Coinbase explica cómo frustró un ataque de piratería sofisticado

La plataforma de intercambio de Criptomonedas Coinbase ha descrito cómo fue blanco de, y frustró, "un ataque sofisticado, muy específico y bien pensado" que tenía como objetivo acceder a sus sistemas y presumiblemente hacerse con algunos de los miles de millones de dólares en Criptomonedas que posee.

En un artículo del 8 de agostoentrada de blogque explica en detalle técnico cómo se desarrolló la trama y cómo el intercambio contrarrestó el intento de robo, Coinbase dijo que los piratas informáticos utilizaron una combinación de medios para tratar de engañar al personal y acceder a sistemas vitales, métodos que incluían phishing, ingeniería social y exploits de día cero del navegador.

El ataque comenzó el 30 de mayo, cuando una docena de empleados recibieron correos electrónicos que supuestamente provenían de Gregory Harris, administrador de becas de investigación de la Universidad de Cambridge. Estos correos, lejos de ser aleatorios, citaban el historial de los empleados y solicitaban ayuda para evaluar los proyectos que competían por un premio.

Coinbase dijo:

Este correo electrónico provenía del dominio legítimo de Cambridge, no contenía elementos maliciosos, superó la detección de spam y hacía referencia a los antecedentes de los destinatarios. Durante las dos semanas siguientes, se recibieron correos electrónicos similares. No parecía haber nada extraño.

Los atacantes desarrollaron conversaciones por correo electrónico con varios miembros del personal, absteniéndose de enviar cualquier código malicioso hasta el 17 de junio, cuando "Harris" envió otro correo electrónico, que contenía una URL que, al abrirse en Firefox, instalaría malware capaz de apoderarse de la máquina de alguien.

Coinbase afirmó que "en cuestión de horas, Coinbase Security detectó y bloqueó el ataque".

La primera etapa del ataque, indica la publicación, identificó primero el sistema operativo y el navegador en las máquinas de las víctimas previstas, mostrando un "error convincente" a los usuarios de macOS que no usaban el navegador Firefox y solicitándoles que instalaran la última versión de la aplicación.

Una vez que se visitó la URL enviada por correo electrónico con Firefox, el código de explotación se entregó desde un dominio diferente, que se había registrado el 28 de mayo. Fue en este punto que se identificó el ataque, "basándose tanto en un informe de un empleado como en alertas automatizadas", dijo Coinbase.

Su análisis descubrió que la segunda etapa habría incluido otra carga maliciosa distribuida en forma de una variante del malware de puerta trasera dirigido a Mac llamado Mokes.

Coinbase explicó que se habían utilizado dos exploits de día cero separados para Firefox en el ataque: "ONE que permitía a un atacante escalar privilegios desde JavaScript en una página al navegador (CVE-2019–11707) y ONE que permitía al atacante escapar del entorno protegido del navegador y ejecutar código en la computadora host (CVE-2019–11708)".

Cabe destacar que el primero fue descubierto por Samuel Groß, del Proyecto Zero de Google, al mismo tiempo que el atacante, aunque Coinbase minimizó la probabilidad de que el equipo de hackers hubiera obtenido información sobre la vulnerabilidad a través de esa fuente. Groß aborda este tema en unHilo de Twitter.

En otra señal de la sofisticación del equipo de hackers, etiquetado por Coinbase como Cripto-3 o HYDSEVEN, tomó el control o creó dos cuentas de correo electrónico y creó una página de destino en la Universidad de Cambridge.

Coinbase dijo:

T cuándo los atacantes accedieron por primera vez a las cuentas de Cambridge, ni si estas fueron usurpadas o creadas. Como ya han señalado otros, las identidades asociadas a las cuentas de correo electrónico prácticamente no tienen presencia en línea y los perfiles de LinkedIn son casi con toda seguridad falsos.

Después de descubrir la única computadora afectada en la empresa, Coinbase dijo que revocó todas las credenciales en la máquina y bloqueó todas las cuentas de los empleados.

"Una vez que estuvimos seguros de haber logrado la contención en nuestro entorno, contactamos con el equipo de seguridad de Mozilla y compartimos el código de explotación utilizado en este ataque", declaró la plataforma. "El equipo de seguridad de Mozilla respondió con gran rapidez y logró publicar un parche para CVE-2019-11707 al día siguiente y para CVE-2019-11708 esa misma semana".

Coinbase también se comunicó con la Universidad de Cambridge para informar y ayudar a solucionar el problema, así como para obtener más información sobre los métodos del atacante.

Coinbase concluyó:

La industria de las Criptomonedas debe anticipar la continuidad de ataques de esta sofisticación. Al construir una infraestructura con una excelente postura defensiva y colaborar para compartir información sobre los ataques que observamos, podremos defendernos a nosotros mismos y a nuestros clientes, apoyar la criptoeconomía y construir el sistema financiero abierto del futuro.

Brian Armstrong, director ejecutivo de Coinbase, a través de los archivos de CoinDesk