Nhân viên Coinbase bị nhắm mục tiêu trong các cuộc tấn công không ngày của Mozilla Firefox
Vì Coinbase là sàn giao dịch tiền điện tử phổ biến nhất ở Hoa Kỳ, nên các tin tặc trên toàn thế giới rất vui khi xâm nhập vào cơ sở hạ tầng của nó. Một kẻ tấn công hoặc một nhóm kẻ tấn công đã cố gắng thực hiện chính xác điều đó trong tuần này, sử dụng không phải một mà là hai lỗ hổng zero-day nghiêm trọng ảnh hưởng đến trình duyệt web Firefox phổ biến của Mozilla.
Chuyên gia bảo mật của Coinbase, Philip Martin đã xác nhận nhiều như vậy vào thứ Tư, mô tả trong một chủ đề Twitter sau khi khám nghiệm tử thi về cách tác nhân độc hại sử dụng lỗ hổng zero-day được báo cáo và ban đầu không được báo cáo trong nỗ lực “nhắm mục tiêu nhân viên Coinbase”.
Mozilla đã chính thức giải quyết các lỗ hổng trước ngày 18 tháng 6. Nhà nghiên cứu bảo mật của Google Project Zero, Samuel Groß được báo cáo đã phát hiện ra lỗi ban đầu vào tháng 4 năm 2019.
Về phía trước, Martin đã nói ở trên cho biết nhóm bảo mật Coinbase hiện đang phân tích cơ sở hạ tầng và phương pháp luận của kẻ tấn công nhằm cố gắng hiểu rõ ràng hơn về những gì đã xảy ra và – tốt hơn nữa – ai có thể chịu trách nhiệm.
2 / Chúng tôi đã quay lại toàn bộ cuộc tấn công, khôi phục và báo cáo 0 ngày tới firefox, loại bỏ phần mềm độc hại và cơ sở hạ tầng được sử dụng trong cuộc tấn công và đang làm việc với các tổ chức khác nhau để tiếp tục đốt cháy cơ sở hạ tầng của kẻ tấn công và đào sâu vào kẻ tấn công có liên quan.
– Philip Martin (@SecurityGuyPhil) Ngày 19 tháng 6 năm 2019
Martin nói thêm rằng Coinbase đã liên hệ và đang làm việc với các tổ chức tiền điện tử không xác định khác mà sàn giao dịch cho rằng đã nhắm mục tiêu trong chiến dịch bất chính. Ông lưu ý rằng dường như không có khách hàng nào bị ảnh hưởng bởi sự cố và cho biết Coinbase sẵn sàng hợp tác với các bên liên quan khác.
4 / Nếu bạn tin rằng bạn đã bị ảnh hưởng bởi cuộc tấn công này hoặc bạn có thêm thông tin để chia sẻ và muốn cộng tác với chúng tôi để trả lời, vui lòng liên hệ với [email protected]. IOCs theo dõi.
– Philip Martin (@SecurityGuyPhil) Ngày 19 tháng 6 năm 2019
May mắn cho tất cả những người có liên quan, tập phim không thay đổi trường hợp thảm khốc, tức là tài khoản nhân viên Coinbase bị ra lệnh đánh cắp tiền điện tử hoặc dữ liệu của người dùng. Nhưng cuộc tấn công đã cố gắng phục vụ như một lời nhắc nhở khác rằng các nhân viên trao đổi tiền điện tử đang ngày càng bị tin tặc nhắm mục tiêu, vì họ nắm giữ các chìa khóa – dự định chơi chữ – đối với đồng tiền của họ.
Phần mềm độc hại được tìm thấy trên máy tính của nhân viên Coincheck
Dù kẻ tấn công Coinbase là ai thì họ cũng không thể xâm nhập vào cơ sở hạ tầng của sàn giao dịch. Tuy nhiên, không phải nền tảng nào cũng may mắn như vậy trong những năm gần đây – ví dụ như sàn giao dịch tiền điện tử của Nhật Bản Coincheck.
Hơn nữa, các chuyên gia hiện cho rằng họ có thể biết vụ hack Coincheck tháng 1 năm 2018 xảy ra như thế nào.
Bằng chứng mới cho thấy vụ hack – đã được chứng minh là lớn nhất trong nền kinh tế tiền điện tử cho đến nay – có thể được thực hiện thông qua phần mềm độc hại của Nga được đặt trên máy tính của nhân viên.
Đó là theo báo cáo mới trong tuần này tiết lộ cách vi rút của Netwire và Mokes, cả hai đều có nguồn gốc từ không gian mạng của Nga, đã được phát hiện trên máy tính của nhân viên Coincheck..
Hiện vẫn chưa rõ ai đã sử dụng vi-rút nhưng các chuyên gia an ninh mạng cho biết sự hiện diện của Netwire và Mokes cho thấy thủ phạm có thể là người Nga, hoặc ít nhất là những người Đông Âu quen thuộc với các công cụ của Nga..
Tất nhiên, hoàn toàn có thể tin tặc Coincheck hoàn toàn không phải là người Nga. Việc sử dụng Netwire và Mokes có thể là một sự lừa dối khôn ngoan của bất kỳ ai chịu trách nhiệm. Kể từ khi cuộc tấn công diễn ra, đã có nhiều đồn đoán cho rằng nhóm hacker của Triều Tiên là Lazarus Group có liên quan. Trong mọi trường hợp, nhóm chuyên trách “Bluenoroff” của Lazarus Group có lẽ có các kỹ năng và công cụ cần thiết để xâm nhập Coincheck.
Vụ hack tháng 1 năm 2018 rất lớn, mặc dù nó chỉ ảnh hưởng đến ví nóng NEM (XEM) của sàn giao dịch. Kẻ tấn công đã có thể kiếm được 520 triệu XEM, sau đó trị giá 530 triệu USD.
Trao đổi phải ở trên ngón chân của họ
Giám đốc điều hành Binance, Changpeng Zhao, đã viết trong một bản tóm tắt bảo mật sau khi Binance bị hack mất 7.000 bitcoin vào mùa xuân này. “Chúng ta có một nốt ruồi?”
Không rõ liệu Zhao và các đồng nghiệp của anh ấy có tự tin đến tận cùng những câu hỏi đó hay không, nhưng ngay cả khi chúng được đặt ra cho thấy mức độ chín muồi và khó đối phó với các vectơ tấn công nhân viên.
Binance kể từ đó đã tối ưu hóa các thực tiễn bảo mật của mình hơn nữa, nhưng thực tế vẫn là: những kẻ tấn công sẽ tiếp tục thăm dò nó và các sàn giao dịch lớn khác để tìm bất kỳ điểm yếu nào có thể xảy ra.