<Se han evitado miles de millones de dólares de piratería informática con un fracaso y Coinbase ha logrado detener en su camino la operación bien planeada y sofisticada. Durante semanas, a partir de mayo, un grupo de hackers apodado CRYPTO3/HYDSEVEN envió un correo electrónico inofensivo a unos 200 empleados de Coinbase. Los correos electrónicos fueron enviados desde cuentas comprometidas pertenecientes a la Universidad de Cambridge del Reino Unido. "Las identidades asociadas con las cuentas de correo electrónico casi no tienen presencia en línea", dice Coinbase.
Así que la propia Universidad de Cambridge podría haber sido pirateada. Allí, “prepararon una serie de páginas clonando y modificando las páginas existentes de la Universidad de Cambridge y poniéndolas a disposición en los directorios de almacenamiento personal de las cuentas controladas por los atacantes”. Con la fachada preparada, alguien llamado Gregory Harris afirmó que era un administrador de becas de investigación y quería que los empleados de Coinbase ayudaran a juzgar a los concursantes para un premio de economía.
Después de ganar algo de confianza para hacerlo todo creíble, los hackers descubrieron los objetivos más valiosos a través de la ingeniería social, compartiendo enlaces inofensivos a la página del concurso en preparación para hacer que hicieran clic en la carga útil de explotación. Eso fue enviado a sólo cinco empleados de Coinbase con dos exploits de día cero de Firefox utilizados, descritos como: “Uno que permitía a un atacante escalar privilegios desde JavaScript en una página al navegador (CVE-2019-11707) y otro que permitía al atacante escapar de la caja de arena del navegador y ejecutar código en el ordenador central (CVE-2019-11708).
” El segundo “sólo ha sido posible desde el 12 de mayo. Esto indica un ciclo muy rápido de descubrimiento a armamento por parte del atacante”, dice Coinbase. También podría indicar una planificación muy rápida, ya que quizás a través de este método hackearon primero la Universidad de Cambridge, con este grupo de hackers aparentemente moviéndose bastante rápido. Coinbase dice que “se siente como el trabajo de un grupo que tiene una experiencia significativa en el desarrollo de hazañas”, con un empleado que termina haciendo clic en.
En ese momento “revocaron todas las credenciales que estaban en la máquina, y bloquearon todas las cuentas pertenecientes al empleado afectado”. También dicen que “las operaciones de seguridad de Coinbase recibieron una serie de alertas sobre la actividad inusual de los puntos finales”, con el intercambio de criptografía y el corredor necesariamente sin dar muchos detalles sobre cómo detuvieron este pirateo, excepto para decir: “Pudimos defendernos de este ataque gracias a nuestra cultura de seguridad en Coinbase, el despliegue completo de nuestras herramientas de detección y respuesta, libros de jugadas claros y bien practicados, y la capacidad de revocar rápidamente el acceso.
” La razón por la que pensaron que era conveniente hacer público a este público no está clara porque, como un intercambio muy prominente, muchos asumieron que estaban siendo atacados. La pregunta siempre fue si alguien tendrá éxito. No lo han hecho hasta ahora y espero que nunca lo hagan.
.