Hechos clave:
-
El ataque se realizó por medio de correos electrónicos que parecían de la Universidad de Cambridge.
-
La casa de cambio identifica a los atacantes como CRYPTO-3 o HYDSEVEN.
La casa de cambio de criptomonedas Coinbase ha revelado que ha sido objetivo de un ataque altamente dirigido y muy bien pensado, con el cual pretendía acceder a los sistemas de la plataforma. La compañía indicó que lograron frustrar este ataque.
Se presume que el objetivo del ataque a Coinbase era obtener algunos de los miles de millones que posee la casa de cambio en criptomonedas.
Coinbase dijo que durante el ataque los piratas utilizaron una combinación de métodos para intentar engañar a los miembros del personal y acceder a los sistemas vitales, según una publicación en un blog, en el cual se establecen detalles técnicos sobre cómo se desencadenaban los hechos y cómo la casa de cambio contrarrestó el robo. Estos métodos mencionados incluían robos de datos, ingeniería social y hazañas en el buscador con un ataque de zero day o día cero.
El ataque comenzó el 30 de mayo, cuando docenas de miembros del personal recibieron correos electrónicos que presuntamente habían sido enviados por Gregory Harris, un administrador de becas de investigación en la Universidad de Cambridge. Lejos de ser aleatorio, estos correos citaban historias del pasado de los empleados y solicitaban ayuda para juzgar proyectos que competían por un premio.
Coinbase dijo:
Este correo vino de un dominio legítimo de Cambridge. No contenía elementos maliciosos, pasó los detectores de correos no deseados, y refería el trasfondo de los destinatarios. Durante las siguientes semanas, correos similares fueron recibidos. Nada parecía estar mal.
El atacante desarrolló conversaciones por correo con varios miembros del personal, absteniéndose de enviar cualquier código malicioso hasta el 17 de junio, cuando “Harris” envió otro correo electrónico que contenía un URL que, al abrirlo en Firefox, instalaría un malware capaz de tomar el control sobre la máquina de cualquiera.
Coinbase dijo que “en cuestión de horas, la seguridad de Coinbase detectó y bloqueó el ataque”.
Según indica la publicación, la primera fase del ataque, primero identificaba el sistema operativo y el buscador en la máquina de la víctima, desplegando un error convincente en el sistema operativo Mac de los usuarios que no estuviesen utilizando el explorador Firefrox, instándolos a instalar la última versión de la aplicación.
Una vez que se visitaba el URL del correo con el explorador Firefox, el código de engaño era enviado desde un dominio diferente, que había sido registrado el 28 de mayo. Fue en este punto que se identificó el ataque, “basado tanto en el reporte de un empleado como en las alertas automáticas”, dijo Coinbase.
Su análisis reveló que en la segunda etapa se habría entregado otra carga maliciosa que sería enviada en forma de una variante del malware para Mac, llamado Mokes.
Coinbase explicaba que hubo dos engaños separados de zero day o día cero a través de Firefox durante el ataque: “uno que permitió al atacante escalar privilegios de JavaScript desde una página al servidor (CVE-2019-11707), y uno que le permitió al atacante escapar de la caja de arena del buscador y ejecutar códigos en la computadora receptora (CVE-2019-11708).”
En particular, el primero fue descubierto por Samuel Groß, del proyecto Zero de Google, al mismo tiempo que se desarrollaba el ataque. Aun así, Coinbase minimizó la probabilidad de que el equipo de piratas hubiese obtenido la información sobre la vulnerabilidad a través de esta fuente. Groß hizo referencia a esto en un hilo de Twitter.
Otra muestra de lo sofisticado que es el equipo de piratas atacantes, etiquetado por Coinbase como CRYPTO-3 o HYDSEVEN, es que estos tomaron o crearon dos cuentas de correo y crearon una página de recepción en la página de la Universidad de Cambridge.
Coinbase comentó:
Nosotros no sabemos cuándo los atacantes ganaron acceso a las cuentas de Cambridge, o si las cuentas fueron creadas o robadas. Como otros habrán notado, las identidades asociadas a las cuentas de correo casi no tienen presencia en línea, y los perfiles en LikedIn son casi totalmente falsas.
Luego de descubrir la única computadora infectada en la compañía, Coinbase dijo que revocó todas las credenciales de la máquina, y bloqueó todas las cuentas del personal.
“Una vez estuvimos seguros de que habíamos logrado la contención de nuestro entorno, nos dirigimos al equipo de seguridad de Mozilla y compartimos el código de engaño utilizado en este ataque,” comentaba la casa de cambio. “El equipo de seguridad de Mozilla fue muy receptivo y fue capaz de elaborar un parche para CVE-2019-11707 para el día siguiente, y uno para el CVE-2019-11708 en la misma semana.”
Coinbase también contactó a la Universidad de Cambridge para reportar el caso y ayudarlos a solucionar los problemas, así como para obtener más información sobre el método de los atacantes.
Coinbase concluyó:
La industria de las criptomonedas debe esperar que continúen los ataques con este nivel de sofisticación, y al construir infraestructuras con una excelente postura defensiva, y trabajando en conjunto para compartir información sobre los ataques que estamos viendo, seremos capaces de defendernos a nosotros mismos y a nuestros clientes, de apoyar a la economía de las criptomonedas, y construir el sistema financiero del futuro.
Versión traducida del artículo de Daniel Palmer, publicado en CoinDesk.