Coinbase-Mitarbeiter, die auf Zero-Day-Angriffe von Mozilla Firefox abzielen

Coinbase

Da Coinbase der beliebteste Kryptowährungsaustausch in den USA ist, wäre es für Hacker auf der ganzen Welt eine Freude, in seine Infrastruktur einzudringen. Ein solcher Angreifer oder eine solche Gruppe von Angreifern hat diese Woche genau das versucht und dabei nicht nur eine, sondern zwei kritische Zero-Day-Schwachstellen verwendet, die Mozillas beliebten Firefox-Webbrowser betreffen.

Der Coinbase-Sicherheitsexperte Philip Martin bestätigte dies am Mittwoch und beschrieb in einem Post-Mortem-Twitter-Thread, wie der böswillige Agent eine gemeldete und anfangs nicht gemeldete Zero-Day-Sicherheitsanfälligkeit verwendet hat, um „Coinbase-Mitarbeiter anzusprechen“.

Coinbase

Mozilla hatte formell die Schwachstellen behoben bis zum 18. Juni. Der Sicherheitsforscher von Google Project Zero, Samuel Groß, hat den ersten Fehler Berichten zufolge bereits im April 2019 entdeckt.

Der zuvor erwähnte Martin sagte, das Coinbase-Sicherheitsteam analysiere derzeit die Infrastruktur und Methoden des Angreifers, um klarer zu verstehen, was passiert ist und – noch besser – wer dafür verantwortlich sein könnte.

2 / Wir gingen den gesamten Angriff zurück, erholten uns und meldeten den 0-Tage an Firefox, zogen die im Angriff verwendete Malware und Infra auseinander und arbeiten mit verschiedenen Organisationen zusammen, um die Infrastruktur des Angreifers weiter abzubrennen und den betroffenen Angreifer zu untersuchen.

– Philip Martin (@SecurityGuyPhil) 19. Juni 2019

Martin fügte hinzu, dass Coinbase Kontakt zu anderen nicht spezifizierten Kryptowährungsorganisationen aufgenommen hatte und mit diesen zusammenarbeitete, von denen der Austausch dachte, dass sie in der schändlichen Kampagne ins Visier genommen wurden. Er stellte fest, dass anscheinend keine Kunden von dem Vorfall betroffen waren, und sagte, Coinbase sei bereit, mit anderen Interessengruppen zusammenzuarbeiten.

4 / Wenn Sie der Meinung sind, dass Sie von diesem Angriff betroffen sind oder mehr Informationen zu teilen haben und mit uns an einer Antwort zusammenarbeiten möchten, wenden Sie sich bitte an [email protected] IOCs folgen.

– Philip Martin (@SecurityGuyPhil) 19. Juni 2019

Zum Glück für alle Beteiligten hat die Episode keine Wendung für die Katastrophe genommen, d. H. Coinbase-Mitarbeiterkonten, die befohlen wurden, Kryptowährung oder Benutzerdaten zu stehlen. Der versuchte Angriff ist jedoch eine weitere Erinnerung daran, dass Mitarbeiter des Kryptowährungsaustauschs zunehmend von Hackern angegriffen werden, da sie die Schlüssel – Wortspiel beabsichtigt – für ihre Kinder halten.

Auf Coincheck-Mitarbeitercomputern gefundene Malware

Wer auch immer der Coinbase-Angreifer war, sie konnten die Infrastruktur der Börse nicht durchdringen. Allerdings hat in den letzten Jahren nicht jede Plattform so viel Glück gehabt – denken Sie beispielsweise an den japanischen Kryptowährungsaustausch Coincheck.

Darüber hinaus glauben Experten jetzt zu wissen, wie der Coincheck-Hack im Januar 2018 stattgefunden hat.

Neue Erkenntnisse deuten darauf hin, dass der Hack – der sich bisher als der größte in der Kryptoökonomie erwiesen hat – möglicherweise über russische Malware durchgeführt wurde, die auf den Computern der Mitarbeiter installiert wurde.

Dies geht aus einer neuen Berichterstattung in dieser Woche hervor, aus der hervorgeht, wie die Viren von Netwire und Mokes, die beide aus Russlands Cyberspace stammen, auf den Computern von Coincheck-Mitarbeitern entdeckt wurden.

Es ist immer noch nicht klar, wer die Viren verwendet hat, aber Cybersicherheitsexperten haben gesagt, dass die Anwesenheit von Netwire und Mokes darauf hindeutet, dass die Schuldigen möglicherweise Russen oder zumindest Osteuropäer waren, die mit russischen Tools vertraut sind.

Natürlich ist es durchaus möglich, dass die Coincheck-Hacker überhaupt keine Russen waren. Die Verwendung von Netwire und Mokes war möglicherweise eine kluge Finte des Verantwortlichen. Seit dem Angriff gab es Spekulationen darüber, dass das nordkoreanische Hackerteam Lazarus Group beteiligt war. In jedem Fall verfügt das spezialisierte „Bluenoroff“ -Team der Lazarus Group vermutlich über die erforderlichen Fähigkeiten und Werkzeuge, um Coincheck zu gefährden.

Der Hack im Januar 2018 war massiv, wirkte sich jedoch nur auf die NEM (XEM) Hot Wallet der Börse aus. Der Angreifer konnte mit 520 Millionen XEM davonkommen, die damals 530 Millionen USD wert waren.

Der Austausch muss auf Trab sein

“Woher kannten die Hacker unsere Risikomanagementregeln so genau”, schrieb Changpeng Zhao, Chief Operating Officer von Binance, in einer Sicherheitsübersicht, nachdem Binance in diesem Frühjahr aus 7.000 Bitcoin gehackt worden war. “Haben wir einen Maulwurf?”

Es ist unklar, ob Zhao und seine Kollegen diesen Fragen jemals mit Zuversicht auf den Grund gegangen sind, aber selbst dass sie gestellt wurden, zeigt, wie reif und schwierig es ist, mit Angriffsmethoden für Mitarbeiter umzugehen.

Binance hat seitdem seine Sicherheitspraktiken noch weiter optimiert, aber die Tatsache bleibt: Angreifer werden es und andere wichtige Börsen weiterhin auf mögliche Schwachstellen untersuchen.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map