Coinbase explique comment il a déjoué une attaque de piratage « sophistiquée »

La plateforme d'échange de Cryptomonnaie Coinbase a décrit comment elle a été ciblée par, et déjouée, « une attaque sophistiquée, hautement ciblée et réfléchie » visant à accéder à ses systèmes et vraisemblablement à s'emparer d'une partie des milliards de dollars de Cryptomonnaie qu'elle détient.

Dans un communiqué du 8 aoûtarticle de blogqui expose en détail technique comment le complot s'est déroulé et comment l'échange a contré la tentative de vol, Coinbase a déclaré que les pirates ont utilisé une combinaison de moyens pour essayer de tromper le personnel et d'accéder aux systèmes vitaux - des méthodes qui comprenaient le spear phishing, l'ingénierie sociale et les exploits zero-day du navigateur.

L'attaque a débuté le 30 mai. Une douzaine d'employés ont reçu des courriels prétendument envoyés par Gregory Harris, administrateur des subventions de recherche à l'Université de Cambridge. Loin d'être aléatoires, ces courriels citaient les antécédents des employés et demandaient de l'aide pour évaluer les projets en compétition pour un prix.

Coinbase a déclaré :

Cet e-mail provenait du domaine légitime de Cambridge, ne contenait aucun élément malveillant, avait passé la détection anti-spam et mentionnait les antécédents des destinataires. Au cours des deux semaines suivantes, des e-mails similaires ont été reçus. Rien ne semblait anormal.

Les attaquants ont développé des conversations par courrier électronique avec plusieurs membres du personnel, s'abstenant d'envoyer du code malveillant jusqu'au 17 juin, date à laquelle « Harris » a envoyé un autre courrier électronique contenant une URL qui, une fois ouverte dans Firefox, installerait un logiciel malveillant capable de prendre le contrôle de la machine de quelqu'un.

Coinbase a déclaré que « en quelques heures, la sécurité de Coinbase a détecté et bloqué l'attaque ».

La première étape de l'attaque, indique le message, a d'abord identifié le système d'exploitation et le navigateur sur les machines des victimes visées, affichant une « erreur convaincante » aux utilisateurs de macOS qui n'utilisaient pas le navigateur Firefox, et les invitant à installer la dernière version de l'application.

Une fois l'URL envoyée par courrier électronique visitée avec Firefox, le code d'exploitation a été livré à partir d'un domaine différent, qui avait été enregistré le 28 mai. C'est à ce moment-là que l'attaque a été identifiée, « sur la base d'un rapport d'un employé et d'alertes automatisées », a déclaré Coinbase.

Son analyse a révélé que la deuxième étape aurait vu une autre charge utile malveillante délivrée sous la forme d'une variante du malware de porte dérobée ciblant Mac appelé Mokes.

Coinbase a expliqué que deux exploits zero-day distincts de Firefox avaient été utilisés dans l'attaque : «ONEun qui permettait à un attaquant d'élever les privilèges de JavaScript sur une page vers le navigateur (CVE-2019–11707) et ONE qui permettait à l'attaquant de s'échapper du sandbox du navigateur et d'exécuter du code sur l'ordinateur hôte (CVE-2019–11708) ».

Il est à noter que la première a été découverte par Samuel Groß, du Projet Zero de Google, en même temps que l'attaquant, bien que Coinbase ait minimisé la probabilité que l'équipe de piratage ait obtenu les informations sur la vulnérabilité via cette source. Groß aborde ce point dans unFil Twitter.

Dans un autre signe de la sophistication de l'équipe de piratage - étiquetée par Coinbase comme Crypto-3 ou HYDSEVEN - elle a pris le contrôle ou créé deux comptes de messagerie et a créé une page de destination à l'Université de Cambridge.

Coinbase a déclaré :

Nous ne savons T quand les attaquants ont eu accès aux comptes Cambridge, ni si ces comptes ont été piratés ou créés. Comme d'autres l'ont souligné, les identités associées aux comptes de messagerie sont quasiment inexistantes en ligne et les profils LinkedIn sont très certainement faux.

Après avoir découvert l'unique ordinateur affecté dans l'entreprise, Coinbase a déclaré avoir révoqué toutes les informations d'identification sur la machine et verrouillé tous les comptes des employés.

« Une fois que nous avons été certains d'avoir réussi à contenir notre environnement, nous avons contacté l'équipe de sécurité de Mozilla et lui avons transmis le code d'exploitation utilisé dans cette attaque », indique l'échange. « L'équipe de sécurité de Mozilla a été très réactive et a pu déployer un correctif pour CVE-2019–11707 dès le lendemain et pour CVE-2019–11708 la même semaine. »

Coinbase a également contacté l'Université de Cambridge pour signaler et aider à résoudre le problème, ainsi que pour obtenir plus d'informations sur les méthodes de l'attaquant.

Coinbase a conclu :

« L'industrie des Cryptomonnaie doit s'attendre à ce que des attaques de cette sophistication se poursuivent, et en construisant une infrastructure avec une excellente posture défensive et en travaillant ensemble pour partager des informations sur les attaques que nous voyons, nous serons en mesure de nous défendre et de défendre nos clients, de soutenir la cryptoéconomie et de construire le système financier ouvert du futur. »

Brian Armstrong, PDG de Coinbase, via les archives de CoinDesk