Криптовалютная биржа Coinbase сообщила, что неизвестный злоумышленник, стремящийся получить удаленный доступ к системам компании, похитил учетные данные одного из ее сотрудников.
В результате этой атаки хакер сумел получить «некоторую контактную информацию», принадлежащую сотрудникам Coinbase, но в компании подчеркнули, что средства и данные клиентов в полной безопасности, их инцидент не затронул.
«Средства киберреагирования Coinbase не позволили злоумышленнику получить прямой доступ к системе и предотвратили любые потери средств или компрометацию информации о клиентах. Был раскрыт лишь ограниченный объем корпоративных данных», — пишут в Coinbase.
Компания рассказала, что хакеры атаковали сразу нескольких сотрудников компании еще 5 февраля, с помощью SMS-уведомлений, призывающих жертв войти в учетные записи, якобы чтобы прочитать важное сообщение. Хотя большинство сотрудников проигнорировали эти сообщения, один из них попался на уловку мошенников и перешел по ссылке на фишинговую страницу, где ввел свои учетные данные.
На следующем этапе атаки злоумышленники попытались проникнуть во внутренние системы Coinbase, используя украденную информацию, но потерпели неудачу, поскольку доступ оказался защищен многофакторной аутентификацией (МФА).
Примерно через 20 минут злоумышленники перешли к другой тактике: они позвонили сотруднику, представившись ИТ-специалистами Coinbase, и велели жертве войти на свою рабочую станцию и выполнить ряд инструкции.
CSIRT Coinbase обнаружил необычную активность в течение примерно 10 минут после начала атаки и связался с жертвой, чтобы узнать о необычных действиях в ее учетной записи. В итоге сотрудник понял, что происходит нечто подозрительное, и прекратил общение с мошенником.
«К счастью, средства не были похищены, и никакая информация о клиентах не была доступна или просмотрена, однако [атакующими] была получена некоторая контактная информация наших сотрудников, в частности, имена сотрудников, адреса электронной почты и некоторые номера телефонов», — говорят в компании.
В своем отчете Coinbase поделилась некоторыми наблюдениями об этой атаке, которые могут пригодиться другим компаниям для выявления подобных инцидентов и защиты от них. Так, подозрительным стоит считать:
- любой трафик, исходящий из компании на определенные адреса, включая sso-*.com, *-sso.com, login.*-sso.com, dashboard-*.com и *-dashboard.com.
- любые загрузки или попытки загрузки определенных средств для просмотра удаленных рабочих столов, включая AnyDesk и ISL Online;
- любые попытки доступа к организации через стороннего провайдера VPN, в частности от Mullvad VPN;
- входящие телефонные звонки и текстовые сообщения от определенных провайдеров, включая Google Voice, Skype, Vonage/Nexmo и Bandwidth;
- любые неожиданные попытки установить определенные расширения браузера, включая EditThisCookie.
Специалист Equinix Уилл Томас добавляет, что еще ряд доменов, соответствующих описанию компании, возможно, использовались при атаке: sso-cbhq[.]com, sso-cb[.]com и coinbase[.]sso-cloud[.]com.
Стоит отметить, что эта атака весьма похожа на дело рук хак-группы 0ktapus, которая в прошлом году атаковала сотрудников Twilio и Cloudflare аналогичным образом. Напомню, что тогда в результате этой масштабной кампании была скомпрометирована 9931 учетная запись более чем в 130 организациях.