Криптобиржа Coinbase из Сан-Франциско рассказала о том, как предотвратила атаку на свою сеть и кражу криптовалют на миллионы долларов.
8 августа биржа объяснила в своём блоге, как хакеры атаковали биржу, используя комбинацию методов – фишинг и уязвимость нулевого дня, пытаясь обмануть сотрудников компании и обойти протоколы безопасности.
Уязвимость нулевого дня - это уязвимость ПО, атаку на которую проводят в тот же день, когда она обнаружена, и пока отсутствует патч от разработчика.
Как это случилось
30 мая многие сотрудники Coinbase получили email, якобы от Грегори Харриса, руководителя исследовательских грантов Кембриджского университета. Письмо преодолело систему защиты от спама и выглядело как подлинное. При этом домен также был кембриджским.
17 июня «Грегори Харрис» отправил ещё один email - на этот раз с URL-адресом, открытие которого могло установить вредоносное ПО, способное получить контроль над компьютером адресата, используя эксплойт нулевого дня на Firefox.
Компания Coinbase заявила, что обнаружила эту атаку, и ей удалось заблокировать её в течение нескольких часов после получения второго письма и отчасти благодаря Самюэлю Гроссу из Project Zero компании Google.
Хакер
Компания Coinbase выяснила, что атака была предпринята группой хакеров CRYPTO-3, также ранее известной как HYDSEVEN. Филипп Мартин прокомментировал это в блоге Coinbase следующим образом:
«Хотя такая уязвимость присутствует в Firefox уже довольно давно, злоумышленник мог воспользоваться ею лишь начиная с 12 мая [2019 года]. Это указывает на то, что период от обнаружения уязвимости до её использования был очень небольшим».
Мартин также отметил, что в целом это напоминает работу группы хакеров, у которых имеется значительный опыт в разработке эксплойтов.
Компания также говорит, что первый email от «Грегори Харриса» был предназначен для идентификации «выгодных» целей, прежде чем злоумышленники направят своих жертв на страницы, позволяющие получить «полезные» данные при помощи эксплойта.
Ответные действия
Биржа заявила, что начала расследование инцидента, опираясь как на отчёты одного из сотрудников, так и на автоматические оповещения.
«Мы отозвали все учётные данные, которые были на компьютере, а также заблокировали аккаунты пострадавшего сотрудника. Как только мы локализовали опасность в нашей сети, мы обратились к команде Mozilla и поделились кодом эксплойта, который был использован для этой атаки».
Позже компания Coinbase обратилась в Кембриджский университет для получения дополнительной информации и узнала, что жертвами подобных атак стали более 200 человек из различных организаций.
Биржа заключила в своём блоге:
«Мы смогли защититься себя от этой атаки благодаря тому, что Coinbase уделяет первоочередное внимание вопросам безопасности, в полной мере использует инструменты обнаружения уязвимостей и должным образом реагирует на подобные ситуации».