加密货币交易所Coinbase透露,其成为了“一场复杂的、高度有针对性的、有组织、有计划的攻击”的目标,但其已经成功阻止了这场攻击。这次攻击的目标是入侵该交易所的系统,可能是为了盗取其持有的价值数十亿美元的加密货币。
Coinbase公布了这场攻击的技术细节以及其如何应对这次盗窃活动。Coinbase说,黑客采取了多种方式,试图蒙骗该交易所的员工以进入重要的系统——其采用的方式包括钓鱼攻击、社交工程以及浏览器零时差攻击。
这场攻击始于5月30日,十几名员工收到了据称来自剑桥大学研究基金管理人员Gregory Harris的电子邮件。这些邮件并不是随机的,而是准确说出了这些员工过去的经历,并要求他们帮忙评价一些项目,以进行评比。
攻击者与几名Coinbase员工开始进行邮件往来,直到6月17日“Harris”才开始发送恶意代码。当天,“Harris”又发送了一封邮件,其中包含一个URL,当这个URL在Firefox浏览器中打开时,将安装能够接管他人电脑的恶意软件。
Coinbase说,“在几个小时内,Coinbase安全部门发现并阻止了这次攻击。”
攻击的第一阶段首先确定了目标机器上的操作系统和浏览器,向没有使用Firefox浏览器的macOS用户显示了一个“很难辨别出真假的错误”,并提示他们安装最新版本的应用程序。
一旦Firefox访问了通过电子邮件发送的URL,攻击代码就会从5月28日注册的另一个域名发出。Coinbase说,正是在这个时候,“根据一名员工的报告和自动警报”确定了这次攻击。
经分析发现,第二阶段将会出现另一种恶意负载,其形式是以Mac为目标的后门恶意软件Mokes的进化版。
Coinbase解释说,本次攻击采用了两次独立的Firefox零时差漏洞:“一个允许攻击者升级浏览器页面上的JavaScript权限,另一个是允许攻击者躲过主机上的浏览器沙箱和执行代码”。
Coinbase相关人员表示:
“我们不知道攻击者是什么时候取得了剑桥账户的访问权,也不知道这些账户是被接管还是重新创建的。正如其他人所指出的,与电子邮件账户相关的身份几乎在网上是找不到的,而领英上的个人资料几乎肯定是假的。”
网友评论