Compartilhe este artigo

Coinbase descreve como frustrou um ataque de hacking "sofisticado"

A bolsa de Criptomoeda Coinbase detalhou como foi alvo e frustrou "um ataque sofisticado, altamente direcionado e bem pensado".

Coinbase CEO Brian Armstrong speaks at Consensus 2019.
Coinbase CEO Brian Armstrong speaks at Consensus 2019.

A bolsa de Criptomoeda Coinbase descreveu como foi alvo e frustrou "um ataque sofisticado, altamente direcionado e bem pensado", com o objetivo de acessar seus sistemas e presumivelmente roubar parte dos bilhões de dólares em Criptomoeda que ela detém.

Em 8 de agostopostagem de blogque descreve em detalhes técnicos como a trama se desenrolou e como a bolsa respondeu à tentativa de roubo, a Coinbase disse que os hackers usaram uma combinação de meios para tentar enganar a equipe e acessar sistemas vitais – métodos que incluíam spear phishing, engenharia social e explorações de dia zero no navegador.

jwp-player-placeholder
A História Continua abaixo
Não perca outra história.Inscreva-se na Newsletter Crypto Daybook Americas hoje. Ver Todas as Newsletters

O ataque começou em 30 de maio, com uma dúzia de funcionários recebendo e-mails que supostamente eram de Gregory Harris, um administrador de bolsas de pesquisa da Universidade de Cambridge. Longe de serem aleatórios, eles citavam as histórias passadas dos funcionários e solicitavam ajuda para julgar projetos que competiam por um prêmio.

Coinbase disse:

"Este e-mail veio do domínio legítimo de Cambridge, não continha elementos maliciosos, passou pela detecção de spam e fez referência aos históricos dos destinatários. Nas próximas semanas, e-mails semelhantes foram recebidos. Nada parecia errado."

Os invasores desenvolveram conversas por e-mail com vários funcionários, evitando enviar qualquer código malicioso até 17 de junho, quando "Harris" enviou outro e-mail contendo uma URL que, quando aberta no Firefox, instalaria um malware capaz de assumir o controle da máquina de alguém.

A Coinbase disse que "em questão de horas, a Coinbase Security detectou e bloqueou o ataque".

O primeiro estágio do ataque, indica a publicação, identificou primeiro o sistema operacional e o navegador nas máquinas das vítimas pretendidas, exibindo um "erro convincente" para usuários do macOS que não estavam usando o navegador Firefox e solicitando que instalassem a versão mais recente do aplicativo.

Depois que a URL enviada por e-mail foi visitada com o Firefox, o código de exploração foi entregue de um domínio diferente, que havia sido registrado em 28 de maio. Foi nesse ponto que o ataque foi identificado, "com base em um relatório de um funcionário e alertas automatizados", disse a Coinbase.

A análise descobriu que o estágio dois teria visto outra carga maliciosa ser entregue na forma de uma variante do malware de backdoor direcionado ao Mac, chamado Mokes.

A Coinbase explicou que houve dois exploits de dia zero separados no Firefox utilizados no ataque: "um que permitiu que um invasor aumentasse privilégios do JavaScript em uma página para o navegador (CVE-2019–11707) e ONE que permitiu que o invasor escapasse da sandbox do navegador e executasse código no computador host (CVE-2019–11708)".

Notavelmente, o primeiro foi descoberto por Samuel Groß do Projeto Zero do Google ao mesmo tempo que o invasor, embora a Coinbase tenha minimizado a probabilidade de que a equipe de hackers tenha obtido as informações sobre a vulnerabilidade por meio dessa fonte. Groß aborda isso de uma formaTópico do Twitter.

Em outro sinal da sofisticação da equipe de hackers – rotulada pela Coinbase como Cripto-3 ou HYDSEVEN – ela assumiu ou criou duas contas de e-mail e criou uma landing page na Universidade de Cambridge.

Coinbase disse:

"T sabemos quando os invasores obtiveram acesso às contas da Cambridge pela primeira vez, ou se as contas foram assumidas ou criadas. Como outros notaram, as identidades associadas às contas de e-mail quase não têm presença online e os perfis do LinkedIn são quase certamente falsos."

Após descobrir o único computador afetado na empresa, a Coinbase disse que revogou todas as credenciais da máquina e bloqueou todas as contas dos funcionários.

"Assim que nos sentimos confortáveis de que havíamos alcançado a contenção em nosso ambiente, entramos em contato com a equipe de segurança da Mozilla e compartilhamos o código de exploração usado neste ataque", disse a exchange. "A equipe de segurança da Mozilla foi altamente responsiva e conseguiu lançar um patch para CVE-2019–11707 no dia seguinte e CVE-2019–11708 na mesma semana."

A Coinbase também contatou a Universidade de Cambridge para relatar e ajudar a corrigir o problema, bem como para obter mais informações sobre os métodos do invasor.

A Coinbase concluiu:

"O setor de Criptomoeda precisa esperar que ataques dessa sofisticação continuem e, ao construir uma infraestrutura com excelente postura defensiva e trabalhar em conjunto para compartilhar informações sobre os ataques que estamos presenciando, seremos capazes de defender a nós mesmos e aos nossos clientes, dar suporte à criptoeconomia e construir o sistema financeiro aberto do futuro."

CEO da Coinbase, Brian Armstrong, via arquivos do CoinDesk

Daniel Palmer

Previously one of CoinDesk's longest-tenured contributors, and now one of our news editors, Daniel has authored over 750 stories for the site. When not writing or editing, he likes to make ceramics.

Daniel holds small amounts of BTC and ETH (See: Editorial Policy).

Picture of CoinDesk author Daniel Palmer