Hakerzy z grupy Lazarus przez pół roku szukali słabych punktów CoinsPaid

Estoński dostawca usług płatności kryptowalutowych CoinsPaid odkrył, że hakerzy ze znanej grupy Lazarus, która jest opłacana przez rząd Korei Północnej, spędzili sześć miesięcy na badaniu platformy, zanim ostatecznie zaatakowali 22 lipca.

Grupa Lazarus skrupulatnie przygotowywała się do ataku

ConsPaid współpracowało ostatnio z firmą Match Systems zajmującą się bezpieczeństwem cybernetycznym. Wszystko to, by śledzić kroki sprawców niemal minuta po minucie. W komunikacie prasowym udostępnionym przez „CryptoPotato” poinformowano, że hakerzy z Lazarus Group spędzili pół roku próbując zinfiltrować systemy CoinsPaid i znaleźć luki w zabezpieczeniach.

Firma przyznała, że od marca do lipca była celem ciągłych, głównie nieudanych ataków różnego rodzaju. Hakerzy stosowali socjotechniki, ataki DDos i BruteForce (to technika łamania haseł lub kluczy kryptograficznych).

W pewnym momencie do inżynierów firmy odezwał się nawet pewien podmiot podający się za ukraiński startup zajmujący się przetwarzaniem kryptowalut. Przesłał do nich szereg zapytań związanych z infrastrukturą platformy. Była to próba wyłudzenia kluczowych informacji.

Z kolei w kwietniu i maju br. CoinsPaid zauważyło aż cztery znaczące ataki na swoje systemy. Miały one na celu uzyskanie nieautoryzowanego dostępu do kont należących zarówno do pracowników firmy, jak i jej klientów. Owe działania “spamowe i phishingowe” miały być “ciągłe i bardzo agresywne”.

To nie koniec. W czerwcu i lipcu hakerzy próbowali włamać się do systemów za pomocą… fikcyjnych ofert pracy. To znana metoda, w ramach której próbuje się wgrać wirusa na komputer osoby, której oferuje się pracę. To najczęściej próba ataku na ważniejszych informatyków w danej firmie.

Przestępcy przeprowadzili ostatecznie 7 lipca atak na infrastrukturę i aplikację CoinsPaid. Ten miał miejsce między 20:48 a 21:42 i był związany z bezprecedensowym wzrostem aktywności w sieci. Zaangażowano w jego ramach ponad 150 000 różnych adresów IP.

Dopiero 22 lipca hakerom udało się włamać do infrastruktury firmy, co przyniosło straty w wysokości 37,5 miliona USD.

Jak udało się przeprowadzić atak?

Atakujący, by uzyskać dostęp do komputera pewnego pracownika, wykorzystali różne techniki socjotechniczne. Ten drugi miał odpowiedzieć na ofertę pracy osoby, która podszywała się pod rekrutera Crypto.com. Następnie otrzymał zadanie testowe, które wymagało zainstalowania aplikacji. Ta była de facto wirusem. W efekcie hasła dostępowe pracownika zostały skradzione z jego komputera. Pomogło to we włamie.

Wewnętrzne środki bezpieczeństwa uruchomiły system alarmowy i pozwoliły nam szybko zatrzymać złośliwą aktywność i wyrzucić hakerów z systemów firmy

– przekazało CoinsPaid, które stwierdziło ponadto, że przestrzegało środków KYC i wykorzystywało różne systemy oceny ryzyka do wykrywania podejrzanych działań. Mimo tego sprawcom udało się ukraść i wyprać skradzione środki.

Zgodnie z danymi z 2022 r. hakerzy z grupy Lazarus ukradli od 2017 r. zasoby cyfrowe o wartości ponad 1 miliard USD.