ΑρχικήsecurityΟι hacker της TalkTalk εισέβαλαν και στην EtherDelta

Οι hacker της TalkTalk εισέβαλαν και στην EtherDelta

Οι αρχές των ΗΠΑ κατηγορούν δύο υπόπτους για το hacking της EtherDelta (εταιρείας cryptocurrency exchange) που πραγματοποιήθηκε τον Δεκέμβριο του 2017, αλλάζοντας τις ρυθμίσεις DNS του website και κάνοντας redirect το traffic σε έναν κλώνο, όπου κατέγραφαν τα credentials του χρήστη και στην συνέχεια έκλεβαν χρήματα των πελατών. Ένας από τους δύο υπόπτους είναι ο Elliott Gunton, επίσης γνωστός ως “Glubz”, ένας 20χρονος από το Ηνωμένο Βασίλειο, γνωστός για τη συμμετοχή του στο hacking της TalkTalk. Ο άλλος είναι ο Anthony Tyler Nashatka, επίσης γνωστός ως “psycho”, που μένει στην Νέα Υόρκη. Και οι δύο μέσα σε μια εβδομάδα, πήγαν από την αγορά ενός τηλεφωνικών αριθμών υπαλλήλων της EtherDelta στην μαύρη αγορά, στο να κλέψουν χρήματα από χιλιάδες χρήστες της EtherDelta.

EtherDelta

Ο Hacker απέκτησε τα προσωπικά στοιχεία του CEO της Etherdelta

Σύμφωνα με τα έγγραφα του δικαστηρίου όλα φαίνεται να ξεκίνησαν στις 13 Δεκεμβρίου, όταν ο Nashakta αγόρασε τα προσωπικά στοιχεία ενός υπαλλήλου της EtherDelta. Τα δεδομένα που πιστεύεται ότι έχουν αποκτηθεί περιείχαν τον τηλεφωνικό αριθμό και την διεύθυνση ηλεκτρονικού ταχυδρομείου του υπάλληλου.

Ενώ τα έγγραφα του δικαστηρίου αναφέρουν αυτό τον υπάλληλο ως Z.C., αυτό το πρόσωπο πιστεύεται ότι είναι ο Zachary Coburn, ο CEO της εταιρείας, αφού μόνο οι λογαριασμοί του θα επέτρεπαν στον hacker να κάνει ότι έκανε στην συνέχεια.

Τα δικαστικά έγγραφα δεν λένε αν ο Nashakta είχε ως στόχο συγκεκριμένα τα δεδομένα του Coburn επειδή ήταν ο Διευθύνων Σύμβουλος της EtherDelta ή αν ο hacker τα βρήκε καταλάθος και μετά συνειδητοποίησε ποιος ήταν.  Ωστόσο, αργότερα, αναγνώρισε την αξία των λεπτομερειών που απέκτησε, ο Nashakta επικοινώνησε με τον Gunton και σχεδίασε να καταλάβει τους λογαριασμούς του ClouDD και του DreamHost της EtherDelta.

Οι hacker προώθησαν τις κλήσεις από τον τηλεφωνικό αριθμό του CEO

Τα έγγραφα του δικαστηρίου αποκαλύπτουν ότι ο Gunton με κάποιο τρόπο κατόρθωσε να πείσει έναν χειριστή κινητής τηλεφωνίας να προσθέσει έναν αριθμό προώθησης κλήσης στον λογαριασμό κινητής τηλεφωνίας του Coburn.

Αυτό σήμαινε ότι όλες οι εισερχόμενες κλήσεις για το τηλέφωνο του Coburn θα προωθούνταν ήσυχα ήσυχα σε έναν αριθμό Google Voice οπότε και οι δύο θα λάμβαναν τις κλήσεις.

Ο Gunton και ο Nashatka δεν έχασαν καθόλου χρόνο και χρησιμοποίησαν αμέσως τη δυνατότητα προώθησης κλήσεων για να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων (2FA) στο λογαριασμό EtherDelta (admin) του Coburn.

Μια μέρα αργότερα, στις 20 Δεκεμβρίου, ξεκίνησαν να οργανώνουν το hacking τους.  Ξεκίνησαν πρώτα με την τροποποίηση των ρυθμίσεων DNS στην πύλη G Suite της εταιρείας και με το redirection της επισκεψιμότητας του Gmail μέσω ενός server στο Ηνωμένο Βασίλειο που κατείχαν, επιτρέποντας τους να παρακολουθήσουν και να αποκρύψουν ορισμένα email.

Το επόμενο βήμα ήταν να επαναφέρουν τον κωδικό πρόσβασης στον λογαριασμό Cloudflare της EtherDelta, να ανακτήσουν το link επαναφοράς από τα email του Coburn και να αποκτήσουν πρόσβαση στο λογαριασμό Cloudflare ως νέοι ιδιοκτήτες, αλλάζοντας τον κωδικό πρόσβασης και κλειδώνοντας έξω τους άλλους υπαλλήλους της εταιρείας.

Το τελευταίο βήμα ήταν να αλλάξουν τις εγγραφές DNS της EtherDelta μέσα στον λογαριασμό Cloudflare και να προσθέσουν καινούριες, με το επίσημο website της EtherDelta να βρίσκεται πια στον webserver τους. Εδώ, οι δύο hacker φιλοξένησαν έναν κλώνο του αρχικού ιστότοπου, αλλά και έναν που κατέγραφε τα credentials των χρηστών.

Το redirection των DNS εντοπίστηκε λίγες ώρες αργότερα και φυσικά κυκλοφόρησε ως είδηση σε όλα τα μέσα μαζικής ενημέρωσης.

Αφού το σχέδιο τους αποκαλύφθηκε, φυσικά προχώρησαν στο να κλέψουν χρήματα από τους χρήστες. Ενώ τα έγγραφα του δικαστηρίου δεν αναφέρουν το συνολικό ποσό που έκλεψαν, ένα θύμα αναφέρει ότι έχασε περισσότερα από 800.000 δολάρια.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS