Coinbase рассказала, как ей удалось предотвратить «изощренную» хакерскую атаку

Криптовалюта биржа Coinbase рассказала, как она подверглась «сложной, целенаправленной, продуманной атаке» и была предотвращена, ее целью был доступ к ее системам и, предположительно, кража части хранящейся у нее Криптовалюта на миллиарды долларов.

В 8 августазапись в блогеВ статье, в которой подробно описывается, как развивался заговор и как биржа отражала попытку кражи, Coinbase заявила, что хакеры использовали комбинацию средств, чтобы попытаться обмануть персонал и получить доступ к жизненно важным системам, — методы, включавшие целевой фишинг, социальную инженерию и эксплойты нулевого дня в браузерах.

Атака началась 30 мая, когда дюжине сотрудников были отправлены электронные письма, якобы от Грегори Харриса, администратора исследовательских грантов Кембриджского университета. Они были далеко не случайными, в них упоминались прошлые истории сотрудников и запрашивалась помощь в оценке проектов, претендующих на награду.

Coinbase сказал:

«Это письмо пришло с законного домена Кембриджа, не содержало вредоносных элементов, прошло проверку на спам и содержало ссылки на биографию получателей. В течение следующих нескольких недель были получены похожие письма. Казалось, ничего подозрительного».

Злоумышленники вели переписку по электронной почте с несколькими сотрудниками, воздерживаясь от отправки вредоносного кода до 17 июня, когда «Харрис» отправил еще одно электронное письмо, содержащее URL-адрес, который при открытии в Firefox устанавливал вредоносное ПО, способное захватить контроль над чьей-либо машиной.

Coinbase заявила, что «в течение нескольких часов служба безопасности Coinbase обнаружила и заблокировала атаку».

В сообщении говорится, что на первом этапе атаки сначала идентифицировались ОС и браузер на компьютерах предполагаемых жертв, а пользователям macOS, которые не использовали браузер Firefox, показывалась «убедительная ошибка» и предлагалось установить последнюю версию приложения.

После того, как отправленный по электронной почте URL-адрес был посещен с помощью Firefox, код эксплойта был доставлен с другого домена, зарегистрированного 28 мая. Именно в этот момент атака была идентифицирована «на основании как отчета сотрудника, так и автоматических оповещений», сообщает Coinbase.

Анализ показал, что на втором этапе могла быть доставлена другая вредоносная нагрузка в виде варианта вредоносного бэкдора для Mac под названием Mokes.

Coinbase пояснила, что при атаке использовались две отдельные уязвимости нулевого дня Firefox: «ONE из них позволяла злоумышленнику повысить привилегии JavaScript на странице до браузера (CVE-2019–11707), а ONE позволяла злоумышленнику выйти из «песочницы» браузера и выполнить код на хост-компьютере (CVE-2019–11708)».

Примечательно, что первый был обнаружен Сэмюэлем Гроссом из Project Zero компании Google одновременно с атакующим, хотя Coinbase преуменьшила вероятность того, что команда хакеров получила информацию об уязвимости через этот источник. Гросс рассматривает это вТема в Твиттере.

Еще одним признаком изощренности хакерской команды, обозначенной Coinbase как Криптo-3 или HYDSEVEN, является то, что она захватила или создала два аккаунта электронной почты и создала целевую страницу в Кембриджском университете.

Coinbase сказал:

«Мы T знаем, когда злоумышленники впервые получили доступ к аккаунтам Cambridge, были ли аккаунты захвачены или созданы. Как отметили другие, личности, связанные с аккаунтами электронной почты, практически не представлены в сети, а профили LinkedIn почти наверняка поддельные».

После обнаружения единственного зараженного компьютера в компании Coinbase заявила, что отозвала все учетные данные на машине и заблокировала все учетные записи сотрудников.

«Как только мы убедились, что достигли сдерживания в нашей среде, мы обратились к команде безопасности Mozilla и поделились кодом эксплойта, использованным в этой атаке», — говорится в сообщении. «Команда безопасности Mozilla проявила высокую отзывчивость и смогла выпустить исправление для CVE-2019–11707 на следующий день и для CVE-2019–11708 на той же неделе».

Coinbase также связалась с Кембриджским университетом, чтобы сообщить о проблеме и помочь ее устранить, а также получить дополнительную информацию о методах злоумышленников.

Coinbase пришла к выводу:

« Криптовалюта индустрии следует ожидать продолжения столь сложных атак, и, создавая инфраструктуру с превосходной защитной позицией и работая друг с другом для обмена информацией об атаках, которые мы наблюдаем, мы сможем защитить себя и наших клиентов, поддержать криптоэкономику и построить открытую финансовую систему будущего».

Генеральный директор Coinbase Брайан Армстронг из архивов CoinDesk