Η ιαπωνική υπηρεσία cryptocurrency exchange, Coincheck, ανακοίνωσε ότι έπεσε θύμα hacking επίθεσης. Οι επιτιθέμενοι παραβίασαν ένα από τα domain names της και το χρησιμοποίησαν για spear-phishing επιθέσεις σε πελάτες της υπηρεσίας.
Η Coincheck διέκοψε κάποιες από τις υπηρεσίες στην πλατφόρμα της την Τρίτη, για να ερευνήσει το περιστατικό παραβίασης. Άλλες δραστηριότητες, όπως οι αναλήψεις και οι καταθέσεις, δεν έχουν αποκλειστεί.
Σύμφωνα με μια αναφορά που δημοσιεύτηκε την Τρίτη, η εταιρεία δήλωσε ότι η αρχική επίθεση πραγματοποιήθηκε την Κυριακή 31 Μαΐου. Οι hackers απέκτησαν πρόσβαση στον λογαριασμό της Coincheck στο Oname.com (καταχωρητής domain της εταιρείας).
Η Cοincheck δεν παρείχε τεχνικές λεπτομέρειες για την επίθεση. Ωστόσο, ο Ιάπωνας ερευνητής ασφαλείας Masafumi Negishi είπε ότι οι επιτιθέμενοι τροποποίησαν το βασικό DNS entry για το coincheck.com domain της Coincheck.
TikTok: Μήνυση από 13 πολιτείες γιατί βλάπτει τα παιδιά
Τι πρέπει να ελέγξετε πριν σαρώσετε ένα QR code;
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Η Coincheck χρησιμοποιεί την υπηρεσία DNS της Amazon. Αυτό σημαίνει ότι ένας Amazon DNS server χειριζόταν τις διάφορες διαδικασίες.
Σύμφωνα με τον Masafumi, οι hackers καταχώρησαν ένα παρόμοιο domain στον AWS server και αντικατέστησαν τον αρχικό awsdns-61.org με το awsdns-061.org (επιπλέον 0 μπροστά από το 61) μέσα στο backend του Oname.com. Αυτό επέτρεψε στους επιτιθέμενους να διαχειριστούν DNS queries για το Coincheck portal.
Οι hackers δεν χρησιμοποίησαν αυτήν την πρόσβαση για να ανακατευθύνουν ολόκληρο το traffic της υπηρεσίας σε έναν “κλώνο Coincheck”, γιατί μια τέτοια επίθεση θα γινόταν αμέσως αντιληπτή.
Έτσι, άρχισαν να στέλνουν spear-phishing emails σε συγκεκριμένους χρήστες. Τα emails προέρχονταν υποτίθεται από το coincheck.com domain. Στην πραγματικότητα, οι απαντήσεις των χρηστών στέλνονταν σε servers των hackers.
Η Cοincheck είπε ότι εντόπισε την επίθεση, όταν παρατήρησε κάποιες “ανωμαλίες” στο traffic. Οι επιτιθέμενοι είχαν πρόσβαση στο domain της εταιρείας μέχρι τη Δευτέρα 1 Ιουνίου 20:52, ώρα Τόκιο.
Πιστεύεται ότι οι hackers ζήτησαν στους χρήστες–θύματα να επαληθεύσουν τις πληροφορίες λογαριασμού τους μέσω των spear-phishing emails. Στη συνέχεια, θα μπορούσαν να χρησιμοποιήσουν τα στοιχεία για να κλέψουν χρήματα ή να πραγματοποιήσουν άλλες επιθέσεις.
Σύμφωνα με την Coincheck, οι hackers επικοινώνησαν τουλάχιστον με 200 πελάτες.
Προς το παρόν, δεν γνωρίζουμε αν οι hackers χρησιμοποίησαν με κάποιο τρόπο τα στοιχεία που απέκτησαν μέσω των spear-phishing emails.
Το 2018, η exchange υπηρεσία είχε πέσει θύμα hacking επίθεσης και είχε χάσει 500 εκατομμύρια δολάρια.