Ein versuchter Überfall auf Coinbase war beängstigend gut, auch wenn er fehlschlug

Eine Illustration einer Hand, die auf einem Computerbildschirm nach Münzen greift

Eine Illustration einer Hand, die auf einem Computerbildschirm nach Münzen greift Frau, Technik; Originalbilder: Pexels





Als mehr als ein Dutzend Mitarbeiter von Coinbase im Mai eine E-Mail von einem Administrator der University of Cambridge in Großbritannien erhielten, ließ nichts an der Nachricht Alarm schlagen. Jemand namens Gregory Harris, der sagte, er sei Verwalter von Forschungsstipendien an der Universität, sagte den Empfängern, er brauche ihre Hilfe bei der Beurteilung der Kandidaten für einen Wirtschaftspreis.

Einige der Mitarbeiter tauschten in den nächsten zwei Wochen weitere E-Mails mit diesem Konto aus; immer noch nichts verkehrt. Sie wussten nicht, dass dies alles Teil eines hinterhältigen Plans war.

Wer auch immer wirklich hinter diesem Konto steckte, spielte ein langes Spiel mit dem Ziel Zutritt verschaffen an das Back-End-Netzwerk von Coinbase und stehlen einige der Kryptowährungen im Wert von mehreren Milliarden Dollar, die das Unternehmen im Namen seiner Benutzer speichert. Am 17. Juni schickte der Angreifer eine weitere E-Mail. Dieses Mal enthielt es eine URL, die, wenn sie im Firefox-Browser geöffnet würde, Malware installieren würde, die den Computer des Benutzers übernehmen könnte. Laut dem Sicherheitsteam von Coinbase war es Teil eines ausgeklügelten, sehr gezielten Angriffs.



Neu veröffentlichte Einzelheiten geben einen seltenen Einblick in die Anatomie eines Angriffs auf eine Kryptowährungsbörse. Dem Coinbase-Team gelang es, den Angriff zu erkennen und zu blockieren, bevor Gelder gestohlen wurden, aber dabei stellten die Verteidiger fest, dass sie es mit einem äußerst geschickten Feind zu tun hatten.

Das Einzigartige an dem Angriff, sagt Philip Martin, Chief Information Security Officer des Unternehmens, waren die reinen Kosten und der ungewöhnlich hohe Aufwand dahinter. Es unterstreicht für mich wirklich, wie ernst die Angreifer den Raum [Kryptowährung] nehmen, sagt er.

Das waren erfahrene Profis, die mit einem großen Budget arbeiteten, sagt Martin. Das zeigt sich daran, dass sie zwei separate, bisher unbekannte Fehler – auch bekannt als Zero-Day-Schwachstellen – in Mozillas Firefox-Browser ausgenutzt haben. Es ist nicht bekannt, ob die Angreifer in diesem Fall diese Schwachstellen entdeckt oder sich diese irgendwie angeeignet haben. Browser-Zero-Days sind im Allgemeinen nicht billig, sagt Martin, und um sie auszunutzen, sind hochqualifizierte Hacker erforderlich. Martin schätzt, dass der Start des Angriffs zwischen einer halben und einer Million Dollar gekostet hat.



Samuel Groß, ein Forscher bei Googles Project Zero, einem Sicherheitsteam, das sich speziell der Suche nach Zero-Day-Schwachstellen widmet, scheint es unabhängig entdeckt zu haben einer der Bugs, die die Angreifer benutzten . Er meldete ihn am 15. April an Mozilla. Der zweite Fehler trat auf, nachdem am 12. Mai eine Änderung an der Codebasis von Firefox vorgenommen wurde. Mozilla hat Patches für beide herausgegeben.

Die schnelle Geschwindigkeit von der Entdeckung bis zur Bewaffnung in diesem Fall beeindruckte Martin, der zuvor als Leiter der Informationssicherheit von Palantir tätig war. Aber es war das wirklich, wirklich, wirklich hochwertige Social Engineering des Angriffs, das ihm am meisten auffiel: Das ist die größte Anstrengung, die ich in der Social-Engineering-Phase gesehen habe, Punkt.

Durch die Verwendung kompromittierter akademischer E-Mail-Adressen schlüpften die Angreifer an gängigen Filter- und Spam-Erkennungstools vorbei. Die anschließende Korrespondenz zwischen den Angreifern und ihren Zielen fand im Laufe von Wochen statt. Die meisten der Zielpersonen dachten, sie hätten eine echte menschliche Interaktion – die Nachrichten wurden persönlich und verwiesen auf den Hintergrund der Personen, die gephishing wurden. Die Angreifer haben offenbar sogar LinkedIn-Seiten für ihre gefälschten Identitäten erstellt.



Die Entlarvung von Cyber-Angreifern ist notorisch schwierig, aber Martins Team glaubt, dass eine schattenhafte Gruppe namens HYDSEVEN, die seit 2016 mit mehreren Angriffen auf Krypto-Börsen in Verbindung gebracht wird, schuld sein könnte. Über die Gruppe ist nicht viel bekannt, außer ihrer Affinität zum Klauen digitaler Münzen, aber laut a letzten Bericht von der japanischen Sicherheitsfirma LAC wurde HYDSEVEN auch mit Angriffen in Japan und Polen in Verbindung gebracht.

Da sie Geld stehlen, anstatt Spionage zu betreiben oder ein anderes militärisches Ziel zu verfolgen, sagt Martin, dass sie wahrscheinlich eine kriminelle Gruppe sind, im Gegensatz zu einer staatlich geförderten. Es ist jedoch auch bekannt, dass staatlich unterstützte Hacker den Austausch von Kryptowährungen ins Visier nehmen – laut einem neuen UN-Bericht hat Nordkorea schätzungsweise 2 Milliarden US-Dollar damit generiert weit verbreitet und immer raffinierter Cyberangriffe, um Banken und Kryptowährungsbörsen zu stehlen.

In Bezug auf ihre Fähigkeiten gibt es keinen scharfen Unterschied zwischen staatlich geförderten Hackern und den raffiniertesten kriminellen Gruppen von heute, sagt Martin. Wie auch immer, Angriffe wie dieser zeigen, dass Kryptowährungsunternehmen darauf vorbereitet sein müssen, hochqualifizierte Angreifer abzuwehren, die zuvor unbekannte Schwachstellen ausnutzen könnten, sagt er: Da dieser Raum weiter wächst und sich entwickelt und an Zugkraft gewinnt, wird er auch immer mehr an Zugkraft gewinnen raffiniertere Angreifer.



verbergen