکدین با کارمند BitMEX تماس گرفت و پیشنهادی برای پیوستن به پروژه NFT جعلی ارائه داد. BitMEX تحت تأثیر این تلاش فیشینگ گستاخانه قرار نگرفت و تصمیم به تحقیق در این موضوع گرفت.
BitMEX اکنون فرصتی برای تجزیه و تحلیل کد زنده لازاروس داشت زیرا هکر لینکی به پروژه next.js / React در GitHub به آن‌ها داد. تیم به سرعت کشف کرد که کد طوری طراحی شده بود که کارمندان را وسوسه کند تا کد مخرب را بر روی سیستم‌های خود اجرا کنند.
محققان BitMEX یک Supabase لازاروس کشف کردند که داده‌هایی مربوط به بدافزار را فاش کرد، از جمله نام کاربری، نام میزبان، سیستم عامل، موقعیت جغرافیایی، مهر زمان و آدرس IP. BitMEX توانست دستگاه‌های مختلف را به دلیل فراوانی عملیات به عنوان ماشین توسعه‌دهنده یا آزمایشی طبقه‌بندی کند. بسیاری از توسعه‌دهندگان از VPN برای مبهم کردن موقعیت خود استفاده می‌کردند. با این حال، یکی از توسعه‌دهندگان در یک مرحله اشتباه کرد و آدرس IP واقعی ماشین را فاش کرد که در جیاکسینگ چین قرار دارد و از آدرس IP چین موبایل استفاده می‌کند.
BitMEX معتقد است این یک شکست عملیاتی بزرگ بوده و می‌تواند هویت هکر را فاش کند. Supabase همچنین مشخص کرد که هکرها از کدام سرویس‌های VPN استفاده می‌کردند. BitMEX سپس اسکریپتی توسعه داد تا Supabase را به طور خودکار تجزیه و تحلیل کند و به دنبال اشتباهات عملیاتی بگردد. در نهایت، حتی هکرها هم اشتباه می‌کنند که می‌تواند برای آن‌ها بسیار پرهزینه باشد. BitMEX دریافت که فعالیت لازاروس بین ساعت 8 صبح تا 1 بعدازظهر UTC کاهش می‌یابد که معادل 5 بعدازظهر تا 10 شب به وقت پیونگ‌یانگ است. چنین برنامه منظمی نشان می‌دهد که مهاجمان از برنامه کاری سازمان‌یافته پیروی می‌کنند.
به گفته توسعه‌دهندگان BitMEX، هکرها توانایی‌های فنی متفاوتی دارند و در سلسله مراتب عملیات قرار دارند. توسعه‌دهندگان BitMEX می‌توانستند از چنین جزئیاتی با جستجوی اشتباهات مرتکب شده توسط هکرهای تازه‌کار سوءاستفاده کنند. توسعه‌دهندگان BitMEX متوجه شدند که یکی از هکرها سعی کرده برنامه‌ای به نام 'BeaverTail' را مجدداً استفاده کند اما آن را به درستی پیاده‌سازی نکرده و تقریباً آدرس IP شخصی را فاش کرده است. بنابراین، BitMEX توانست با طبقه‌بندی اولیه قربانیان حمله امنیت خود را افزایش دهد تا بتواند اشتباهات عملیاتی هکرهای تازه‌کار را تشخیص دهد.
عدم مبهم‌سازی JavaScript تأثیر قابل توجهی بر توسعه‌دهندگان BitMEX داشت زیرا گروه لازاروس به شدت بر کد مبهم‌شده متکی بود. وبلاگ BitMEX اظهار داشت که توسعه‌دهندگان از کشف کد مبهم‌شده لذت زیادی بردند زیرا می‌توانستند از روش‌های خلاقانه مختلفی برای یافتن بدافزار استفاده کنند. آن‌ها از ابزار Webcrack برای تغییر نام متغیرهای JavaScript با متن قابل خواندن توسط انسان استفاده کردند. Webcrack دارای عملکرد تغییر نام نماد است که در فرآیند عدم مبهم‌سازی کمک می‌کند. تیم BitMEX قبلاً بدافزارهای قبلی را غیرمبهم کرده بود و برای کار پیش رو آماده بود. آن‌ها می‌توانستند رویه‌های مختلف را ذخیره کنند تا فرآیند به سرعت انجام شود. با این حال، توسعه‌دهندگان متوجه شدند که کد دارای عملکرد جدیدی متصل به پایگاه داده Supabase است و جزئیاتی درباره ماشین قربانی اضافه می‌کند. Supabase به مهاجمان اجازه می‌داد تا بدون نیاز به لایه API، پایگاه داده‌ای در لحظه ایجاد کنند. توسعه‌دهندگان BitMEX می‌دانستند که برنامه‌نویسان اغلب چنین پایگاه داده‌ای را با احراز هویت ایمن نمی‌کنند. آن‌ها می‌توانستند به Supabase دسترسی پیدا کنند و تجزیه و تحلیل بیشتری درباره مهاجمان انجام دهند.