Dit is hoe hackers probeerden Coinbase aan te vallen
De in de VS gevestigde cryptocurrency exchange en wallet-provider Coinbase gaf meer informatie over de recente poging tot hack en zei dat ze het doelwit waren van een zorgvuldig geplande, geavanceerde aanval die gebruik maakte van spear phishing/social engineering-tactieken en twee Firefox zero-day kwetsbaarheden.
In de laatste Coinbase-blogpost legde Philip Martin, Chief Information Security Officer van het bedrijf, uit dat in de loop van enkele weken, beginnend met 30 mei, een aantal Coinbase-medewerkers een e-mail ontvingen van een persoon die beweerde Gregory Harris te zijn, een Research Grants Administrator aan de Universiteit van Cambridge, wat op geen enkele manier verdacht leek – “It came from the legitimate Cambridge domain, contained no malicious elements, passed spam detection, and referenced the backgrounds of the recipients.” Dit alles creëerde het gevoel dat slachtoffers met legitieme mensen praatten, zegt Martin.
De groep, gevolgd door Coinbase als ‘CRYPTO-3’ aka ‘HYDSEVEN’, creëerde de nep LinkedIn-profielen, ofwel gecompromitteerd of creëerde twee e-mailaccounts, creëerde een bestemmingspagina aan de Universiteit van Cambridge, registreerde het domein en kloneerde of wijzigde bestaande Cambridge University-pagina’s, "die beschikbaar stellen in de persoonlijke opslagmappen van de door de aanvaller beheerde accounts."
Echter, na het zoeken naar potentiële slachtoffers via meerdere e-mails, "zorgend dat het doelen met een hoge uitbetaling waren", van de mensen die de eerste e-mail ontvingen, kreeg 2,5% een link naar de pagina waarop de nuldag werd gehost. Op 17 juni stuurde ‘Harris’ een e-mail met "een URL die, wanneer geopend in Firefox, malware zou installeren die in staat is iemands machine over te nemen", die Coinbase "binnen enkele uren" detecteerde en blokkeerde, schrijft Martin.
Een zero-day is een voorheen onbekende of ongeadresseerde kwetsbaarheid voor software, en er waren twee van deze "aan elkaar geketend" die de hacker waarschijnlijk onafhankelijk heeft ontdekt en in zijn poging heeft gebruikt. Te oordelen naar de details die tijdens het onderzoek zijn ontdekt, zoals de snelle ontdekking van de aanvaller van de cyclus van kwetsbaarheid voor bewapening en een goed gestructureerde code. “Overall, it feels like the work of a group that has significant experience developing exploits”, zegt Martin.
De aanval werd in twee fasen uitgevoerd:
- Identificatie van het besturingssysteem en de browser; een overtuigende fout weergeven voor macOS-gebruikers die Firefox niet gebruikten en hen instrueerden de nieuwste versie te installeren; bezorgen van de exploit-code nadat de pagina in Firefox was bezocht; gebruik van het implantaat als "een initiële herlaad- en legitimatiediefstal". Coinbase zei dat het de aanvallers in fase één had gedetecteerd.
- De fase 2-payload werd waarschijnlijk gebruikt als een RAT (een Trojan voor externe toegang – een malwareprogramma met een achterdeur voor administratieve controle over de doelcomputer). “We’ve observed activity of the stage 2 implant consistent with direct human control”, schrijft Martin.
Toen een medewerker en geautomatiseerde waarschuwingen alarm sloegen, begon het onderzoek, terwijl de aanvallers zich waarschijnlijk nog niet bewust waren van hun reactie. "Toen we ons eenmaal op ons gemak voelden dat we in onze omgeving een beperking hadden bereikt," namen ze contact op met het beveiligingsteam van Mozilla om de exploitcode te delen, die vervolgens de kwetsbaarheid aan hun kant oploste, en met de Cambridge University.
Martin zegt dat meer dan 200 personen het doelwit waren van deze aanvaller. Coinbase "identificeerde de organisaties die deze personen in dienst hebben, zodat we hun beveiligingsteams de informatie konden geven die ze nodig hadden om hun infrastructuur te beveiligen en hun werknemers te beschermen."
