В начале марта 2018 года неизвестные злоумышленники предприняли попытку атаки, направленную против пользователей криптовалютной биржи Binance. Тогда многие пользователи площадки обнаружили, что все альткоины, хранившиеся на их аккаунтах, были проданы по рыночной цене и конвертированы в Bitcoin. Более того, получив доступ к чужим учетным записям, неизвестные принялись скупать криптовалюту Viacoin (VIA), из-за чего курс VIA стремительно пошел вверх.

Предварительное расследование случившегося выявило, что для подготовки к атаке злоумышленникам потребовалось продолжительное время, как минимум два месяца. За это время преступники провели серию весьма успешных фишинговых кампаний, в результате которых собрали учетные данные от аккаунтов множества пользователей Binance.

При этом фишеры не трогали средства на скомпрометированных аккаунтах и никак не вмешивались в их работу, лишь создавали API-ключ для каждой взломанной учетной записи. Полученные таким образом API-ключи были задействованы лишь в ходе атаки, произошедшей вечером 7 марта 2018 года. От лица скомпрометированных аккаунтов злоумышленники начали торговать парой VIA/BTC, поднимая цену все выше.
Но внутренняя система управления рисками Binance распознала аномалию за две минуты, после чего немедленно блокировала все транзакции. По данным Binance, в результате данного инцидента пользовательские средства не пострадали, и ничего не было украдено. Более того, преступники лишь понесли убытки, так как фишинговые кампании и подготовка к атаке определенно потребовали немалых усилий, времени и денег.

В минувший понедельник, 19 марта 2018 года, специалисты Binance поделились новыми подробностями случившегося. За прошедшие две недели им удалось собрать самые разные данные об инциденте, некоторые из которых решили придать огласке.

В частности, был опубликован список фишинговых сайтов, при помощи которых преступники собирали учетные данные пользователей биржи. Пока список не полон, но уже сейчас исследователи отмечают, что целью преступников была не только Binance, но и другие централизованные и децентрализованные обменники. Все фишинговые сайты активно продвигались в разных поисковиках при помощи рекламных кампаний. Почти все домены атакующих были расположены на неназванном «пуленепробиваемом» хостинге в Европе.

Изучая домены, специалисты заметили, что два имени встречаются в регистрационных данных чаще других — это Сергей Васильевич Киреев и Виктория Белинская. Беглый поиск в интернете выявил, что ранее домены из составленного Binance списка уже попадали в поле зрения ИБ-специалистов, так как их связывали с фишинговой кампанией, направленной против биржи Bittrex.

Кроме того, благодаря одному из пострадавших от атаки пользователей, представителям Binance удалось узнать IP-адрес, с которым был связан созданный от имени пользователя ключ API. Адрес оказался российским (213.87.134.39), а если точнее липецким.

Аналитики отмечают, что атакующие наверняка использовали VPN и другие средства защиты, так что вряд ли этот IP можно считать реальным адресом злоумышленников. Однако сопоставление этого IP с имеющимся в распоряжении сотрудников биржи списком доменов позволило предположить, что преступники с большой вероятностью находятся в Восточной Европе.

В завершение отчета специалисты Binance пишут, что расследование продолжается и отмечают, что им также удалось выявить 31 подозрительную транзакцию, связанную с криптовалютой VIA. Все транзакции были осуществлены за 1-2 часа до инцидента. Список транзакций приложен к отчету.

Напомню, что ранее биржа предложила награду за любую полезную информацию о неизвестных преступниках, пообещав выплатить 250 000 долларов США в эквиваленте Binance Coin за данные, которые в итоге приведут к аресту киберпреступников.



Оставить мнение