Компания CoinsPaid в сотрудничестве с Match Systems провела детальное расследование недавней атаки Lazarus Group, в ходе которого получилось определить детали взлома и выявить способы отмывания украденных средств.
CoinsPaid, крупнейший в мире провайдер криптовалютных платежей, раскрыл результаты расследования недавней атаки Lazarus Group на свою инфраструктуру. Расследование было проведено в сотрудничестве с компанией Match Systems. В результате получилось сопоставить разрозненные события, которые показали, что хакеры примерно полгода изучали CoinsPaid и отслеживали особенности работы платежных сервисов компании. Также получилось поминутно отследить действия хакеров во время атаки и определить, какие сервисы и платформы использовались для отмывания украденных средств.
Так, атаки на компанию фиксировались начиная с марта 2023 года. Для поиска уязвимостей использовались методы DDos и BruteForce. К примеру, массированная атака на инфраструктуру и приложения CoinsPaid была зафиксирована 7 июля. В течение часа наблюдалась аномальная сетевая активность, в атаке было задействовано более 150 000 различных IP-адресов.
Также активно использовалась социальная инженерия. В течение весны хакеры различными способами выясняли детали технической инфраструктуры. К примеру, одна из попыток получить такую информация была замаскирована под запрос от украинского стартапа по обработке криптовалют.
Методы социальной инженерии также включали в себя агрессивные спам-рассылки и фишинг, нацеленные на получение доступа к аккаунтам членов команды и клиентов CoinsPaid. В июне-июле хакеры приступили к фальшивому найму критически важных сотрудников компании, рассылая предложения на LinkedIn и через различные мессенджеры.
Фальшивые рекрутеры рассылали предложения о работе с заработной платой от $16 000 до $24 000 в месяц. В процессе собеседования «кандидатов» различными методами уговаривали установить JumpCloud Agent или специальную программу для выполнения технического задания, которые содержали вредоносное ПО. В отчете отмечается, что JumpCloud, вероятно, была взломана хакерами в июле 2023 года, специально для атак на криптовалютные компании.
Стоит отметить, что все действия были тщательно спланированы, выглядели крайне правдоподобно и не вызывали у жертв никаких сомнений. Именно для формирования подобных условий хакеры в течении полугода изучали CoinsPaid, собирая информацию о структуре и технических особенностях компании. В итоге, 22 июля 2023 года хакерам удалось успешно атаковать инфраструктуру компании. Они сумели получить доступ к компьютеру одного из сотрудников и заполучить данные для установления соединения с инфраструктурой CoinsPaid, после чего открыли бэкдор, воспользовавшись уязвимостью в кластере.
В отчете отмечается, что системы CoinsPaid извне взломать оказалось невозможно. Не смогли злоумышленники и взломать горячие кошельки CoinsPaid, получив закрытые ключи для прямого доступа к средствам. Но бэкдор и тщательная техническая подготовка позволила им воспроизвести авторизованные запросы на вывод средств с горячих кошельков. Система воспринимала такие запросы как действительные, после чего они отправлялись в блокчейн для дальнейшей обработки. Спустя некоторое время внутренние инструменты безопасности подали сигнал о подозрительной активности, в результате чего уязвимость была устранена.
Сразу после атаки были привлечены специалисты Match Systems, которые провели комплекс оперативных мероприятий по отслеживанию и возможному замораживанию украденных средств. В результате получилось отследить всю цепочку транзакций, которые хакеры использовали для отмывания средств. Бóльшая часть активов, пройдя через своп-сервисы, миксеры и Avalanche Bridge, была выведена на адреса злоумышленников через сервис SwftSwap. В процессе они потеряли около 15% на комиссиях и волатильности. Работа по возврату украденных средств продолжается.
О причастности Lazarus Group свидетельствует использование тех же тактики взлома и схем отмывания денег, которые применялись в недавней атаке на Atomic Wallet.
В отчете CoinsPaid приводится более подробная информация, а также список рекомендаций, которые снизят вероятность подобных инцидентов в будущем. Компания также планирует провести специальное мероприятие с участием ключевых игроков рынка криптовалютных платежей, чтобы поделиться полученным опытом и способствовать минимизации последствий хакерских атак.
Стоит отметить, что социальная инженерия и фишинг являются главной угрозой кибербезопасности — такое мнение выразили 75% опрошенных специалистов в ходе исследования CS Hub. А специалисты из компании выявили, что в 2022 году количество фишинговых атак на крипторынке увеличилось на 40% по сравнению с предыдущим годом.