Un grupo de hacking logró robar casi $2 millones USD de la plataforma de intercambio de criptomoneda KLAYswap, con sede en Corea del Sur. Al parecer, el ataque fue posible después de que los hackers lograron un secuestro BGP raro e inteligente contra la infraestructura del servidor de uno de los proveedores de la plataforma.
El secuestro de BGP es una variante de ataque que permite a los hackers secuestrar las rutas de Internet para llevar a los usuarios a sitios maliciosos en lugar de sitios legítimos, impactando a KakaoTalk, una plataforma de mensajería instantánea muy popular en Asia.
Según el reporte, este ataque es particular debido a que no involucró el compromiso directo de KLAYswap, sino a la infraestructura del servidor de KakaoTalk, un servicio que la plataforma usaba para marketing y como una forma de comunicarse con los usuarios con fines de soporte técnico.
El incidente parece haber sido planeado con varios meses de anticipación, con los hackers utilizando un sistema autónomo, que es una entidad de Internet ficticia utilizada por empresas que poseen sus propios espacios de direcciones IP, como telecomunicaciones, centros de datos, proveedores de alojamiento o empresas de software.
Este sistema autónomo se encarga de distribuir rutas de Internet para decirles a otros sistemas qué espacios de direcciones IP poseen y qué dominios se pueden encontrar alojados en su propiedad. A nivel técnico, esto se hace a través de rutas BGP compartidas por los sistemas autónomos entre sí.
Usando un sistema autónomo falso conocido como AS9457, los atacantes comenzaron a anunciar que poseían las direcciones IP que servían a developers.kakao.com, que formaba parte de la infraestructura de desarrollo de KakaoTalk y donde la empresa alojaba kit de desarrollo de software.
Los usuarios que querían cargar este archivo desde el sitio oficial para desarrolladores de Kakao recibieron una versión de los servidores del atacante. El archivo se modificó para incluir un código adicional al final del archivo que, una vez cargado en el contexto del navegador del usuario objetivo, esperaría a que iniciaran una transacción en el sitio web de KLAYswap.
Una vez que se detectaba una operación, el código secuestraba los fondos y enviaba los activos a una dirección de criptomoneda controlada por el atacante, desde donde los fondos se lavarían inmediatamente a través de OrbitBridge y FixedFloat.
En cuestión de solo dos horas, los actores de amenazas lograron comprometer hasta $1.9 millones USD, aunque la cifra podría variar si se confirman nuevos hallazgos durante la investigación del incidente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
