Расследование взлома платформы CoinsPaid!

Как бы кому-то не хотелось поддерживать представление о северокорейцах как об относительно недалеких и не слишком образованных людях, к Lazarus относиться снисходительно не получится. Они ломали сайты более 10 лет назад, еще до того, как крипта стала мейнстримом и многомиллиардной индустрией. 

Но именно крипта наполнила их деятельность особым смыслом: ведь Северная Корея — один из мировых лидеров по количеству наложенных санкций, поэтому возможность систематически добывать легко конвертируемые деньги с помощью кибератак стала во многом бюджетообразующей отраслью. В послужном списке Lazarus за это время более 20 мегавзломов, среди которых Axie Infinity ($625 млн), Horizon Bridge ($100 млн) и Atomic Wallet ($100 млн).

По горячим следам команде CoinsPaid удалось расследовать инцидент, в котором жертвой выступили они сами, составив пошаговый алгоритм действий преступников. Отмечается, что тактика Lazarus не отличалась от их подхода к взлому Atomic Wallet. С одной стороны, это означает, что рынок, увы, пока так и не сумел создать противоядие «банде Пупса».  Но с другой — называть CoinsPaid слабозащищенным тоже было бы неправильно: к взлому хакеры готовились 6 месяцев, всё это время ковыряясь в их системе в поисках уязвимости. А список активностей включал DDos, BruteForce, спам, фишинговые атаки и даже попытки фиктивного найма ключевых специалистов платформы! 

В конечном счете сработала именно социальная инженерия. За 3 недели до взлома, 7 июля 2023 года, была проведена массированная атака, направленная на инфраструктуру и приложения CoinsPaid, с необычайно высокой сетевой активностью: было задействовано более 150 тыс. различных IP-адресов. Цель операции состояла в том, чтобы обманом заставить критически важного сотрудника установить специальное программное обеспечение. В результате хакеры получили удаленный контроль над его компьютером и проникли во внутренние системы CoinsPaid.

Чтобы лишний раз осознать масштаб работы, которую проделали Lazarus, достаточно узнать, что в том же месяце они взломали платформу каталогов JumpCloud. С ее помощью различные предприятия осуществляют процессы аутентификации и авторизации для доступа к своим устройствами. Имея такой рычаг, у мошенников появилась возможность воздействовать на CoinsPaid с помощью весьма неординарных и неочевидных ходов.

Незадолго до взлома некоторые сотрудники CoinsPaid, находясь, казалось бы, в абсолютно безопасной среде LinkedIn, начали получать  от рекрутеров из криптовалютных компаний предложения с очень высокими зарплатами (от $16 000 до $24 000 в месяц). Инициируя процесс собеседования, злоумышленники пытались спровоцировать кандидатов установить специальное приложение JumpCloud Agent для выполнения тестового задания. В одном из случаев это удалось: сработала наживка от якобы биржи Crypto Com. Показательно, что CoinsPaid не винят своего сотрудника: атака была проведена максимально профессионально и эффективно. 

Получив доступ к инфраструктуре CoinsPaid, злоумышленники открыли бэкдор и вывели средства компании из ее оперативного хранилища. Ну а дальше вы знаете… 

К помощи CoinsPaid подключилась компания Match Systems, лидер в области кибербезопасности (в портфеле — более $70 млн возвращенных активов). Для отслеживания и потенциальной заморозке похищенных средств адреса хакеров были внесены в черный список всех основных анализаторов блокчейна, а крупнейшим криптобиржам и сотрудникам AML-сервисов были разосланы срочные уведомления о данных идентификаторах. Именно этот комплекс мер в частности и установил причастность Lazarus, т.к. всплыл адрес, который также был задействован в атаке на Atomic Wallet. 

CoinsPaid называют произошедшее уроком и готовы довести дело до победы. Добровольно вернуть деньги криптовалютные отморозки из Северной Кореи наверняка не согласятся, поэтому противоядие потребует столь же нетривиальных решений, какой была и комбинация по взлому. 

Напомним, что ранее GN Crypto делали большое интервью с СЕО CoinsPaid Максом Крупышевым.