Xakep #305. Многошаговые SQL-инъекции
Власти США предъявили обвинения двум мошенникам, которые в 2017 году взломали криптовалютную биржу EtherDelta. Один из двух подозреваемых — Эллиот Гантон (Elliott Gunton), также известный под ником Glubz, 20-летний британец, ранее участвовавший во взломе TalkTalk. Другой — Энтони Тайлер Нашатка (Anthony Tyler Nashatka), житель Нью-Йорка, также известный под ником psycho.
Два года назад мошенники подменили настройки DNS и перенаправили трафик биржи EtherDelta на сайт-клон, откуда затем были похищены учетные данные пользователей, а потом и их средства.
Согласно судебным документам, атака началась 13 декабря 2017 года, когда Нашатка приобрел на черном рынке личные данные сотрудника EtherDelta за криптовалюту. Эта информация включала в себя номер телефона и адрес электронной почты. Хотя в документах только этот сотрудник фигурирует только под инициалами ZC, вероятнее всего этим человеком был Закари Кобурн (Zachary Coburn), глава компании. Дело в том, что только доступ к его учетным записям позволил бы хакерам сделать то, что произошло дальше.
Неизвестно, специально ли мошенник искал данные Кобурна, так как тот был генеральным директором EtherDelta, или же случайно обнаружил информацию в большом пуле данных и понял, кто это такой. Как бы то ни было, используя купленную информацию, Нашакта вознамерился захватить учетные записи EtherDelta Cloudflare и Dreamhost.
Несколько дней спустя, 19 декабря 2017 года, Гантону каким-то образом удалось убедить представителя оператора мобильной связи привязать к аккаунту Кобурна номер для переадресации вызовов. По сути, любые входящие звонки на телефон Кобурна автоматически переадресовывались на номер Google Voice, которым управляли мошенники.
Гантон и Нашатка не теряли времени даром и использовали функцию переадресации вызовов, чтобы обойти двухфакторную аутентификацию на учетной записи администратора, принадлежавшей Кобурну в EtherDelta. Днем позже, 20 декабря, они изменили настройки DNS на G Suite-портале компании и перенаправили трафик Gmail на принадлежащий им британский сервер, что позволило перехватывать и скрывать определенные электронные письма.
Затем злоумышленники выполнили восстановление пароля для учетной записи EtherDelta в Cloudflare, так как получили ссылки для сброса пароля из перехваченных писем Кобурна. Получив доступ к учетной записи Cloudflare, мошенники изменили пароль и блокировали других сотрудников компании. После этого, наконец, были изменены DNS-настройки EtherDelta внутри учетной записи Cloudflare. Новые значения связали официальный сайт EtherDelta с веб-сервером подконтрольным злоумышленникам. На нем размещался клон сайта биржи, который занимался сбором учетных данные пользователей.
Когда атаку заметили, Гантон и Нашатка перешли к «монетизации» похищенных учетных данных и стали выводить средства пользователей. Хотя в судебных документах не говорится, сколько мошенники «заработали» таким образом, известно, что одна из жертв атаки сообщила о потере более 800 000 долларов.
Обвинение злоумышленникам было предъявлено 13 августа текущего года в Сан-Франциско. Три дня спустя Гантон был приговорен к 20 месяцам тюремного заключения в Великобритании за торговлю персональными данными за криптовалюту, после его ареста в 2018 году. Скорее всего, американское дело также строится на информации, обнаруженной на устройствах Гантона после его ареста.
В США каждому из мошенников грозят обвинения по пяти пунктам, с максимальным наказанием в виде лишения свободы сроком до 20 лет, а также штрафы в размере до 250 000 долларов США.