Η εταιρεία ασφαλείας ClearSky δημοσίευσε μια έκθεση στην οποία αναφέρει ότι μια hacking ομάδα (πιθανότατα από την Ανατολική Ευρώπη) έχει κλέψει περίπου 200 εκατομμύρια δολάρια από online cryptocurrency exchange υπηρεσίες. Ο Or Blatt, επικεφαλής της ερευνητικής ομάδας στην ClearSky, δήλωσε ότι η εταιρεία παρακολουθεί τη συγκεκριμένη hacking ομάδα αρκετό καιρό. Η ομάδα λέγεται CryptoCore και δραστηριοποιείται από το 2018.
Οι ερευνητές έχουν συνδέσει την CryptoCore με τουλάχιστον πέντε επιτυχημένες παραβιάσεις και έχουν δει απόπειρες επίθεσης σε 10-20 exchange υπηρεσίες.
Τα πέντε επιβεβαιωμένα θύματα βρίσκονται στις Ηνωμένες Πολιτείες, την Ιαπωνία και τη Μέση Ανατολή. Ωστόσο, η εταιρεία δεν έδωσε τα ονόματα των θυμάτων.
Η ClearSky λέει ότι ορισμένες από τις επιχειρήσεις της CryptoCore έχουν προηγουμένως συζητηθεί σε μεμονωμένες εκθέσεις που προσδιορίζουν την ομάδα ως “Dangerous Password” and “Leery Turtle [PDF]“. Ωστόσο, η ClearSky λέει ότι οι δραστηριότητες της ομάδας είναι πιο εκτεταμένες απ’ ότι πίστευαν στην αρχή.
Οι ίδιες τεχνικές κατά τα τελευταία περίπου τρία χρόνια
Η hacking ομάδα είναι ενεργή εδώ και περίπου δυόμισι χρόνια, αλλά σύμφωνα με την ClearSky, χρησιμοποιεί τις ίδιες τακτικές όλο αυτόν τον καιρό, με μικρές μόνο διακυμάνσεις.
Η ClearSky λέει ότι όλες οι επιθέσεις ξεκινούν με συλλογή δεδομένων. Σε αυτό το στάδιο, οι hackers κλέβουν τις απαραίτητες λεπτομέρειες για να στοχεύσουν τη διαχείριση της exchange υπηρεσίας, το IT προσωπικό και άλλους υπαλλήλους.
Οι πρώτες phishing επιθέσεις γίνονται συνήθως σε προσωπικούς email λογαριασμούς και όχι σε εταιρικούς, καθώς είναι πιο πιθανό να είναι λιγότερο ασφαλείς.
Ωστόσο, οι hackers της CryptoCore θα προσπαθήσουν να στοχεύσουν και εταιρικά emails.
“Είναι θέμα ωρών ή εβδομάδων έως ότου το spear-phishing email φτάσει στο εταιρικό email του διευθυντή μιας exchange υπηρεσίας”, δήλωσε ο ClearSky.
Οι hackers στέλνουν το spear-phishing email και παρουσιάζονται ως υψηλόβαθμα στελέχη είτε του ίδιου του οργανισμού είτε άλλου οργανισμού με τον οποίο υπάρχει συνεργασία.
Ο τελικός στόχος είναι η εγκατάσταση κακόβουλου λογισμικού στον υπολογιστή ενός υπαλλήλου ή ενός διαχειριστή και η κλοπή ή απόκτηση πρόσβασης σε password manager account. Οι επιτιθέμενοι της CryptoCore θα χρησιμοποιήσουν αυτούς τους κωδικούς πρόσβασης για να μπουν σε λογαριασμούς και πορτοφόλια. Θα απενεργοποιήσουν τα συστήματα ελέγχου ταυτότητας δύο παραγόντων και θα ξεκινήσουν τη μεταφορά χρημάτων από τα πορτοφόλια των exchange υπηρεσιών στα δικά τους.
Η CryptoCore είναι η δεύτερη οργανωμένη ομάδα που έχει στοχεύσει επανειλημμένα τις exchange υπηρεσίες τα τελευταία 3 χρόνια. Συνήθως, οι hackers που χρηματοδοτούνται από το κράτος της Βόρειας Κορέας αποτελούν τη μεγαλύτερη απειλή γι’ αυτές τις υπηρεσίες.