Radiant: 50 miljoen dollar gestolen nadat ontwikkelaar malafide zip opent
De aanval op Radiant Capital, waarbij vijftig miljoen dollar aan crypto werd gestolen, werd vooraf gegaan door verschillende ontwikkelaars die een malafide zip-bestand openden, zo stelt het platform in een analyse. Radiant Capital is een decentralized finance (DeFi) platform dat gebruikers cryptovaluta laat storten, lenen en beheren. Op 16 oktober werd het project getroffen door een aanval waarbij het genoemde bedrag werd buitgemaakt.
De aanvallers hadden de apparaten van zeker drie ontwikkelaars gecompromitteerd. Via deze besmette machines werden goedkeuringen van de ontwikkelaars voor legitiem lijkende transacties onderschept en daarna voor frauduleuze transacties gebruikt, aldus een post-mortem die op 18 oktober verscheen. Radiant Capital heeft in een update nu meer informatie over de aanval gegeven.
Een Radiant-ontwikkelaar ontving op 11 september een bericht via Telegram dat van een vertrouwde voormalige freelancer afkomstig leek. De freelancer stelde dat hij naar een nieuwe baan keek en wilde graag feedback van de ontwikkelaar hierover. Het bericht bevatte ook een link naar een zip-bestand met meer informatie. In werkelijkheid bevatte het zip-bestand malware die een macOS-backdoor op het systeem installeerde en als afleidingsmanoeuvre een legitiem lijkend pdf-document toonde.
"Gegeven hoe normaal dit soort interacties zijn en dat het afkomstig was een voormalige freelancer, wekte het bestand in eerste instantie geen argwaan en werd met andere ontwikkelaars voor feedback gedeeld. Daarnaast spoofte het domein dat aan het zip-bestand was gekoppeld de legitieme website van de freelancer, wat de argwaan verder verminderde", laat Radiant weten.
Op deze manier werden meerdere ontwikkelaars gecompromitteerd. Vervolgens wisten de aanvallers via de malware de front-end interfaces van de ontwikkelaars te manipuleren. De interfaces toonden onschuldige transactiegegevens, terwijl de ontwikkelaars in werkelijkheid malafide transacties signeerden. Radiant schakelde securitybedrijf Mandiant in voor het onderzoek naar de aanval, dat stelt dat de aanval door een aan Noord-Korea gelieerde groep is uitgevoerd.
Ik vind dat de tech-industrie al decennia op een verkeerd spoor zit hierin, die is erop gericht om alles zo laagdrempelig mogelijk te maken, inclusief riskante acties. Waarom doen ze dat? Omdat dat verkoopt. Mensen herkennen het gemak namelijk direct en het risico pas als het misgaat. Ze beoordelen het dus niet goed. Verkopers passen alles aan dat directe oordeel van de klant aan zonder zich druk te maken over nadelen die eraan kleven voor de klant. Ze leveren wat de klant "wil". Ja, de klant wil dat gemak best, maar de klant wil ook geen 50 miljoen kwijtraken. Dat speelt alleen pas een rol als de platformkeuze en de verkoop allang achter de rug zijn, als de klant allang is binnengehaald.
Dat vliegt er doorheen natuurlijk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
