Розслідування злому платформи CoinsPaid!

Хай там як комусь хотілося підтримувати думку, що північнокорейці є відносно недалекими і не надто освіченими людьми, до Lazarus ставитися зневажливо не варто. Вони ламали сайти понад 10 років тому, ще до того, як крипта стала мейнстримом та багатомільярдною індустрією.

Але саме крипта сповнила їхню діяльність особливим змістом, адже Північна Корея – один зі світових лідерів за кількістю накладених санкцій, тому можливість систематично добувати легко конвертовані гроші за допомогою кібератак стала багато у чому бюджетоутворюючою галуззю. У послужному списку Lazarus за цей час – понад 20 мегазломів, серед яких Axie Infinity ($625 млн), Horizon Bridge ($100 млн) та Atomic Wallet ($100 млн).

По гарячих слідах команді CoinsPaid вдалося розслідувати інцидент, у якому жертвою стали вони ж самі, тож був складений покроковий алгоритм дій злочинців. Тактика Lazarus не відрізнялася від їхнього підходу до злому Atomic Wallet. З одного боку, це означає, що ринок поки що не може ефективно протистояти «банді Пупса». Але, з іншого, називати CoinsPaid слабозахищеним також було б неправильно: до цього злому хакери готувалися 6 місяців, весь час копирсались у системі, шукаючи уразливості. Список їх активностей включав DDos, BruteForce, спам, фішингові атаки і навіть спроби фіктивного найму ключових спеціалістів платформи!

Зрештою, спрацювала саме соціальна інженерія. За 3 тижні до злому, 7 липня 2023 року, було проведено масовану атаку, спрямовану на інфраструктуру та програми CoinsPaid, з надзвичайно високою мережевою активністю: було задіяно понад 150 тис. різних IP-адрес. Мета операції полягала у тому, щоб обманом змусити критично важливого співробітника встановити спеціальне програмне забезпечення. В результаті хакери отримали віддалений контроль над комп’ютером і проникли у внутрішні системи CoinsPaid.

Щоб зайвий раз усвідомити масштаб роботи, яку виконали Lazarus, достатньо дізнатися, що того ж місяця вони зламали платформу каталогів JumpCloud. За її допомогою різні підприємства здійснюють процеси аутентифікації та авторизації для доступу до своїх пристроїв. Маючи такий важіль, шахраї змогли впливати на CoinsPaid за допомогою неординарних і неочевидних ходів.

Незадовго до злому деякі співробітники CoinsPaid, перебуваючи, здавалося б, в абсолютно безпечному середовищі LinkedIn, почали отримувати від рекрутерів з криптовалютних компаній пропозиції з дуже високими зарплатами (від $16 000 до $24 000 на місяць). Ініціюючи процес співбесіди, зловмисники намагалися спровокувати кандидатів встановити спеціальний застосунок JumpCloud Agent для виконання тестового завдання. В одному з випадків це вдалося: спрацювала наживка нібито від біржі Crypto Com. Показово, що CoinsPaid не звинувачують свого співробітника: атака була проведена максимально професійно та ефективно.

Отримавши доступ до інфраструктури CoinsPaid, зловмисники відкрили бекдор та вивели кошти компанії з її оперативного сховища. Ну, а далі ви знаєте…

На допомогу прийшла компанія Match System, лідер у галузі кібербезпеки (у портфелі – понад $70 млн повернутих активів). Для відстеження та потенційного заморожування викрадених коштів адреси хакерів були внесені до чорного списку всіх основних аналізаторів блокчейну, а найбільшим криптобіржам та співробітникам AML-сервісів були розіслані термінові повідомлення з цими ідентифікаторами. Саме такий комплекс заходів зокрема і встановив причетність Lazarus, оскільки спливла адреса, яка також була задіяна в атаці на Atomic Wallet.

CoinsPaid називають те, що сталося, уроком і готові довести справу до перемоги. Добровільно повернути гроші криптовалютні відморозки з Північної Кореї напевно не погодяться, тому протиотрута потребуватиме настільки ж нетривіальних рішень, якою була і сама комбінація зі злому.

Нагадаємо, що раніше GN Crypto робили велике інтерв’ю з СЕО CoinsPaid Максом Крупишевим.