Хакерские атаки на криптовалютные биржи становятся все более частыми и принимают все более изощренные формы. Не будет оскорблением сказать, что какое-то время между хакерами и администраторами биржи идет своего рода гонка вооружений. Одной из последних стычек на этом поле битвы стал победитель ведущей биржи криптовалют в США, которой является Coinbase. Платформа, недаром признанная одной из самых безопасных, воспользовалась возможностью, чтобы похвастаться тем, как ей удалось предотвратить чрезвычайно гениальную и изощренную хакерскую атаку. Фондовая биржа подробно описала ход неудачной атаки, которую должны прочитать энтузиасты криптовалюты, которые действительно заинтересованы в вопросах безопасности. Попытка украсть средства с биржи Coinbase интересна и достаточно изобретательна, чтобы ознакомиться с ее курсом, и рекомендуется всем, кто проводит какие-либо финансовые операции в Интернете.
Биржа криптовалют Coinbase в своем официальном блоге описала историю изощренной, продолжающейся с конца мая атаки на сотрудников биржи, которой наконец удалось помешать. При атаке использовались твердо разработанные методы социальной инженерии и критическая уязвимость в популярном веб-браузере.
Слишком достоверно, чтобы быть правдой
Все началось в предпоследний день мая, когда десятки сотрудников Coinbase получили по адресам своих компаний сообщение от человека по имени Грегори Харрис, который предположительно служил администратором исследовательских грантов в знаменитом Британском университете Кембриджа. Он попросил помочь в оценке конкретных проектов, связанных с технологией блокчейна, которые якобы претендовали на исследовательские гранты. Интересно, что отправитель отправлял персонализированные электронные письма относительно личной информации о конкретных сотрудниках. Кроме того, его адрес электронной почты был основан на аутентичном домене, предназначенном для сотрудников Кембриджского университета, что существенно подтвердило переписку, а также позволило пройти через спам-фильтры. Несколько сотрудников Coinbase предприняли разговор по электронной почте с предполагаемым финансовым администратором Кембриджа. Первые электронные письма были полностью свободны от каких-либо подозрительных элементов, но это было частью хорошо продуманной стратегии построения доверия и личных отношений с жертвами атаки. После установления регулярного контакта с несколькими сотрудниками Coinbase и обмена несколькими электронными письмами, хакеры перешли в наступление - 17 июня сотрудники фондовой биржи получили сообщение от Грегори Харриса, в котором содержалась ссылка на фальшивый сайт, имитирующий один из официальных сайтов Кембриджского университета, посвященный событиям. научно-исследовательские проекты. Интересно, что фальшивый веб-сайт - например, адреса электронной почты - был создан в аутентичном домене Кембриджского университета, а это значит, что злоумышленникам пришлось каким-то образом получить доступ к административным учетным записям университета.
Leaky Firefox
Ссылка в электронном письме, направленная на вышеупомянутый поддельный веб-сайт Кембриджского университета, содержащий вредоносный скрипт, который первоначально идентифицировал тип операционной системы компьютера и используемого интернет-браузера. Если жертва открыла ссылку на компьютере MacOS в браузере, отличном от Mozilla Firefox, отобразилось сообщение о том, что должна быть установлена последняя версия Firefox, и ссылка на подлинный веб-сайт производителя. Если ссылка открывалась в Firefox, в игру вступали вредоносные скрипты, использующие две критические уязвимости браузера в версии MacOS. Один из них позволял получить доступ к браузеру через зараженный сайт с помощью JavaScript, а другой использовался для запуска вредоносного кода таким образом, который позволял получить контроль над компьютером жертвы. И именно на этом этапе команда Coinbase пресекла попытку атаки, заметив подозрительное поведение браузера. Один из компьютеров сотрудника был заражен, как описано, но был быстро отделен от сети.
Coinbase немедленно проинформировал команду разработчиков Firefox о двух уязвимостях нулевого дня (то есть тех, которые ранее были неизвестны). Первый был удален в течение дюжины часов с момента уведомления и выпущен в форме обновления, а второй был исправлен в течение недели. Эта ситуация является одной из многих, которые доказывают, что стоит регулярно обновлять программное обеспечение.
Coinbase также связался с Кембриджским университетом, сообщив о несанкционированном использовании его доменов хакерами.
Coinbase выигрывает эту битву
Сорванная атака была чрезвычайно хорошо продумана и состояла из нескольких этапов, включающих как использование уязвимостей, так и использование принципов социальной инженерии. Его первая фаза была так называемой фишинг с копьем, который является гораздо более специализированной и персонализированной формой фишинг-атаки, состоящей из попытки выдать себя за доверенного человека (обычно коллегу или друга) или построения отношений и завоевания доверия жертвы, чтобы уменьшить ее бдительность. В конечном итоге это должно привести к тому, что она выполнит определенное действие, например позволит ей заразить ваш компьютер, чаще всего путем загрузки и открытия файла или перехода по ссылке. Злоумышленники дополнительно зачислили себя на аутентичные домены авторитетного университета.
Вторая фаза атаки была еще более сложной, с использованием ранее неизвестных критических дыр в безопасности в одном из ведущих веб-браузеров. Хакеры после получения доступа к компьютерам сотрудников Coinbase, безусловно, надеялись получить доступ к некоторым средствам, принадлежащим клиентам биржи, или украсть конфиденциальные личные данные. К счастью, на этот раз это не удалось - однако помните, что биржи криптовалют никогда не обеспечивают полную безопасность наших средств и не используются для хранения криптовалют.
Автор: Роман Бехс
