211service.com
Un intento de atraco en Coinbase fue terriblemente bueno, a pesar de que fracasó
Una ilustración de una mano buscando monedas en la pantalla de un monitor de computadora Sra., Tecnología; Imágenes originales: pexels
Cuando más de una docena de empleados de Coinbase recibieron un correo electrónico en mayo de un administrador de la Universidad de Cambridge en el Reino Unido, nada en el mensaje generó señales de alerta. Alguien llamado Gregory Harris, quien dijo que era administrador de becas de investigación en la universidad, les dijo a los destinatarios que necesitaba su ayuda para juzgar a los concursantes de un premio de economía.
Algunos de los empleados intercambiaron correos electrónicos adicionales con esta cuenta durante las próximas dos semanas; todavía nada mal. Poco sabían que todo esto era parte de un plan tortuoso.
Quienquiera que estuviera realmente detrás de esta cuenta estaba jugando un largo juego, con el objetivo de acceder a la red back-end de Coinbase y robar parte de los miles de millones de dólares en criptomonedas que la empresa almacena en nombre de sus usuarios. El 17 de junio, el atacante envió otro correo electrónico. Esta vez contenía una URL que, si se abría en el navegador Firefox, instalaría malware que podría apoderarse de la computadora del usuario. Según el equipo de seguridad de Coinbase, fue parte de un ataque sofisticado y altamente dirigido.
Recién detalles publicados proporcionar una mirada poco común a la anatomía de un ataque a un intercambio de criptomonedas. El equipo de Coinbase logró detectar y bloquear el ataque antes de que se robaran los fondos, pero en el proceso los defensores descubrieron que se enfrentaban a un enemigo extremadamente hábil.
Lo que fue único sobre el ataque, dice Philip Martin, director de seguridad de la información de la compañía, fue su costo total y el nivel inusualmente alto de esfuerzo detrás de él. Realmente subraya para mí la seriedad con la que los atacantes se están tomando el espacio [de las criptomonedas], dice.
Estos eran profesionales sofisticados que operaban con un gran presupuesto, dice Martin. Eso es evidente porque explotaron dos errores separados previamente desconocidos, también conocidos como vulnerabilidades de día cero, en el navegador Firefox de Mozilla. No se sabe si los atacantes en este caso descubrieron estas vulnerabilidades o las adquirieron de alguna manera. Los navegadores de día cero en general no son baratos, dice Martin, y explotarlos requiere piratas informáticos altamente calificados. Martin estima que lanzar el ataque costó entre medio millón y un millón de dólares.
Samuel Groß, investigador del Proyecto Cero de Google, un equipo de seguridad dedicado específicamente a encontrar vulnerabilidades de día cero, parece haber descubierto de forma independiente uno de los errores que usaron los atacantes . Se lo informó a Mozilla el 15 de abril. El segundo error apareció después de que se hiciera un cambio en el código base de Firefox el 12 de mayo. Mozilla ha emitido parches para ambos.
La rápida velocidad de descubrimiento a armamento en este caso impresionó a Martin, quien anteriormente trabajó como líder de seguridad de la información de Palantir. Pero fue la ingeniería social de muy, muy, muy alta calidad del ataque lo que más le llamó la atención: Este es el mayor esfuerzo que he visto en la fase de ingeniería social, punto.
Mediante el uso de direcciones de correo electrónico académicas comprometidas, los atacantes burlaron las herramientas comunes de filtrado y detección de correo no deseado. La correspondencia posterior entre los atacantes y sus marcas tuvo lugar en el transcurso de semanas. La mayoría de las personas que fueron atacadas pensaron que estaban teniendo una interacción humana genuina: los mensajes se volvieron personales, haciendo referencia a los antecedentes de las personas que estaban siendo objeto de phishing. Aparentemente, los atacantes incluso crearon páginas de LinkedIn para sus identidades falsas.
Desenmascarar a los agresores cibernéticos es notoriamente difícil, pero el equipo de Martin cree que un grupo en la sombra llamado HYDSEVEN, que se ha relacionado con varios ataques a intercambios de criptomonedas desde 2016, puede ser el culpable. No se sabe mucho sobre el grupo aparte de su afinidad por robar monedas digitales, pero según un informe reciente de la empresa de seguridad japonesa LAC, HYDSEVEN también se ha relacionado con ataques en Japón y Polonia.
Dado que roban dinero, en lugar de realizar espionaje o perseguir algún otro objetivo militar, Martin dice que es probable que sean una organización criminal, en lugar de patrocinada por el estado. Pero también se sabe que los piratas informáticos respaldados por el estado apuntan a los intercambios de criptomonedas: según un nuevo informe de la ONU, Corea del Norte ha generado aproximadamente $ 2 mil millones usando extendido y cada vez más sofisticado ciberataques para robar en bancos y casas de cambio de criptomonedas.
En términos de sus capacidades, no existe una distinción clara entre los piratas informáticos patrocinados por el estado y los grupos criminales más sofisticados de la actualidad, dice Martin. De cualquier manera, ataques como este muestran que las empresas de criptomonedas deben estar preparadas para defenderse de atacantes altamente calificados que pueden explotar vulnerabilidades previamente desconocidas, dice: A medida que este espacio continúa creciendo, desarrollándose y ganando tracción, también va a ganar tracción con más y más atacantes más sofisticados.