Een poging tot overval bij Coinbase was eng goed, ook al is het mislukt

Een illustratie van een hand die naar munten reikt op een computerscherm

Een illustratie van een hand die naar munten reikt op een computerscherm mevrouw, techniek; Originele afbeeldingen: pexels





Toen meer dan een dozijn Coinbase-medewerkers in mei een e-mail ontvingen van een beheerder van de Universiteit van Cambridge in het VK, deed niets aan het bericht rode vlaggen op. Iemand met de naam Gregory Harris, die zei dat hij beheerder van onderzoeksbeurzen was aan de universiteit, vertelde de ontvangers dat hij hun hulp nodig had bij het beoordelen van deelnemers voor een economische prijs.

Een deel van de medewerkers wisselde de komende twee weken extra e-mails uit met dit account; nog steeds niets mis. Ze wisten niet dat dit allemaal deel uitmaakte van een sluw plan.

Degene die echt achter dit account zat, speelde een lang spel, met als doel toegang krijgen naar het back-endnetwerk van Coinbase en een deel van de miljarden dollars aan cryptocurrency stelen die het bedrijf namens zijn gebruikers opslaat. Op 17 juni stuurde de aanvaller nog een e-mail. Deze keer bevatte het een URL die, indien geopend in de Firefox-browser, malware zou installeren die de computer van de gebruiker zou kunnen overnemen. Volgens het beveiligingsteam van Coinbase maakte het deel uit van een geavanceerde, zeer gerichte aanval.



nieuw gepubliceerde details bieden een zeldzame blik op de anatomie van een aanval op een cryptocurrency-uitwisseling. Het Coinbase-team slaagde erin de aanval te detecteren en te blokkeren voordat er geld werd gestolen, maar tijdens het proces ontdekten de verdedigers dat ze tegenover een uiterst bekwame vijand stonden.

Het unieke aan de aanval, zegt Philip Martin, Chief Information Security Officer van het bedrijf, waren de enorme kosten en de ongewoon hoge mate van inspanning erachter. Het onderstreept voor mij echt hoe serieus de aanvallers de [cryptocurrency]-ruimte nemen, zegt hij.

Dit waren geavanceerde professionals die met een groot budget werkten, zegt Martin. Dat blijkt uit het feit dat ze twee afzonderlijke voorheen onbekende bugs - ook wel zero-day-kwetsbaarheden genoemd - in Mozilla's Firefox-browser hebben uitgebuit. Het is niet bekend of de aanvallers in dit geval deze kwetsbaarheden hebben ontdekt of op de een of andere manier hebben verkregen. Browser zero-days zijn over het algemeen niet goedkoop, zegt Martin, en het exploiteren ervan vereist zeer bekwame hackers. Martin schat dat het lanceren van de aanval tussen een half miljoen en een miljoen dollar heeft gekost.



Samuel Groß, een onderzoeker bij Google's Project Zero, een beveiligingsteam dat zich specifiek toelegt op het vinden van zero-day-kwetsbaarheden, lijkt onafhankelijk te hebben ontdekt een van de bugs die de aanvallers gebruikten . Hij meldde het op 15 april aan Mozilla. De tweede bug verscheen nadat er op 12 mei een wijziging was aangebracht in de codebase van Firefox. Mozilla heeft voor beide patches uitgebracht.

De snelle ontdekking-tot-wapens-snelheid in dit geval maakte indruk op Martin, die eerder werkte als de informatiebeveiligingsleider van Palantir. Maar het was de echt, echt, echt hoogwaardige social engineering van de aanval die hem het meest opviel: dit is de meeste inspanning die ik heb gezien in de social-engineeringfase, periode.

Door gecompromitteerde academische e-mailadressen te gebruiken, glipten de aanvallers voorbij de gebruikelijke filter- en spamdetectietools. Daaropvolgende correspondentie tussen de aanvallers en hun sporen vond in de loop van weken plaats. De meeste mensen die het doelwit waren, dachten dat ze een echte menselijke interactie hadden - de berichten werden persoonlijk en refereerden aan de achtergronden van de mensen die werden gephishing. De aanvallers hebben blijkbaar zelfs LinkedIn-pagina's gemaakt voor hun valse identiteit.



Het ontmaskeren van cyberaanvallers is notoir moeilijk, maar het team van Martin denkt dat een schimmige groep genaamd HYDSEVEN, die sinds 2016 is gekoppeld aan verschillende aanvallen op crypto-uitwisselingen, de schuldige kan zijn. Er is niet veel bekend over de groep, behalve zijn affiniteit met het swipen van digitale munten, maar volgens a recent verslag van het Japanse beveiligingsbedrijf LAC, is HYDSEVEN ook in verband gebracht met aanvallen in Japan en Polen.

Omdat ze geld stelen, in plaats van spionage uit te voeren of een ander militair doel na te streven, zegt Martin dat ze waarschijnlijk een criminele outfit zijn, in tegenstelling tot door de staat gesponsord. Maar het is ook bekend dat door de staat gesteunde hackers zich richten op cryptocurrency-uitwisselingen - volgens een nieuw VN-rapport heeft Noord-Korea naar schatting $ 2 miljard gegenereerd met behulp van wijdverbreid en steeds geavanceerder cyberaanvallen om te stelen van banken en cryptocurrency-uitwisselingen.

Wat hun mogelijkheden betreft, is er geen scherp onderscheid tussen door de staat gesponsorde hackers en de meest geavanceerde criminele groepen van vandaag, zegt Martin. Hoe dan ook, aanvallen zoals deze laten zien dat cryptocurrency-bedrijven bereid moeten zijn om zeer bekwame aanvallers af te weren die voorheen onbekende kwetsbaarheden zouden kunnen misbruiken, zegt hij: naarmate deze ruimte blijft groeien en ontwikkelen en aan tractie wint, zal het ook meer grip krijgen met meer en meer geavanceerde aanvallers.



zich verstoppen