Itinatakda ng Coinbase Kung Paano Nito Nasira ang isang 'Sopistikadong' Pag-atake sa Pag-hack

Ang Cryptocurrency exchange Coinbase ay inilarawan kung paano ito na-target ng, at nabigo, "isang sopistikado, lubos na na-target, pinag-isipang pag-atake" na naglalayong i-access ang mga system nito at malamang na makabawi gamit ang ilan sa bilyun-bilyong dolyar na halaga ng Cryptocurrency na hawak nito.

Sa isang Agosto 8 post sa blog na naglalahad sa teknikal na detalye kung paano lumaganap ang balangkas at kung paano tinutulan ng palitan ang tangkang pagnanakaw, sinabi ng Coinbase na gumamit ang mga hacker ng kumbinasyon ng mga paraan upang subukan at manloko ng mga tauhan at ma-access ang mga mahahalagang sistema – mga pamamaraan na kinabibilangan ng spear phishing, social engineering at browser zero-day exploits.

Nagsimula ang pag-atake noong Mayo 30, kasama ang isang dosenang kawani na nagpadala ng mga email na sinasabing mula kay Gregory Harris, isang Research Grants Administrator sa University of Cambridge. Malayo sa random, binanggit nito ang mga nakaraang kasaysayan ng mga empleyado at humiling ng tulong sa paghusga sa mga proyektong nakikipagkumpitensya para sa isang parangal.

Sinabi ng Coinbase:

"Ang email na ito ay nagmula sa lehitimong domain ng Cambridge, hindi naglalaman ng mga malisyosong elemento, pumasa sa pagtukoy ng spam, at tinukoy ang mga background ng mga tatanggap. Sa loob ng susunod na ilang linggo, ang mga katulad na email ay natanggap. Mukhang walang mali."

Ang mga umaatake ay bumuo ng mga pag-uusap sa email kasama ang ilang mga tauhan, na nagpipigil sa pagpapadala ng anumang malisyosong code hanggang Hunyo 17, nang magpadala si "Harris" ng isa pang email, na naglalaman ng URL na, kapag binuksan sa Firefox, ay mag-i-install ng malware na may kakayahang kunin ang makina ng isang tao.

Sinabi ng Coinbase na, "sa loob ng ilang oras, nakita at hinarangan ng Coinbase Security ang pag-atake."

Ang unang yugto ng pag-atake, ipinahihiwatig ng post, ay unang natukoy ang OS at browser sa mga nilalayong makina ng mga biktima, na nagpapakita ng "nakakumbinsi na error" sa mga gumagamit ng macOS na hindi gumagamit ng Firefox browser, at nag-udyok sa kanila na i-install ang pinakabagong bersyon ng app.

Sa sandaling binisita ang email na URL gamit ang Firefox, naihatid ang exploit code mula sa ibang domain, na nairehistro noong Mayo 28. Sa puntong ito natukoy ang pag-atake, "batay sa parehong ulat mula sa isang empleyado at mga awtomatikong alerto," sabi ng Coinbase.

Nalaman ng pagsusuri nito na ang ikalawang yugto ay makikita ang isa pang nakakahamak na payload na inihatid sa anyo ng isang variant ng Mac-targeting backdoor malware na tinatawag na Mokes.

Ipinaliwanag ng Coinbase na mayroong dalawang magkahiwalay na pagsasamantala ng Firefox zero-day na ginamit sa pag-atake: "ONE na nagpahintulot sa isang umaatake na iangat ang mga pribilehiyo mula sa JavaScript sa isang pahina patungo sa browser (CVE-2019–11707) at ONE na nagbigay-daan sa umaatake na makatakas sa sandbox ng browser at magsagawa ng code sa host computer (CVE-2019)–11708."

Kapansin-pansin, ang una ay natuklasan ni Samuel Groß ng Google's Project Zero kasabay ng pag-atake, kahit na binawasan ng Coinbase ang posibilidad na ang pangkat ng pag-hack ay nakakuha ng impormasyon sa kahinaan sa pamamagitan ng pinagmulang iyon. Tinutugunan iyon ni Groß sa a Twitter thread.

Sa isa pang tanda ng pagiging sopistikado ng pangkat ng pag-hack - na may label ng Coinbase bilang Crypto-3 o HYDSEVEN - kinuha nito o lumikha ng dalawang email account at lumikha ng isang landing page sa University of Cambridge.

Sinabi ng Coinbase:

"T namin alam kung kailan unang nakakuha ng access ang mga umaatake sa mga account sa Cambridge, o kung ang mga account ay kinuha o ginawa. Gaya ng nabanggit ng iba, ang mga pagkakakilanlan na nauugnay sa mga email account ay halos walang online presence at ang mga profile ng LinkedIn ay halos tiyak na peke."

Matapos matuklasan ang nag-iisang apektadong computer sa kumpanya, sinabi ng Coinbase na binawi nito ang lahat ng kredensyal sa machine, at ni-lock ang lahat ng account ng staffer.

"Sa sandaling kumportable na kami na nakamit namin ang pagpigil sa aming kapaligiran, nakipag-ugnayan kami sa Mozilla security team at ibinahagi ang exploit code na ginamit sa pag-atakeng ito," sabi ng palitan. "Ang koponan ng seguridad ng Mozilla ay lubos na tumutugon at nagawang magkaroon ng patch out para sa CVE-2019–11707 sa susunod na araw at CVE-2019–11708 sa parehong linggo."

Nakipag-ugnayan din ang Coinbase sa Cambridge University upang mag-ulat at tumulong na ayusin ang isyu, gayundin upang makakuha ng higit pang impormasyon sa mga pamamaraan ng umaatake.

Nagtapos ang Coinbase:

"Kailangang asahan ng industriya ng Cryptocurrency na magpapatuloy ang mga pag-atake ng pagiging sopistikadong ito, at sa pamamagitan ng pagbuo ng imprastraktura na may mahusay na defensive posture, at pakikipagtulungan sa isa't isa upang magbahagi ng impormasyon tungkol sa mga pag-atake na nakikita natin, magagawa nating ipagtanggol ang ating sarili at ang ating mga customer, suportahan ang cryptoeconomy, at bumuo ng bukas na sistema ng pananalapi sa hinaharap."

Coinbase CEO Brian Armstrong sa pamamagitan ng CoinDesk archive