Coinbase, exchange-ul cripto din San Francisco, a explicat modul în care a descoperit și apoi a contracarat un atac cibernetic asupra rețelei sale, evitând pierderea potențială a criptomonedelor în valoare de milioane de dolari.

Exchange-ul a publicat articol joi, în care explica modul în care hackerii au folosit o combinație de metode – printre care phishing și exploatarea unei vulnerabilități zero-day – pentru a încerca să păcălească angajații și să împiedice activarea protocoalelor de securitate.

 O vulnerabilitate zero-day reprezintă o eroare software sau hardware nedescoperită sau neraportată ce permite trecerea neobservată a atacurilor cibernetice. 

Cum s-a întâmplat

Coinbase a explicat că pe 30 mai, mai mulți angajați au primit un e-mail de la Gregory Harris, un cercetător de la Universitatea Cambridge. E-mailul, ce părea că provine dintr-un domeniu online autentic care părea să aparțină deCambrige, a trecut de sistemul de detectare a spamului.

Pe 17 iunie, ”Gregory Harris” a trimis un alt e-mail – de data aceasta conținând un URL care, atunci când este deschis în Firefox, va instala un malware capabil să preia controlul computerului victimei prin exploatarea unei vulnerabilități zero-day.

Coinbase a declarat că a detectat și a blocat atacul în câteva ore de la cel de-al doilea e-mail, datorită descoperirii vulnerabilității de către Samuel Gross din Google Project Project Zero.

Atacatorul

Atacul a fost realizat de către un grup cunoscut drept ”CRYPTO-3”, exchange-ul cunoscându-l anterior sub numele de HYDSEVEN. Philip Martin, care a scris blogul Coinbase, a comentat:

”În timp ce vulnerabilitatea de bază a fost prezentă în Firefox de ceva vreme, modul în care acest atacator a ales să declanșeze vulnerabilitatea a fost posibilă numai din 12 mai. Acest lucru indică un ciclu de la descoperire la armare foarte rapid din partea atacatorului.”

El a adăugat că, în general, atacul s-a simțit ca munca unui grup care are experiență semnificativă în dezvoltarea de exploatări.

Pe durata primei faze de e-mail ”Gregory Harris”, atacatorii au trecut printr-un proces de calificare și mai multe runde de e-mailuri – asigurându-se că pot identifica o serie de ținte cu salarii mari, înainte de a direcționa aceste victime către pagina care conține malware-ul.

Contracararea platformei Coinbase

Coinbase a declarat că a început investigarea incidentului pe baza unor rapoarte atât de la un angajat, cât și de la unele alerte automate. Coinbase a spus:

”Am revocat toate certificatele care se aflau pe unitate și am blocat toate conturile aparținând angajatului afectat. Odată ce am avut situația sub control, am contactat echipa de securitate de la Mozilla, împărtășindu-le codul de exploatare folosit în acest atac.”

Ulterior, Coinbase a contactat Universitatea Cambridge pentru a colecta mai multe informații și a aflat că peste 200 de persoane din mai multe organizații au fost vizate de aceste atacuri.

Exchange-ul concluzionând următoarele:

”Ne-am putut apăra în fața acestui atac datorită obiceiurilor noastre de securitate, a implementării complete a instrumentelor noastre de detectare și răspuns, și a capacității de revocare rapidă a accesului.”