Расследование взлома платформы CoinsPaid!
За громкой хакерской атакой платежного криптопровайдера CoinsPaid, похоже, снова стоит злобная Lazarus — северокорейская группировка, пиратствующая в океане Web3 в пользу милитарных проектов Ким Чен Ына. 22 июля им удалось украсть с CoinsPaid $37 млн.
Как бы кому-то не хотелось поддерживать представление о северокорейцах как об относительно недалеких и не слишком образованных людях, к Lazarus относиться снисходительно не получится. Они ломали сайты более 10 лет назад, еще до того, как крипта стала мейнстримом и многомиллиардной индустрией.
Но именно крипта наполнила их деятельность особым смыслом: ведь Северная Корея — один из мировых лидеров по количеству наложенных санкций, поэтому возможность систематически добывать легко конвертируемые деньги с помощью кибератак стала во многом бюджетообразующей отраслью. В послужном списке Lazarus за это время более 20 мегавзломов, среди которых Axie Infinity ($625 млн), Horizon Bridge ($100 млн) и Atomic Wallet ($100 млн).
По горячим следам команде CoinsPaid удалось расследовать инцидент, в котором жертвой выступили они сами, составив пошаговый алгоритм действий преступников. Отмечается, что тактика Lazarus не отличалась от их подхода к взлому Atomic Wallet. С одной стороны, это означает, что рынок, увы, пока так и не сумел создать противоядие «банде Пупса». Но с другой — называть CoinsPaid слабозащищенным тоже было бы неправильно: к взлому хакеры готовились 6 месяцев, всё это время ковыряясь в их системе в поисках уязвимости. А список активностей включал DDos, BruteForce, спам, фишинговые атаки и даже попытки фиктивного найма ключевых специалистов платформы!
В конечном счете сработала именно социальная инженерия. За 3 недели до взлома, 7 июля 2023 года, была проведена массированная атака, направленная на инфраструктуру и приложения CoinsPaid, с необычайно высокой сетевой активностью: было задействовано более 150 тыс. различных IP-адресов. Цель операции состояла в том, чтобы обманом заставить критически важного сотрудника установить специальное программное обеспечение. В результате хакеры получили удаленный контроль над его компьютером и проникли во внутренние системы CoinsPaid.
Чтобы лишний раз осознать масштаб работы, которую проделали Lazarus, достаточно узнать, что в том же месяце они взломали платформу каталогов JumpCloud. С ее помощью различные предприятия осуществляют процессы аутентификации и авторизации для доступа к своим устройствами. Имея такой рычаг, у мошенников появилась возможность воздействовать на CoinsPaid с помощью весьма неординарных и неочевидных ходов.
Незадолго до взлома некоторые сотрудники CoinsPaid, находясь, казалось бы, в абсолютно безопасной среде LinkedIn, начали получать от рекрутеров из криптовалютных компаний предложения с очень высокими зарплатами (от $16 000 до $24 000 в месяц). Инициируя процесс собеседования, злоумышленники пытались спровоцировать кандидатов установить специальное приложение JumpCloud Agent для выполнения тестового задания. В одном из случаев это удалось: сработала наживка от якобы биржи Crypto Com. Показательно, что CoinsPaid не винят своего сотрудника: атака была проведена максимально профессионально и эффективно.
Получив доступ к инфраструктуре CoinsPaid, злоумышленники открыли бэкдор и вывели средства компании из ее оперативного хранилища. Ну а дальше вы знаете…
К помощи CoinsPaid подключилась компания Match Systems, лидер в области кибербезопасности (в портфеле — более $70 млн возвращенных активов). Для отслеживания и потенциальной заморозке похищенных средств адреса хакеров были внесены в черный список всех основных анализаторов блокчейна, а крупнейшим криптобиржам и сотрудникам AML-сервисов были разосланы срочные уведомления о данных идентификаторах. Именно этот комплекс мер в частности и установил причастность Lazarus, т.к. всплыл адрес, который также был задействован в атаке на Atomic Wallet.
CoinsPaid называют произошедшее уроком и готовы довести дело до победы. Добровольно вернуть деньги криптовалютные отморозки из Северной Кореи наверняка не согласятся, поэтому противоядие потребует столь же нетривиальных решений, какой была и комбинация по взлому.
Напомним, что ранее GNcrypto делали большое интервью с СЕО CoinsPaid Максом Крупышевым.