Хакеры пытались взломать криптовалютную биржу ради миллиардов долларов, но их вычислили. Как это было

В блоге одной из крупнейших криптовалютных бирж Coinbase появился новый пост. В нём представители рассказали, как им удалось вычислить и предотвратить «сложную, направленную и хорошо спланированную атаку». При этом в компании считают, что хакеры могли похитить миллиарды долларов.

Злоумышленники использовали комбинацию средств современного хакинга и социальной инженерии. Прежде всего, они пытались заручиться доверием сотрудников компании и использовали для этого личную переписку. Дальше в ход пошёл фишинг и всевозможные браузерные скрипты для кражи чувствительных данных.

По сути атака началась 30 мая, когда несколько сотрудников получили электронные письма от некого Грегори Харриса, куратора отдела исследовательских грантов при Кембриджском университете. Должность была выбрана не случайно. Эти письма приходили с настоящего домена Кембриджа, в них не было вредоносного кода, они миновали папку спама, и в них даже имелась обычная фоновая информация о получателях. Хитрецы дали понять, что знают о предыдущей выслуге сотрудников, и просили помочь с оценкой проектов, претендующих на очередной грант.

В течение следующих нескольких недель мы получали аналогичные письма. Ничто не вызывало подозрения.

Хакеры развивали переписку с несколькими сотрудниками и не были под подозрением вплоть до 17 июня. В этот день «Харрис» в одном из писем предоставил ссылку, при переходе по которой в браузер устанавливается вредоносное программное обеспечение. Скрипт позволял злоумышленнику заполучить доступ к компьютеру жертвы. Собственно говоря, после этого Coinbase Security в «течение несколько часов вычислила и отразила эту атаку».

Первая фаза взлома

В рамках первой фазы атаки вредоносный код определял операционную систему и браузер на устройствах предполагаемых жертв. После этого пользователям macOS на экран выводилась «убедительная рекомендация» установить последнюю версию браузера Firefox.

Как только жертва переходила по ссылке в письме в только что установленном Firefox, со стороннего домена подгружался код эксплоита (это подвид вредоносных программ, которые используют уязвимости в программном обеспечении на локальном или удалённом компьютере). Именно в этот момент и сработала внутренняя система защиты компании. Причём об этом говорится как в отчётах самого сотрудника, так и автоматизированной системы предупреждения.

Вторая фаза взлома

Источник: 2Биткоина

По словам специалистов по безопасности, во второй фазе атаки предполагалось загрузить ещё одну вредоносную утилиту под названием Mokes.

При этом в обоих случаях злоумышленники использовали «эксплоиты нулевого дня». То есть защитных механизмов или инструкций по ликвидации последствий подобного взлома пока ещё не существует.

Что примечательно, первый эксплоит был обнаружен Самуэлем Гросом из проекта Project Zero от Google. И у Coinbase есть подозрения, что команда хакеров получила информацию о соответствующей уязвимости таким же путём. Грос даже написал об этом в своём Твиттере.

Thanks to @coinbase I've had a chance to look at the in-the-wild exploit for the recent Firefox 0day (the RCE) that they caught. Tl;dr: it looks a lot like a bug collision between Fuzzilli and someone manually auditing for bugs. My notes:
— Samuel Groß (@5aelo) June 25, 2019

Так что с Кембриджем?

Есть ещё один признак, который говорит о высокой квалификации хакерской группировки, которую Coinbase обозначила как «CRYPTO-3» или «HYDSEVEN». Они заполучили или каким-то образом зарегистрировали два новых почтовых ящика и даже разместили специальную страничку на домене Кембриджского университета.

У нас нет информации, как и когда злоумышленники получили доступ к аккаунтам в Кембридже. Мы также не знаем, они украли их или зарегистрировали самостоятельно. При этом важно отметить, что в интернете нет других упоминаний этих адресов. Кроме страничек в LinkedIn, которые, вероятнее всего, просто фейковые.

После обнаружения заражённого компьютера Coinbase закрыла доступ к системе для всех учётных записей на этом ПК. Кроме того, на время были заблокированы учётные записи и остального персонала. Как говорится в пресс-релизе биржи, как только отделу безопасности удалось предотвратить атаку, они сообщили о вторжении команде Mozilla и предоставили им код эксплоита.

В Mozilla отреагировали очень быстро, и мы получили все нужные исправления. Первый патч прислали на следующий день, а второй — в течение той же недели.

После этого представители Coinbase также пообщались с Кембриджским университетом и обсудили, как дальше решать эту проблему.

Тут хочется отметить, что в криптоиндустрии всегда важно быть начеку. Хакеры не дремлют и с каждым разом придумывают всё более изощрённые методы, как украсть наши с вами криптовалюты. Биржи и сервисы, в свою очередь, должны уметь думать на два шага вперёд злоумышленников и постараться гарантировать своим клиентам максимально безопасную среду. Только так можно построить крепкую криптоэкономику, способную впоследствии перерасти в прозрачную финансовую систему будущего.

Ну а пока единственное, что мы как пользователи криптовалют можем сделать, это не хранить криптовалюты на биржах. В нашем крипточате вы найдёте ещё много другой полезной информации.

Подписывайтесь на наш канал в Телеграме. И будьте предельно бдительны!