Coinbase dit avoir déjoué une attaque de piratage «sophistiquée»

Coinbase dit avoir déjoué une attaque de piratage «sophistiquée»
4.7 (94.74%) 19 votes


Coinbase, un échange de crypto-monnaie, a révélé qu'elle avait été ciblée et contrecarrée par "une attaque sophistiquée, très ciblée et réfléchie" visant à accéder à ses systèmes et à compenser les quelques milliards de dollars de crypto-monnaie qu'elle détient .

Dans un communiqué daté du 8 août, décrivant en détail le déroulement du complot et la manière dont la bourse a permis de contrecarrer la tentative de vol, Coinbase a déclaré que les pirates utilisaient une combinaison de méthodes pour tenter de tromper le personnel et accéder aux systèmes vitaux – méthodes comprenant l'ingénierie et les exploits du jour zéro du navigateur.

L’attaque avait commencé le 30 mai. Une douzaine de membres du personnel avaient alors envoyé des courriels censés provenir de Gregory Harris, administrateur des subventions de recherche à l’Université de Cambridge. Loin du hasard, ceux-ci ont cité les antécédents d’employés et demandé de l’aide pour juger des projets en compétition pour un prix.

Coinbase a déclaré:

«Cet e-mail provenait du domaine Cambridge légitime, ne contenait aucun élément malveillant, détectait le spam et faisait référence aux arrière-plans des destinataires. Au cours des deux semaines suivantes, des courriels similaires ont été reçus. Rien ne semblait aller mal. "

Les attaquants ont développé des conversations par courrier électronique avec plusieurs membres du personnel, empêchant ainsi l’envoi de tout code malveillant jusqu'au 17 juin, date à laquelle «Harris» a envoyé un autre courrier électronique contenant une URL qui, lorsqu’il serait ouvert dans Firefox, installerait un logiciel malveillant capable de prendre le contrôle de la machine de quelqu'un.

Coinbase a déclaré qu '«en quelques heures, Coinbase Security a détecté et bloqué l'attaque».

La première étape de l’attaque, indique la poste, a d’abord identifié le système d’exploitation et le navigateur sur les machines des victimes visées, affichant une «erreur convaincante» pour les utilisateurs de macOS qui n’utilisaient pas le navigateur Firefox et les invitant à installer la dernière version de l'application.

Une fois que l'URL envoyée par courrier électronique a été visitée avec Firefox, le code d'exploitation a été fourni à partir d'un domaine différent, enregistré le 28 mai. C'est à ce moment que l'attaque a été identifiée, «sur la base d'un rapport émanant d'un employé et d'alertes automatisées. , A déclaré Coinbase.

Son analyse a révélé que la deuxième étape aurait vu une autre charge utile malveillante livrée sous la forme d'une variante du programme malveillant de porte dérobée ciblant le Mac, appelée Mokes.

Coinbase a expliqué qu'il y avait eu deux exploits distincts du jour zéro dans Firefox utilisés dans l'attaque: «un qui permettait à un attaquant de faire évoluer les privilèges de JavaScript sur une page du navigateur (CVE-2019-11707) et l'autre qui permettait à l'attaquant de s'échapper le sandbox du navigateur et exécuter le code sur l'ordinateur hôte (CVE-2019-11708). ”

Le premier a notamment été découvert par Samuel Groß du Project Zero de Google en même temps que l’attaquant, bien que Coinbase ait minimisé la probabilité que l’équipe de piratage ait obtenu des informations sur la vulnérabilité via cette source. Groß répond à cela dans un.

Autre signe de sophistication de l’équipe de piratage informatique – qualifiée par CRYPTO-3 ou HYDSEVEN par Coinbase -, elle a créé ou créé deux comptes de messagerie et créé une page de renvoi à l’Université de Cambridge.

Coinbase a déclaré:

«Nous ne savons pas quand les attaquants ont eu pour la première fois accès aux comptes Cambridge, ni si les comptes ont été repris ou créés. Comme d'autres l'ont noté, les identités associées aux comptes de messagerie n'ont presque pas de présence en ligne et les profils LinkedIn sont presque certainement faux. ”

Après avoir découvert le seul ordinateur affecté au sein de la société, Coinbase a déclaré avoir révoqué toutes les informations d'identification de la machine et verrouillé tous les comptes de l'employé.

«Une fois que nous étions certains d’avoir réussi à contenir notre environnement, nous avons contacté l’équipe de sécurité de Mozilla et partagé le code d’exploitation utilisé lors de cette attaque», a déclaré la Bourse. «L’équipe de sécurité de Mozilla a été très réactive et a pu publier un correctif pour CVE-2019-11707 le lendemain et pour CVE-2019-11708 la même semaine.»

Coinbase a également contacté l’Université de Cambridge pour signaler et aider à résoudre le problème, ainsi que pour obtenir plus d’informations sur les méthodes de l’attaquant.

Coinbase a conclu:

«L’industrie des cryptomonnaies doit s’attendre à ce que les attaques de cette sophistication se poursuivent, et en construisant une infrastructure avec une excellente posture défensive et en travaillant ensemble pour échanger des informations sur les attaques que nous observons, nous pourrons nous défendre et protéger nos clients. , soutenez la cryptoéconomie et construisez le système financier ouvert du futur. "

Brian Armstrong, PDG de Coinbase, via les archives CoinDesk

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *