Компания Coinbase, занимающаяся обменом криптовалют в США и провайдер кошельков, дала более подробную информацию о недавней попытке взлома и сообщила, что они были целью тщательно спланированной и сложной атаки, в которой использовалась фишинговая и социальная инженерия и две уязвимости Firefox нулевого дня.
В последнем сообщении в блоге Coinbase Филипп Мартин, директор по информационной безопасности компании, объяснил, что в течение нескольких недель, начиная с 30 мая, ряд сотрудников Coinbase получили электронное письмо от человека, который называет себя Грегори Харрисом, Администратор исследовательских грантов в Кембриджском университете, который ни в коем случае не казался подозрительным — он «происходил из законного кембриджского домена, не содержал вредоносных элементов, проходил обнаружение спама и ссылался на фоны получателей». Все это создавало ощущение, что жертвы говорили с законными людьми, говорит Мартин.
Группа, отслеживаемая Coinbase как «CRYPTO-3» или «HYDSEVEN», создала поддельные профили LinkedIn, взломала или создала две учетные записи электронной почты, создала целевую страницу в Кембриджском университете, зарегистрировала домен, а также клонировала или модифицировала существующие Страницы Кембриджского университета, «делающие их доступными в каталогах личных хранилищ контролируемых злоумышленниками учетных записей».
Тем не менее, после поиска потенциальных жертв по нескольким электронным письмам, «убедившись, что они были высокооплачиваемыми целями», тех людей, которые получили первоначальное электронное письмо, 2,5% получили ссылку на страницу с нулевым днем. 17 июня «Харрис» отправил электронное письмо с «URL-адресом, который при открытии в Firefox установит вредоносное ПО, способное захватить чужую машину», которое Coinbase обнаружило и заблокировало «в течение нескольких часов», пишет Мартин.
Нулевой день — это ранее неизвестная или не устраненная уязвимость программного обеспечения, и было два из них, «связанных вместе», которые хакер, вероятно, обнаружил независимо и использовал в своей попытке. Судя по деталям, обнаруженным в ходе расследования, таким как быстрое обнаружение злоумышленником цикла уязвимости к оружию и хорошо структурированного кода. «В целом, это похоже на работу группы, которая имеет значительный опыт разработки эксплойтов», — говорит Мартин.
Атака была выполнена в два этапа:
Идентификация операционной системы и браузера; вывод убедительной ошибки пользователям macOS, которые не использовали Firefox, и указание им установить последнюю версию; доставка кода эксплойта после посещения страницы в Firefox; использование имплантата в качестве «полезной нагрузки для первоначальной разведки и кражи учетных данных» Coinbase заявила, что обнаружила нападавших на первом этапе.
Полезная нагрузка этапа 2, вероятно, использовалась в качестве RAT (троян удаленного доступа — вредоносная программа, включающая черный ход для административного контроля над целевым компьютером). «Мы наблюдали активность имплантата 2-й стадии в соответствии с прямым контролем человека», — пишет Мартин.
Когда сотрудник и автоматические оповещения забили тревогу, началось расследование, в то время как злоумышленники все еще не знали о своем ответе. «Как только мы почувствовали, что достигли сдерживания в нашей среде», они обратились к команде безопасности Mozilla, чтобы поделиться кодом эксплойта, который затем решил их уязвимость, а также к Кембриджскому университету.
Мартин говорит, что этот злоумышленник подвергся нападению более 200 человек. Coinbase «определила организации, в которых работают эти люди, чтобы мы могли связаться с ними и предоставить их командам безопасности информацию, необходимую для защиты их инфраструктуры и защиты их сотрудников».
Добавить комментарий