Coinbase spiega come ha sventato un attacco hacker "sofisticato"

La piattaforma di scambio Criptovaluta Coinbase ha descritto come è stata presa di mira e sventata da "un attacco sofisticato, altamente mirato e ben studiato", mirato ad accedere ai suoi sistemi e presumibilmente a rubare parte dei miliardi di dollari in Criptovaluta in suo possesso.

In un 8 agostopost del blogche espone nei dettagli tecnici come si è svolta la trama e come l'exchange ha contrastato il tentativo di furto, Coinbase ha affermato che gli hacker hanno utilizzato una combinazione di mezzi per cercare di ingannare il personale e accedere a sistemi vitali, metodi che includevano spear phishing, ingegneria sociale ed exploit zero-day del browser.

L'attacco era iniziato il 30 maggio, con una dozzina di dipendenti a cui erano state inviate e-mail che presumibilmente provenivano da Gregory Harris, un Research Grants Administrator presso l'Università di Cambridge. Lungi dall'essere casuali, queste citavano le storie passate dei dipendenti e richiedevano aiuto per giudicare i progetti in gara per un premio.

Coinbase ha detto:

"Questa email proveniva dal legittimo dominio Cambridge, non conteneva elementi dannosi, ha superato il rilevamento spam e faceva riferimento ai precedenti dei destinatari. Nelle due settimane successive, sono state ricevute email simili. Non sembrava esserci nulla di strano."

Gli aggressori hanno avviato conversazioni via email con diversi membri dello staff, evitando di inviare codice dannoso fino al 17 giugno, quando "Harris" ha inviato un'altra email contenente un URL che, se aperto in Firefox, avrebbe installato un malware in grado di prendere il controllo del computer di qualcuno.

Coinbase ha affermato che "nel giro di poche ore, Coinbase Security ha rilevato e bloccato l'attacco".

La prima fase dell'attacco, come indicato nel post, ha innanzitutto identificato il sistema operativo e il browser sui computer delle vittime designate, mostrando un "errore convincente" agli utenti macOS che non utilizzavano il browser Firefox e chiedendo loro di installare la versione più recente dell'app.

Una volta che l'URL inviato tramite e-mail è stato visitato con Firefox, il codice exploit è stato recapitato da un dominio diverso, che era stato registrato il 28 maggio. È stato a questo punto che è stato identificato l'attacco, "sulla base sia di un rapporto di un dipendente che di avvisi automatici", ha affermato Coinbase.

L'analisi ha scoperto che nella seconda fase sarebbe stato distribuito un altro payload dannoso sotto forma di una variante del malware backdoor per Mac denominato Mokes.

Coinbase ha spiegato che nell'attacco sono stati utilizzati due diversi exploit zero-day di Firefox: "ONE che ha consentito a un aggressore di aumentare i privilegi da JavaScript su una pagina al browser (CVE-2019–11707) e ONE che ha consentito all'aggressore di uscire dalla sandbox del browser ed eseguire codice sul computer host (CVE-2019–11708)."

In particolare, il primo è stato scoperto da Samuel Groß del Project Zero di Google nello stesso momento dell'attaccante, sebbene Coinbase abbia minimizzato la probabilità che il team di hacker avesse ottenuto le informazioni sulla vulnerabilità tramite quella fonte. Groß affronta questo aspetto in unDiscussione su Twitter.

Un altro segno della complessità del team di hacker, etichettato da Coinbase come Cripto-3 o HYDSEVEN, è che ha preso il controllo o creato due account di posta elettronica e ha creato una landing page presso l'Università di Cambridge.

Coinbase ha detto:

"T sappiamo quando gli aggressori hanno avuto accesso per la prima volta agli account Cambridge, o se gli account sono stati presi in consegna o creati. Come altri hanno notato, le identità associate agli account e-mail non hanno quasi nessuna presenza online e i profili LinkedIn sono quasi certamente falsi."

Dopo aver scoperto l'unico computer interessato presso l'azienda, Coinbase ha affermato di aver revocato tutte le credenziali sul computer e bloccato tutti gli account dei dipendenti.

"Una volta che ci siamo sentiti sicuri di aver raggiunto il contenimento nel nostro ambiente, abbiamo contattato il team di sicurezza di Mozilla e condiviso il codice exploit utilizzato in questo attacco", ha affermato l'exchange. "Il team di sicurezza di Mozilla è stato molto reattivo ed è stato in grado di rilasciare una patch per CVE-2019-11707 entro il giorno successivo e CVE-2019-11708 nella stessa settimana".

Coinbase ha anche contattato l'Università di Cambridge per segnalare e aiutare a risolvere il problema, nonché per ottenere maggiori informazioni sui metodi dell'aggressore.

Coinbase ha concluso:

"Il settore Criptovaluta deve aspettarsi che attacchi di questa sofisticatezza continuino e, costruendo un'infrastruttura con un'eccellente postura difensiva e collaborando tra di noi per condividere informazioni sugli attacchi a cui stiamo assistendo, saremo in grado di difendere noi stessi e i nostri clienti, supportare la criptoeconomia e costruire il sistema finanziario aperto del futuro".

Il CEO di Coinbase Brian Armstrong tramite gli archivi CoinDesk