Ataki hakerskie na giełdy kryptowalut są coraz częstsze i przybierają coraz bardziej wyrafinowane formy. Nie będzie nadużyciem stwierdzenie, że od jakiegoś czasu trwa swoisty wyścig zbrojeń pomiędzy hakerami a administratorami giełd. Z jednej z ostatnich potyczek na tym placu boju zwycięsko wyszła czołowa giełda kryptowalut w Stanach Zjednoczonych, jaką jest Coinbase. Platforma, nie bez powodu uznawana za jedną z najbezpieczniejszych, skorzystała z okazji do tego, aby pochwalić się tym w jaki sposób udało się jej udaremnić wyjątkowo pomysłowy i wyrafinowany atak hakerski. Giełda dokładnie opisała przebieg nieudanego ataku, co dla entuzjastów kryptowalut realnie zainteresowanych kwestiami bezpieczeństwa jest lekturą obowiązkową. Sama próba dokonania kradzieży środków z giełdy Coinbase jest zaś na tyle interesująca i pomysłowa, że zapoznanie się z jej przebiegiem jest wskazane każdemu, kto przeprowadza jakiekolwiek operacje finansowe w Internecie.
Giełda kryptowalut Coinbase na swoim oficjalnym blogu opisała historię wyrafinowanego, trwającego od końca maja ataku wymierzonego w pracowników giełdy, który finalnie udało się udaremnić. Atak wykorzystywał solidnie opracowane techniki inżynierii społecznej oraz krytyczną lukę bezpieczeństwa w popularnej przeglądarce internetowej.
Zbyt autentyczne, aby było prawdziwe
Wszystko zaczęło się w przedostatni dzień maja, kiedy kilkudziesięciu pracowników Coinbase na swoje firmowe adresy otrzymało wiadomość od niejakiego Gregory’ego Harrisa, który rzekomo pełnił funkcję administratora ds. grantów badawczych na renomowanym brytyjskim Uniwersytecie Cambridge. Prosił on o pomoc w ocenie konkretnych projektów powiązanych z technologią blockchain, które rzekomo ubiegały się o granty badawcze. Co ciekawe, nadawca wysyłał spersonalizowane maile, odnoszące się do osobistych informacji o konkretnych pracownikach. Oprócz tego, jego adres mailowy założony był na autentycznej domenie przeznaczonej dla pracowników Uniwersytetu Cambridge, co w znaczący sposób uwiarygodniło korespondencję, a także pozwoliło przejść przez filtry antyspamowe. Kilku pracowników Coinbase podjęło konwersację mailową z rzekomym administratorem finansowym Cambridge. Pierwsze maile były całkowicie wolne od jakichkolwiek podejrzanych elementów, była to jednak część przemyślanej strategii budowania zaufania i osobistej więzi z ofiarami ataku. Po nawiązaniu regularnego kontaktu z kilkoma pracownikami Coinbase i wymianie kilkunastu mailu, hakerzy przeszli do ofensywy - 17 czerwca pracownicy giełdy otrzymali wiadomość od Gregory’ego Harrisa, w której znajdował się link do fałszywej witryny imitującej jedną z podstron oficjalnej strony internetowej Uniwersytetu Cambridge, poświęconej wydarzeniom naukowym i projektom badawczym. Co ciekawe, fałszywa witryna - podobnie jak adresy mailowe - utworzona była na autentycznej domenie Uniwersytetu Cambridge, co oznacza że atakujący musieli w jakiś sposób przejąć dostęp do uniwersyteckich kont administracyjnych.
Dziurawy Firefox
Link znajdujący się w mailu kierował do wspomnianej wyżej fałszywej strony Uniwersytetu Cambridge, zawierającej złośliwy skrypt, który początkowo identyfikował rodzaj systemu operacyjnego komputera i wykorzystywaną przeglądarkę internetową. Jeżeli ofiara otworzyła link na komputerze z systemem MacOS w innej przeglądarce niż Mozilla Firefox, wyświetlany był komunikat informujący o konieczności zainstalowania najnowszej wersji Firefoxa i odsyłający do autentycznej witryny producenta. Jeśli link został otwarty w przeglądarce Firefox, do gry wchodziły złośliwe skrypty wykorzystujące dwie krytyczne luki bezpieczeństwa przeglądarki w wersji na system MacOS. Jedna z nich pozwalała na przejęcie dostępu do przeglądarki za pośrednictwem skryptu JavaScript na zainfekowanej witrynie, druga zaś służyła do uruchomienia złośliwego kodu w sposób pozwalający na przejęcie kontroli nad komputerem ofiary. I to właśnie na tym etapie zespół Coinbase udaremnił próbę ataku, dostrzegając podejrzane zachowanie przeglądarki. Jeden z komputerów należących do pracownika został zainfekowany w opisany sposób, jednak błyskawicznie doszło do jego odseparowania od sieci.
Coinbase natychmiastowo poinformował zespół developerów Firefox o dwóch lukach bezpieczeństwa zero-day (czyli takich, o istnieniu których wcześniej nie było wiadomo). Pierwsza z nich została wyeliminowana w ciągu kilkunastu godzin od zgłoszenia i wydana w formie aktualizacji, druga zaś została załatana na przestrzeni tygodnia. Sytuacja ta jest jedną z wielu, które udowadniają, że warto regularnie aktualizować oprogramowanie.
Coinbase skontaktował się również z Uniwersytetem Cambridge, informując o nieuprawnionym wykorzystaniu jego domen przez hakerów.
Coinbase wygrywa tę bitwę
Udaremniony atak był wyjątkowo dobrze przemyślany i składał się z kilku etapów, polegających zarówno na wykorzystaniu luk w zabezpieczeniach, jak i korzystających z zasad inżynierii społecznej. Jego pierwszą fazą był tzw. spear phishing, będący znacznie bardziej wyspecjalizowaną i spersonalizowaną formą ataku phishingowego, polegającą na próbie podszycia się pod zaufaną osobę (najczęściej współpracownika lub znajomego) lub zbudowaniu relacji i zdobyciu zaufania ofiary w celu uśpienia jej czujności. Finalnie ma to doprowadzić do wykonania przez nią konkretnej czynności, np. pozwalającej na zainfekowanie komputera, najczęściej poprzez pobranie i otwarcie pliku lub kliknięcie w link. Atakujący dodatkowo uwiarygodnili się korzystając z autentycznych domen renomowanego uniwersytetu.
Druga faza ataku była jeszcze bardziej wyrafinowana, wykorzystując nieznane wcześniej krytyczne luki bezpieczeństwa w jednej z czołowych przeglądarek internetowych. Hakerzy po uzyskaniu dostępu do komputerów pracowników Coinbase z pewnością liczyli na przejęcie dostępu do części środków należących do klientów giełdy lub wykradzenie poufnych danych osobowych. Tym razem na szczęście się nie udało - pamiętajmy jednak, że giełdy kryptowalut nigdy nie zapewniają pełnego bezpieczeństwa naszych środków i nie służą do przechowywania kryptowalut.
