211service.com
Ett försök till rån på Coinbase var skrämmande bra, även om det misslyckades
En illustration av en hand som sträcker sig efter mynt på en datorskärm Ms, Tech; Originalbilder: pexels
När mer än ett dussin Coinbase-anställda fick ett e-postmeddelande i maj från en administratör vid University of Cambridge i Storbritannien, höjde ingenting om meddelandet några röda flaggor. Någon vid namn Gregory Harris, som sa att han var administratör för forskningsanslag vid universitetet, sa till mottagarna att han behövde deras hjälp med att bedöma tävlande för ett ekonomipris.
Några av de anställda utbytte ytterligare e-postmeddelanden med detta konto under de kommande två veckorna; fortfarande inget fel. Föga anade de att allt detta var en del av ett slug plan.
Den som verkligen låg bakom det här kontot spelade ett långt spel och siktade på få tillgång till Coinbases back-end-nätverk och stjäl några av de miljarder dollar i kryptovaluta som företaget lagrar på uppdrag av sina användare. Den 17 juni skickade angriparen ytterligare ett mejl. Den här gången innehöll den en URL som, om den öppnades i webbläsaren Firefox, skulle installera skadlig programvara som kan ta över användarens dator. Enligt Coinbases säkerhetsteam var det en del av en sofistikerad, mycket riktad attack.
Nytt publicerade detaljer ge en sällsynt titt på anatomin i en attack på en kryptovalutabörs. Coinbase-teamet lyckades upptäcka och blockera attacken innan några pengar stals, men i processen upptäckte försvararna att de stod mot en extremt skicklig fiende.
Det unika med attacken, säger Philip Martin, företagets informationssäkerhetschef, var dess rena kostnad och den ovanligt höga ansträngningsnivån bakom den. Det understryker verkligen för mig hur allvarligt angriparna tar utrymmet [kryptovaluta], säger han.
Det här var sofistikerade proffs som arbetade med en stor budget, säger Martin. Det är uppenbart genom att de utnyttjade två separata tidigare okända buggar – även kända som nolldagssårbarheter – i Mozillas Firefox webbläsare. Det är inte känt om angriparna i det här fallet upptäckte dessa sårbarheter eller på något sätt skaffat dem. Browser zero-days i allmänhet är inte billiga, säger Martin, och att utnyttja dem kräver mycket skickliga hackare. Martin uppskattar att det kostade mellan en halv miljon och en miljon dollar att inleda attacken.
Samuel Groß, en forskare vid Googles Project Zero, ett säkerhetsteam som specifikt ägnar sig åt att hitta nolldagssårbarheter, verkar ha upptäckt självständigt en av buggarna som angriparna använde . Han rapporterade det till Mozilla den 15 april. Den andra buggen dök upp efter att en ändring gjordes i Firefoxs kodbas den 12 maj. Mozilla har utfärdat patchar för dem båda.
Den snabba upptäckten-till-vapen-hastigheten i det här fallet imponerade på Martin, som tidigare arbetade som Palantirs informationssäkerhetsledare. Men det var attackens riktigt, verkligen, riktigt högkvalitativa sociala ingenjörskonst som stack ut för honom mest: Det här är den största ansträngningen jag har sett i den sociala ingenjörsfasen, punkt.
Genom att använda komprometterade akademiska e-postadresser gled angriparna förbi vanliga filtrerings- och skräppostverktyg. Efterföljande korrespondens mellan angriparna och deras märken ägde rum under loppet av veckor. De flesta människor som var måltavla trodde att de hade en genuin mänsklig interaktion – meddelandena blev personliga och hänvisade till bakgrunden för de personer som blev nätfiske. Angriparna skapade till och med uppenbarligen LinkedIn-sidor för sina falska identiteter.
Att avslöja cyberangripare är notoriskt svårt, men Martins team tror att en skum grupp som heter HYDSEVEN, som har kopplats till flera angrepp på kryptobörser sedan 2016, kan vara skyldiga. Inte mycket är känt om gruppen annat än dess affinitet för att svepa digitala mynt, men enligt en färsk rapport från det japanska säkerhetsföretaget LAC har HYDSEVEN varit knuten till attacker även i Japan och Polen.
Eftersom de stjäl pengar, snarare än bedriver spionage eller eftersträvar något annat militärt mål, säger Martin att de sannolikt är en kriminell utrustning, i motsats till statligt sponsrad. Men statsstödda hackare har också varit kända för att rikta in sig på kryptovalutabörser – enligt en ny FN-rapport har Nordkorea genererat uppskattningsvis 2 miljarder dollar med hjälp av utbredd och allt mer sofistikerad cyberattacker för att stjäla från banker och kryptovalutabörser.
När det gäller deras kapacitet finns det ingen skarp skillnad mellan statligt sponsrade hackare och dagens mest sofistikerade kriminella grupper, säger Martin. Hur som helst, attacker som denna visar att kryptovalutaföretag måste vara beredda att avvärja mycket skickliga angripare som kan utnyttja tidigare okända sårbarheter, säger han: När det här utrymmet fortsätter att växa och utvecklas och få dragkraft, kommer det också att få dragkraft med fler och mer sofistikerade angripare.