Sàn giao dịch Coinbase đã mô tả cách họ bị nhắm mục tiêu, và thoát khỏi “một cuộc tấn công tinh vi, được nhắm mục tiêu tỉ mỉ” nhằm mục đích truy cập vào các hệ thống của họ và có thể là để kiếm được một số tiền trị giá hàng tỷ đô la mà họ đang nắm giữ.
Trong một bài đăng trên blog ngày 08/08 nêu chi tiết kỹ thuật về cách thức các âm mưu hack diễn ra và cách mà sàn giao dịch chống lại hành vi trộm cắp, Coinbase cho biết các hacker đã sử dụng kết hợp các phương tiện để thử và lừa đảo nhân viên, truy cập các hệ thống quan trọng – phương pháp bao gồm lừa đảo, kỹ thuật xã hội và trình duyệt khai thác zero-day.
Cuộc tấn công đã bắt đầu vào ngày 30/05, hàng loạt nhân viên đã nhận được các email đến từ Gregory Harris, Quản trị viên Tài trợ Nghiên cứu tại Đại học Cambridge. Không hề ngẫu nhiên, những email này đã trích dẫn lịch sử quá khứ của các nhân viên và yêu cầu giúp đỡ trong việc đánh giá các dự án cạnh tranh cho một giải thưởng.
Coinbase cho biết:
“Email này đến từ miền Cambridge hợp pháp, không chứa yếu tố độc hại, không phải thư rác và đã tham chiếu nền của người nhận. Trong vài tuần tiếp theo, các email tương tự đã được gửi đến. Không có gì có vẻ là bất ổn cả”.
Những kẻ tấn công đã thực hiện các cuộc trò chuyện qua email với một số nhân viên, không gửi bất kỳ mã độc nào cho đến ngày 17/06, khi “Harris” gửi một email khác, có chứa một URL mà khi được mở trong Firefox, nó sẽ cài đặt phần mềm độc hại có khả năng chiếm đoạt máy tính của ai đó.
Coinbase cho biết: “Trong vòng vài giờ, Coinbase Security đã phát hiện và chặn cuộc tấn công”.
Bài viết chỉ ra rằng, trong giai đoạn đầu tiên của cuộc tấn công, đầu tiên phải xác định hệ điều hành và trình duyệt trên các máy của nạn nhân, hiển thị lỗi đối với người dùng macOS không sử dụng trình duyệt Firefox, và nhắc họ cài đặt phiên bản mới nhất của ứng dụng.
Một khi URL được gửi qua email được truy cập bằng Firefox, code khai thác sẽ được gửi từ một tên miền khác, đã được đăng ký vào ngày 28/05. Tại thời điểm này, cuộc tấn công đã được xác định, “dựa trên cả báo cáo từ nhân viên và cảnh báo tự động”, Coin Coinbase cho biết.
Phân tích cho thấy tại giai đoạn hai sẽ có một tài liệu độc hại khác được phân phối dưới dạng một biến thể của phần mềm độc hại backlink nhắm mục tiêu vào Mac có tên là Mokes.
Coinbase giải thích rằng đã có hai khai thác zero-day riêng biệt của Firefox được sử dụng trong cuộc tấn công: một là cho phép kẻ tấn công leo thang các đặc quyền từ JavaScript trên một trang lên trình duyệt (CVE-2019-11707) và một cho phép kẻ tấn công trốn thoát hộp cát trình duyệt và thực thi code trên máy tính chủ (CVE-2019-11708).
Điều đáng chú ý là, khai thác đầu tiên được phát hiện cùng lúc với kẻ tấn công, bởi Samuel Groß của Project Zero từ Google, mặc dù Coinbase đã phát hiện ra khả năng nhóm hack đã lấy được thông tin về lỗ hổng thông qua nguồn đó. Groß đã nói về điều này trong một tweet trên Twitter.
Trong một dấu hiệu khác về sự tinh vi của nhóm hack – được Coinbase gắn nhãn là CRYPTO-3 hoặc HYDSEVEN – nó đã chiếm hoặc tạo hai tài khoản email và tạo một trang đích tại Đại học Cambridge.
Coinbase cho biết:
“Chúng tôi không biết khi nào những kẻ tấn công lần đầu tiên có quyền truy cập vào tài khoản Cambridge, hoặc liệu các tài khoản đã bị chiếm đoạt hay tạo ra hay chưa. Như những người khác đã lưu ý, danh tính liên quan đến các tài khoản email hầu như không có sự hiện diện trực tuyến và hồ sơ LinkedIn gần như chắc chắn là giả mạo”.
Sau khi phát hiện ra máy tính bị ảnh hưởng duy nhất tại công ty, Coinbase cho biết họ đã thu hồi tất cả thông tin đăng nhập trên máy và khóa tất cả các tài khoản của nhân viên.
“Một khi chúng tôi thoải mái khi có được sự ngăn chặn trong môi trường của mình, chúng tôi đã liên hệ với nhóm bảo mật Mozilla và chia sẻ code khai thác được sử dụng trong cuộc tấn công này”, sàn giao dịch cho biết. “Nhóm bảo mật Mozilla có khả năng phản hồi nhanh và có thể có bản vá cho CVE-2019-11707 vào ngày hôm sau và CVE-2019 V1111708 trong cùng một tuần”.
Coinbase cũng đã liên hệ với Đại học Cambridge để báo cáo và giúp khắc phục vấn đề này, cũng như để có thêm thông tin về các phương pháp của kẻ tấn công.
Coinbase kết luận:
“Ngành công nghiệp tiền điện tử cần phải hy vọng các cuộc tấn công tinh vi này sẽ tiếp tục, và bằng cách xây dựng cơ sở hạ tầng với tư thế phòng thủ tuyệt vời, và hợp tác với nhau để chia sẻ thông tin về các cuộc tấn công mà chúng ta đang thấy, chúng ta sẽ có thể tự bảo vệ mình và khách hàng của mình, hỗ trợ nền kinh tế tiền điện tử và xây dựng hệ thống tài chính mở trong tương lai”.
- Ransomware Bitcoin không trả lại dữ liệu ngay cả khi đã nhận được tiền chuộc
- Nhà truyền giáo Bitcoin trên YouTube chơi chiêu ‘gậy ông đập lưng ông’ với kẻ lừa đảo
Huyền Đinh
Tạp chí Bitcoin | Coindesk