I dettagli di un recente cyberattacco a Coinbase, la popolare azienda di scambio di criptovalute, mettono in luce capacità di attacco pari a quelle di chi è fiancheggiato da uno stato.
di Mike Orcutt
A maggio, quando più di una dozzina di dipendenti di Coinbase hanno ricevuto un’e-mail da un amministratore dell’Università di Cambridge nel Regno Unito, nulla in questo messaggio ha suscitato preoccupazioni.
Un certo Gregory Harris, che sosteneva di essere un “responsabile di assegni di ricerca” di una università, chiedeva ai destinatari delle e-mail un aiuto per giudicare i concorrenti per un premio in economia.
Alcuni dipendenti hanno scambiato altre e-mail con Harris nelle due settimane successive; apparentemente niente di male, ma non sapevano che tutto ciò faceva parte di un piano subdolo.
Chiunque si celasse dietro questo account stava adottando una strategia a lungo termine, con l’obiettivo di guadagnare l’accesso alla rete back-end di Coinbase e rubare alcuni miliardi di dollari di criptovaluta che l’azienda gestisce per conto dei suoi utenti.
Il 17 giugno l’hacker ha inviato un’altra e-mail. Questa volta conteneva un URL che, se aperto nel browser Firefox, avrebbe installato malware in grado di prendere il controllo del computer dell’utente. Secondo il team di sicurezza di Coinbase, questa mossa faceva parte di un attacco “sofisticato e organizzato da lungo tempo”.
I dettagli recentemente pubblicati forniscono un quadro accurato dell’anatomia di un attacco a una azienda di scambi di beni digitali. Il team di Coinbase è riuscito a rilevare e bloccare l’attacco prima che i fondi venissero rubati, ma nel frattempo si è capito di avere a che fare con un nemico estremamente abile.
Ciò che ha reso unico l’attacco, afferma Philip Martin, il responsabile della sicurezza dei dati aziendali, sono stati gli alti costi sostenuti e le grandi capacità organizzative. “Un segnale chiaro dell’attenzione che gli hacker stanno rivolgendo al mondo delle criptovalute”, egli dice.
Si trattava di professionisti sofisticati che operavano con un budget elevato, continua Martin, perchè hanno sfruttato due bug precedentemente sconosciuti, noti anche come vulnerabilità “zero-day”, nel browser Firefox di Mozilla.
Non è noto se gli hacker abbiano scoperto queste vulnerabilità o in qualche modo ne siano venuti a conoscenza. Per sfruttare le vulnerabilità zero-day servono soldi e hacker altamente qualificati. Martin stima che il lancio dell’attacco sia costato tra mezzo milione e un milione di dollari.
Samuel Groß, un ricercatore del Project Zero di Google, un team di sicurezza dedicato specificamente alla ricerca di vulnerabilità zero-day, sembra aver scoperto in modo indipendente uno dei bug utilizzati dagli aggressori.
Lo ha segnalato a Mozilla il 15 aprile. Il secondo bug è apparso il 12 maggio, dopo che è stata apportata una modifica alla base di codice di Firefox. Mozilla ha rilasciato patch per entrambi.
La rapidità della “scoperta dell’attacco” ha impressionato Martin, che in precedenza ha lavorato come responsabile della sicurezza dei dati di Palantir. Ma ancor più è stato colpito dalle strategie raffinate di chi ha portato avanti l’attacco.
Utilizzando indirizzi e-mail accademici manipolati, gli aggressori hanno superato gli strumenti di filtro e rilevamento della normale spam. La corrispondenza successiva tra gli hacker e le loro vittime ha avuto luogo nel corso di più settimane.
La maggior parte delle persone prese di mira pensava di intrattenere una vera interazione umana: i messaggi erano personali e facevano riferimento a situazioni reali. A quanto pare, gli aggressori hanno creato pagine LinkedIn per le loro false identità.
Smascherare i cyber-aggressori è notoriamente difficile, anche se il team di Martin ritiene che i responsabili facciano parte di HYDSEVEN, un gruppo di hacker che è stato collegato a diversi attacchi ad aziende di scambio di criptovalute a partire dal 2016.
Non si sa molto del gruppo, a parte la sua predilezione per i furti delle monete digitali, e il legame ad alcuni attacchi in Giappone e Polonia, almeno secondo un recente rapporto di LAC, un’azienda giapponese che si occupa di sicurezza.
Dal momento che rubano denaro, invece di condurre azioni di spionaggio o perseguire qualche obiettivo di tipo militare, Martin afferma che sono probabilmente un gruppo criminale, a differenza di quelli sponsorizzati da uno stato. Ma questa affermazione non sembra poi così vera.
Secondo un recente documento delle Nazioni Unite, la Corea del Nord è riuscita a guadagnare circa 2 miliardi di dollari prendendo di mira banche e servizi di scambi con attacchi informatici “diffusi e sempre più sofisticati“.
Oggi, in termini di capacità, non esiste una netta distinzione tra hacker sponsorizzati da uno stato e gruppi criminali più sofisticati. In entrambi i casi, conclude Martin, attacchi come questo dimostrano che le aziende di scambi di criptovalute devono essere preparate a respingere cyberattacchi sofisticati che possono sfruttare vulnerabilità precedentemente sconosciute.
(rp)