עובדי Coinbase ממוקדים בהתקפות אפס יום של Mozilla Firefox
מכיוון ש- Coinbase היא בורסת הקריפטוגרפים הפופולרית ביותר בארה”ב, יהיה זה שמחתם של האקרים ברחבי העולם לחדור לתשתית שלה. תוקף או קבוצת תוקפים אחת כזו ניסו לעשות בדיוק את זה השבוע, ולא השתמשו בפגיעות אפס יום קריטיות בלבד, שמשפיעות על דפדפן האינטרנט הפופולרי של מוזילה..
מומחה האבטחה של Coinbase, פיליפ מרטין, אישר זאת ביום רביעי, ותיאר בשרשור טוויטר שלאחר המוות כיצד הסוכן הזדוני השתמש בפגיעות אפס יום מדווחת ובלתי מדווחת בתחילה בניסיון “למקד לעובדי Coinbase”.
למוזילה היה רשמי התייחס לפגיעות עד 18 ביוני. חוקר האבטחה של Google Project Zero, סמואל גרוס, גילה, ככל הנראה, את הבאג הראשוני כבר באפריל 2019.
בהמשך קדימה, אמר מרטין הנ”ל כי צוות האבטחה של Coinbase מנתח כעת את התשתית והמתודולוגיות של התוקף בניסיון להבין בצורה ברורה יותר מה קרה – ויתרה מכך – מי עשוי להיות אחראי..
2 / החזרנו את כל ההתקפה, התאוששנו ודיווחנו ל- Firefox על יום 0, חילקנו תוכנות זדוניות ואינפרא ששימשו בהתקפה ועובדים עם ארגונים שונים כדי להמשיך לשרוף תשתית תוקפים ולחפור בתוקף המעורב..
– פיליפ מרטין (@SecurityGuyPhil) 19 ביוני 2019
מרטין הוסיף כי Coinbase הושיט יד ועבד עם ארגוני מטבעות קריפטוגרפיים לא מוגדרים אחרים שלדעת הבורסה ממוקדים בקמפיין הנורא. הוא ציין כי נראה כי אף לקוח לא הושפע מהאירוע ואמר כי Coinbase מוכן לשתף פעולה עם בעלי עניין אחרים.
4 / אם אתה מאמין שהושפעת מהתקפה זו או שיש לך יותר אינטל לשתף ורוצה לשתף איתנו פעולה בתגובה, אנא פנה אל [email protected]. ה- IOC עוקבים אחריהם.
– פיליפ מרטין (@SecurityGuyPhil) 19 ביוני 2019
למזלם של כל המעורבים, הפרק לא קיבל תפנית לקטסטרופלי, כלומר חשבונות עובדים של Coinbase שנצטוו לגנוב מטבעות קריפטוגרפיים או נתונים של משתמשים. אולם ניסיון ההתקפה משמש כתזכורת נוספת לכך שעובדי חילופי מטבעות-מטבע ממוקדים יותר ויותר על ידי האקרים, שכן הם מחזיקים את המפתחות – המיועדים למשחק מילים – לארגוניהם..
תוכנה זדונית במחשבי עובדים של Coincheck
מי שהיה התוקף של Coinbase, הם לא הצליחו לחדור לתשתית הבורסה. עם זאת, לא כל פלטפורמה הייתה כל כך ברת מזל בשנים האחרונות – קחו למשל את חילופי המטבעות היפנים של מטבעות קריפטוגרפיים, למשל.
יתר על כן, מומחים חושבים כעת שהם עשויים לדעת כיצד התרחשה פריצת Coincheck בינואר 2018.
עדויות חדשות מצביעות על כך שהפריצה – שהוכחה כגדולה ביותר בקריפטו-כלכלה עד כה – עשויה להתבצע באמצעות תוכנות זדוניות רוסיות שהונחו במחשבי עובדים..
זה על פי דיווח חדש שפורסם השבוע שחשף כיצד נגיפים של Netwire ו- Mokes, שמקורם שניהם בפינה של מרחב הסייבר, התגלו במחשבים של עובדי Coincheck..
עדיין לא ברור מי השתמש בנגיפים, אך מומחי אבטחת סייבר אמרו כי נוכחותם של Netwire ו- Mokes מרמזת כי האשמים היו אולי רוסים, או לכל הפחות, מזרח אירופאים שמכירים את הכלים הרוסיים..
כמובן, בהחלט יתכן שההאקרים של Coincheck כלל לא היו רוסים. השימוש ב- Netwire ו- Mokes עשוי היה להיות חוכמה ממולחת של מי שהיה אחראי. מאז שהמתקפה התרחשה מערערות ספקולציות שקבוצת ההאקרים בצפון קוריאה הייתה מעורבת. בכל מקרה, צוות “Bluenoroff” המיוחד של קבוצת לזרוס מחזיק ככל הנראה בכישורים ובכלים הנדרשים לפגיעה במונצ’ק..
הפריצה בינואר 2018 הייתה מסיבית, אם כי היא השפיעה רק על הארנק החם של NEM (XEM) של הבורסה. התוקף הצליח לפצות עם 520 מיליון XEM, ששווים היה 530 מיליון דולר.
הבורסים צריכים להיות על אצבעותיהם
“איך ידעו ההאקרים את כללי ניהול הסיכונים שלנו בצורה כה מדויקת”, כתב מנהל התפעול של בינאנס צ’אנגפנג ג’או בסיכום ביטחוני לאחר שבינאנס נפרץ מתוך 7,000 ביטקוין באביב. “יש לנו שומה?”
לא ברור אם ג’או ועמיתיו אי פעם הגיעו לתחתית השאלות האלה בביטחון כלשהו, אך אפילו שהם הוצגו מראה עד כמה בשלים וקשים להתמודד עם וקטורי התקפה של עובדים..
בינאנס מימשה את שיטות האבטחה שלה עוד הרבה יותר, אך העובדה נותרה: תוקפים ימשיכו לחקור אותה ובורסות מרכזיות אחרות בכל נקודת תורפה אפשרית..