Une tentative de braquage à Coinbase était effrayante, même si elle a échoué

Une illustration d

Une illustration d'une main atteignant des pièces sur un écran d'ordinateur Mme, Tech ; Images originales : pexels





Lorsque plus d'une douzaine d'employés de Coinbase ont reçu un e-mail en mai d'un administrateur de l'Université de Cambridge au Royaume-Uni, rien dans le message n'a soulevé de signal d'alarme. Quelqu'un du nom de Gregory Harris, qui a déclaré qu'il était administrateur de subventions de recherche à l'université, a déclaré aux récipiendaires qu'il avait besoin de leur aide pour juger les candidats à un prix d'économie.

Certains des employés ont échangé des e-mails supplémentaires avec ce compte au cours des deux semaines suivantes ; toujours rien de mal. Ils ne savaient pas que tout cela faisait partie d'un stratagème sournois.

Celui qui était vraiment derrière ce compte jouait un long jeu, visant à accéder au réseau back-end de Coinbase et voler une partie des milliards de dollars de crypto-monnaie que la société stocke au nom de ses utilisateurs. Le 17 juin, l'attaquant a envoyé un autre e-mail. Cette fois, il contenait une URL qui, si elle était ouverte dans le navigateur Firefox, installerait des logiciels malveillants susceptibles de prendre le contrôle de l'ordinateur de l'utilisateur. Selon l'équipe de sécurité de Coinbase, cela faisait partie d'une attaque sophistiquée et très ciblée.



Nouvellement détails publiés offrent un aperçu rare de l'anatomie d'une attaque contre un échange de crypto-monnaie. L'équipe Coinbase a réussi à détecter et à bloquer l'attaque avant que des fonds ne soient volés, mais au cours du processus, les défenseurs ont découvert qu'ils étaient confrontés à un ennemi extrêmement habile.

Selon Philip Martin, directeur de la sécurité de l'information de l'entreprise, ce qui était unique dans l'attaque, c'est son coût et le niveau d'effort inhabituellement élevé derrière. Cela souligne vraiment pour moi à quel point les attaquants prennent au sérieux l'espace [crypto-monnaie], dit-il.

Il s'agissait de professionnels sophistiqués opérant avec un gros budget, dit Martin. Cela est évident dans la mesure où ils ont exploité deux bogues distincts auparavant inconnus, également connus sous le nom de vulnérabilités zero-day, dans le navigateur Firefox de Mozilla. On ne sait pas si les attaquants dans ce cas ont découvert ces vulnérabilités ou les ont acquises d'une manière ou d'une autre. Les navigateurs zero-days en général ne sont pas bon marché, dit Martin, et les exploiter nécessite des pirates hautement qualifiés. Martin estime que le lancement de l'attaque a coûté entre un demi-million et un million de dollars.



Samuel Groß, chercheur au Project Zero de Google, une équipe de sécurité dédiée spécifiquement à la recherche de vulnérabilités zero-day, semble avoir découvert de manière indépendante l'un des bugs utilisés par les attaquants . Il l'a signalé à Mozilla le 15 avril. Le deuxième bogue est apparu après qu'une modification a été apportée à la base de code de Firefox le 12 mai. Mozilla a publié des correctifs pour les deux.

La rapidité de la découverte à l'armement dans ce cas a impressionné Martin, qui travaillait auparavant en tant que responsable de la sécurité des informations chez Palantir. Mais c'est l'ingénierie sociale de très, vraiment, très haute qualité de l'attaque qui l'a le plus marqué : c'est le plus grand effort que j'ai vu dans la phase d'ingénierie sociale, point final.

En utilisant des adresses e-mail académiques compromises, les attaquants ont échappé aux outils courants de filtrage et de détection de spam. La correspondance ultérieure entre les attaquants et leurs marques a eu lieu au cours des semaines. La plupart des personnes ciblées pensaient qu'elles avaient une véritable interaction humaine - les messages sont devenus personnels, faisant référence aux antécédents des personnes victimes de hameçonnage. Les attaquants ont même apparemment créé des pages LinkedIn pour leurs fausses identités.



Démasquer les cyber-assaillants est notoirement difficile, mais l'équipe de Martin pense qu'un groupe ténébreux appelé HYDSEVEN, qui a été lié à plusieurs agressions sur les échanges cryptographiques depuis 2016, pourrait être à blâmer. On ne sait pas grand-chose sur le groupe autre que son affinité pour le balayage de pièces numériques, mais selon un rapport récent de la société de sécurité japonaise LAC, HYDSEVEN a également été liée à des attaques au Japon et en Pologne.

Puisqu'ils volent de l'argent, plutôt que de faire de l'espionnage ou de poursuivre un autre objectif militaire, Martin dit qu'ils sont probablement un groupe criminel, par opposition à un groupe parrainé par l'État. Mais les pirates informatiques soutenus par l'État sont également connus pour cibler les échanges de crypto-monnaie - selon un nouveau rapport de l'ONU, la Corée du Nord a généré environ 2 milliards de dollars en utilisant répandue et de plus en plus sophistiquée cyberattaques pour voler les banques et les échanges de crypto-monnaie.

En termes de capacités, il n'y a pas de distinction nette entre les pirates informatiques parrainés par l'État et les groupes criminels les plus sophistiqués d'aujourd'hui, déclare Martin. Quoi qu'il en soit, des attaques comme celle-ci montrent que les entreprises de crypto-monnaie doivent être prêtes à repousser les attaquants hautement qualifiés qui peuvent exploiter des vulnérabilités jusqu'alors inconnues, dit-il : Alors que cet espace continue de croître, de se développer et de gagner du terrain, il va également gagner du terrain avec de plus en plus des attaquants plus sophistiqués.



cacher