Еве како хакери пробаа да го хакираат Coinbase

Американска крипто берза и провајдер на крипто паричник Coinbase, даде повеќе детали за неодамнешниот обид за хакирање и изјави дека тие биле цел на внимателно испланиран, софистициран напад што користел spear phishing/ социјален инженеринг тактики и две zero-day слабости на Firefox.

Во најновиот блог пост на Coinbase, Филип Мартин, надлежен за безбедност на информации на компанијата, објасни дека во текот на неколку недели, почнувајќи од 30-ти мај, голем број вработени во Coinbase добиле е-мејл од лице кое тврди дека е Грегори Харис, Администратор за истражувачки грантови на Универзитетот во Кембриџ, што во никој случај не се чинело сомнително – „доаѓаше од легитимниот домен на Кембриџ, не содржеше елементи на вирус и минуваше откривање на спам“. Сето ова создаде чувство дека жртвите разговарале со легитимни луѓе, вели Мартин.

Групата, која беше најдена од Coinbase како „CRYPTO-3“ или „HYDSEVEN“, ги креирала лажните профили на LinkedIn, или компромитирани или направиле два е-мејла, креирале целна страница на Универзитетот во Кембриџ, го регистрирале доменот и ги клонирале или измениле постојните веб-страници на Универзитетот Кембриџ, „правејќи ги достапни во личните датотеки на акаунтите контролирани од напаѓачите“.

Меѓутоа, откако барале потенцијални жртви преку повеќе е-мејлови, „осигурајќи се дека се таргети кои ќе им се исплатат“, од луѓето што го добиле е-мејлот, 2,5% добиле линк до домаќин страната на zero-day. На 17-ти јуни, „Харис“ испратил е-мејл со „URL-то што кога ќе се отвори во Firefox, ќе инсталира штетен софтвер способен да преземе нечија машина“, кој Coinbase го откриле и блокирале „за неколку часа“, пишува Мартин.

Zero-day е претходно непозната или нерешена софтверска ранливост, и имало две вакви „поврзани заедно“ што хакерот веројатно ги открил одделно и ги искористил во неговиот хакерски обид. Судејќи според деталите откриени за време на истрагата, напаѓачот брзо ја открил ранливоста и имал добро структуриран код. „Генерално, изгледа како работа на група која има значително искуство во експлоатација“, вели Мартин.

Нападот бил извршен во две фази:

  • Идентификување на оперативниот систем и пребарувачот; прикажување убедлива грешка на корисниците на macOS кои не го користеле Firefox и ги упатуваа да ја инсталираат најновата верзија; доставување на експлоатирачкиот код откако ќе се посети страницата во Firefox; користење на имплантантот за „кражба на акредитиви“. Coinbase изјавија дека ги откриле напаѓачите во првата фаза.
  • Во втората фаза веројатно се користел Trojan вирус – програма со штетен софтвер, која вклучува скришно вметнување административна контрола над таргетираниот компјутер). „Ние ја забележавме активноста на имплантот од втората фаза во комплетна согласност со директна човечка контрола“, пишува Мартин.

Бидејќи вработените го вклучиле алармот, истрагата започнала, додека напаѓачите сè уште веројатно не биле свесни за тоа. „Откако бевме сигурни дека го спречивме најлошото“, тие се јавиле на безбедносниот тим на Мozilla да го споделат искористениот код, со кој потоа ја решиле софтверската ранливост, како и на Универзитетот Кембриџ.

Мартин вели дека над 200 лица биле мета на овој напаѓач. Coinbase „ги идентификуваше организациите кои биле нападнати од овие лица за да можеме да ги контактираме и да им дадеме на нивните безбедносни тимови информации што ќе им се потребни за да ја обезбедат својата инфраструктура и да ги заштитат своите вработени.”

Leave a comment