Coinbase розповідає, як запобігти «складній» хакерській атаці

Криптовалюта біржа Coinbase описала, як на неї була спрямована «складна, цілеспрямована, продумана атака», спрямована на доступ до її систем і, ймовірно, на те, щоб позбутися частини Криптовалюта на мільярди доларів, яку вона зберігає.

У 8 серп публікація в блозі У технічних деталях описано, як розгортався сюжет і як біржа протистояла спробі крадіжки, Coinbase повідомила, що хакери використовували комбінацію засобів, щоб спробувати обдурити персонал і отримати доступ до життєво важливих систем – методи, які включали фішинг, соціальну інженерію та експлойти браузера нульового дня.

Атака почалася 30 травня, коли десяток співробітників отримали електронні листи, які нібито надійшли від Грегорі Гарріса, адміністратора дослідницьких грантів Кембриджського університету. Далеко не випадково, вони цитували минулі історії співробітників і просили допомогти оцінити проекти, які змагаються за нагороду.

Coinbase сказав:

«Цей електронний лист надійшов із законного домену Кембриджу, не містив шкідливих елементів, пройшов виявлення спаму та посилався на історію одержувачів. Протягом наступних кількох тижнів надходили подібні електронні листи. Здавалося, нічого поганого».

Зловмисники розробили розмови електронною поштою з кількома співробітниками, утримуючись від надсилання будь-якого шкідливого коду до 17 червня, коли «Харріс» надіслав ще один електронний лист, що містив URL-адресу, яка, відкриваючись у Firefox, встановлювала шкідливе програмне забезпечення, здатне захопити чиюсь машину.

У Coinbase заявили, що «протягом кількох годин Coinbase Security виявила та заблокувала атаку».

На першому етапі атаки, як зазначено в дописі, спочатку було визначено ОС і браузер на машинах передбачуваних жертв, відображаючи «переконливу помилку» користувачам macOS, які не використовували браузер Firefox, і пропонуючи їм встановити останню версію програми.

Після того, як URL-адресу, надіслану електронною поштою, було відвідано за допомогою Firefox, код експлойту був доставлений з іншого домену, який був зареєстрований 28 травня. Саме в цей момент була ідентифікована атака «на основі звіту від співробітника та автоматичних сповіщень», — повідомила Coinbase.

Аналіз виявив, що на другому етапі ще одне зловмисне навантаження було доставлено у вигляді варіанту бекдор-зловмисного програмного забезпечення, націленого на Mac, під назвою Mokes.

У Coinbase пояснили, що в атаці використовувалися два окремих експлойти нульового дня Firefox: «ONE , який дозволяв зловмиснику підвищити привілеї від JavaScript на сторінці до браузера (CVE-2019–11707), і ONE , який дозволив зловмиснику вийти з пісочниці браузера та виконати код на головному комп’ютері (CVE-2019–11708)».

Примітно, що перший був виявлений Семюелем Гроссом з Google Project Zero одночасно зі зловмисником, хоча Coinbase зменшила ймовірність того, що команда хакерів отримала інформацію про вразливість через це джерело. Гросс звертається до цього в a Потік Twitter.

Іншою ознакою досвідченості команди хакерів, позначеної Coinbase як Крипто-3 або HYDSEVEN, є створення двох облікових записів електронної пошти та створення цільової сторінки в Кембриджському університеті.

Coinbase сказав:

«Ми T знаємо, коли зловмисники вперше отримали доступ до облікових записів Cambridge, чи були ці облікові записи захоплені чи створені. Як зазначали інші, особи, пов’язані з обліковими записами електронної пошти, майже не представлені в Інтернеті, а профілі LinkedIn майже напевно підроблені».

Після виявлення єдиного постраждалого комп’ютера в компанії Coinbase заявила, що відкликала всі облікові дані на машині та заблокувала облікові записи всіх співробітників.

«Після того, як ми переконалися, що досягли стримування в нашому середовищі, ми звернулися до команди безпеки Mozilla та поділилися кодом експлойту, використаним у цій атаці», — йдеться в повідомленні біржі. «Команда безпеки Mozilla швидко відреагувала та змогла отримати виправлення для CVE-2019–11707 наступного дня та CVE-2019–11708 того ж тижня».

Coinbase також зв’язалася з Кембриджським університетом, щоб повідомити та допомогти вирішити проблему, а також отримати більше інформації про методи зловмисника.

Coinbase зробив висновок:

« Криптовалюта індустрія має очікувати, що атаки такої складності триватимуть, і, будуючи інфраструктуру з чудовою захисною позицією та працюючи один з одним, щоб обмінюватися інформацією про атаки, які ми бачимо, ми зможемо захистити себе та наших клієнтів, підтримати криптоекономіку та побудувати відкриту фінансову систему майбутнього».

Генеральний директор Coinbase Браян Армстронг через архіви CoinDesk