Xakep #305. Многошаговые SQL-инъекции
Японская криптовалютная биржа Coincheck сообщила, что неизвестные хакеры взломали аккаунт Coincheck у доменного регистратора и установили контроль над одним из доменных имен биржи. Захваченный домен был использован для связи с некоторыми из клиентов компании.
В настоящее время биржа была вынуждена приостановить некоторые операции и занимается расследованием инцидента (снятие средств и депозиты заблокированы не были).
По данным компании, первоначальная атака произошла в воскресенье, 31 мая 2020 года. Хакеры получили доступ к учетной записи Coincheck на сайте Oname.com (доменный регистратор компании), и представители Oname уже подтвердили информацию о компрометации. Известно, что взломщики сохраняли доступ к домену компании вплоть до понедельника, 1 июня 2020 года.
Хотя инженеры пока Coincheck не сообщают каких-либо технических подробностей об этой атаке, японский ИБ-исследователь Масафуми Негиши пишет, что хакеры подменили основную запись DNS для домена coincheck.com.
Для управления DNS биржа использует сервис Amazon, и, по данным эксперта, хакеры зарегистрировали похожий домен на сервере AWS и заменил оригинальный awsdns-61.org на awsdns-061.org в бэкэнде Oname.com. Это позволило им управлять DNS-запросами для портала Coincheck.
Интересно, что злоумышленники не использовали ситуацию для перенаправления всего трафика биржи на сайт-клон. Ведь такую атаку обнаружили бы практически сразу. Вместо этого хакеры рассылали фишинговые письма определенным пользователям, выдавая себя за домен coincheck.com и перенаправляя ответы на свои собственные серверы.
Судя по всему, хакеры обращались к клиентам Coincheck с просьбой верифицирвоать информацию об учетной записи, ведь эти данные злоумышленники могли использовать для взлома учетных записей и кражи средств.
Coincheck сообщает, что около 200 клиентов взаимодействовали с хакерами, полагая, что общаются с официальными сотрудниками биржи. Представители Coincheck подчеркивают, что пока нет никаких свидетельств того, что хакеры использовали полученную от пользователей информацию для взлома учетных записей и кражи средств.
Также нужно отметить, что сегодня, 4 июня 2020 года, еще один японский обменник криптовалюты, Bitbank, тоже сообщил о взломе. Причем и в этом случае злоумышленники тоже действовали через компрометацию учетной записи Oname. Можно смело предположить, что за обеими атаками стоят одни и те же люди.
Напомню, что Coincheck не первый раз страдает от хакерской атаки. В 2018 году биржу уже взламывали. Тогда злоумышленники похитили у компании криповалюту NEM (XEM) на сумму, превышающую полмиллиарда долларов, и руководство Coincheck приняло решение выплатить компенсации всем пострадавшим. Взлом Coincheck до сих пор остается самой крупной атакой на криптовалютную биржу в истории.