Coinbase descreve como frustrou um ataque de hacking "sofisticado"

A bolsa de Criptomoeda Coinbase descreveu como foi alvo e frustrou "um ataque sofisticado, altamente direcionado e bem pensado", com o objetivo de acessar seus sistemas e presumivelmente roubar parte dos bilhões de dólares em Criptomoeda que ela detém.

Em 8 de agostopostagem de blogque descreve em detalhes técnicos como a trama se desenrolou e como a bolsa respondeu à tentativa de roubo, a Coinbase disse que os hackers usaram uma combinação de meios para tentar enganar a equipe e acessar sistemas vitais – métodos que incluíam spear phishing, engenharia social e explorações de dia zero no navegador.

O ataque começou em 30 de maio, com uma dúzia de funcionários recebendo e-mails que supostamente eram de Gregory Harris, um administrador de bolsas de pesquisa da Universidade de Cambridge. Longe de serem aleatórios, eles citavam as histórias passadas dos funcionários e solicitavam ajuda para julgar projetos que competiam por um prêmio.

Coinbase disse:

"Este e-mail veio do domínio legítimo de Cambridge, não continha elementos maliciosos, passou pela detecção de spam e fez referência aos históricos dos destinatários. Nas próximas semanas, e-mails semelhantes foram recebidos. Nada parecia errado."

Os invasores desenvolveram conversas por e-mail com vários funcionários, evitando enviar qualquer código malicioso até 17 de junho, quando "Harris" enviou outro e-mail contendo uma URL que, quando aberta no Firefox, instalaria um malware capaz de assumir o controle da máquina de alguém.

A Coinbase disse que "em questão de horas, a Coinbase Security detectou e bloqueou o ataque".

O primeiro estágio do ataque, indica a publicação, identificou primeiro o sistema operacional e o navegador nas máquinas das vítimas pretendidas, exibindo um "erro convincente" para usuários do macOS que não estavam usando o navegador Firefox e solicitando que instalassem a versão mais recente do aplicativo.

Depois que a URL enviada por e-mail foi visitada com o Firefox, o código de exploração foi entregue de um domínio diferente, que havia sido registrado em 28 de maio. Foi nesse ponto que o ataque foi identificado, "com base em um relatório de um funcionário e alertas automatizados", disse a Coinbase.

A análise descobriu que o estágio dois teria visto outra carga maliciosa ser entregue na forma de uma variante do malware de backdoor direcionado ao Mac, chamado Mokes.

A Coinbase explicou que houve dois exploits de dia zero separados no Firefox utilizados no ataque: "um que permitiu que um invasor aumentasse privilégios do JavaScript em uma página para o navegador (CVE-2019–11707) e ONE que permitiu que o invasor escapasse da sandbox do navegador e executasse código no computador host (CVE-2019–11708)".

Notavelmente, o primeiro foi descoberto por Samuel Groß do Projeto Zero do Google ao mesmo tempo que o invasor, embora a Coinbase tenha minimizado a probabilidade de que a equipe de hackers tenha obtido as informações sobre a vulnerabilidade por meio dessa fonte. Groß aborda isso de uma formaTópico do Twitter.

Em outro sinal da sofisticação da equipe de hackers – rotulada pela Coinbase como Cripto-3 ou HYDSEVEN – ela assumiu ou criou duas contas de e-mail e criou uma landing page na Universidade de Cambridge.

Coinbase disse:

"T sabemos quando os invasores obtiveram acesso às contas da Cambridge pela primeira vez, ou se as contas foram assumidas ou criadas. Como outros notaram, as identidades associadas às contas de e-mail quase não têm presença online e os perfis do LinkedIn são quase certamente falsos."

Após descobrir o único computador afetado na empresa, a Coinbase disse que revogou todas as credenciais da máquina e bloqueou todas as contas dos funcionários.

"Assim que nos sentimos confortáveis de que havíamos alcançado a contenção em nosso ambiente, entramos em contato com a equipe de segurança da Mozilla e compartilhamos o código de exploração usado neste ataque", disse a exchange. "A equipe de segurança da Mozilla foi altamente responsiva e conseguiu lançar um patch para CVE-2019–11707 no dia seguinte e CVE-2019–11708 na mesma semana."

A Coinbase também contatou a Universidade de Cambridge para relatar e ajudar a corrigir o problema, bem como para obter mais informações sobre os métodos do invasor.

A Coinbase concluiu:

"O setor de Criptomoeda precisa esperar que ataques dessa sofisticação continuem e, ao construir uma infraestrutura com excelente postura defensiva e trabalhar em conjunto para compartilhar informações sobre os ataques que estamos presenciando, seremos capazes de defender a nós mesmos e aos nossos clientes, dar suporte à criptoeconomia e construir o sistema financeiro aberto do futuro."

CEO da Coinbase, Brian Armstrong, via arquivos do CoinDesk