- Регистрация
- 19.04.20
- Сообщения
- 293
- Онлайн
- 13д 4ч 35м
- Сделки
- 0
- Нарушения
- 0 / 2
Исследователи из израильской компании ClearSky рассказали о хакерской группе CryptoCore, активной с 2018 года и специализирующейся на взломе криптовалютных бирж.
По информации специалистов, группировка базируется где-то в Восточной Европе, и к настоящему моменту ей удалось «заработать» более 200 000 000 долларов на компрометации бирж в разных странах мира.
CryptoCore связывают как минимум с пятью успешными взломами, а также с попытками атак еще на 10-20 криптовалютных платформ. Так, пять подтвержденных жертв хакеров находятся в Соединенных Штатах, Японии и на Ближнем Востоке. К сожалению, названия пострадавших компаний не раскрываются из-за соглашений о неразглашении, которыми связаны исследователи.
Хронология атак
Аналитики отмечают, что они не первые, кто обнаружил группу. Ранее некоторые операции CryptoCore уже попадали в отчеты других ИБ-компаний, например, Dangerous Password и Leery Turtle. Но, как выясняется теперь, операции группировки были более масштабными и распространенными и не ограничивались этими отдельными задокументированными случаями.
Хотя ClearSky активна уже два с половиной года, хакеры все это время использовали одну и ту же тактику с небольшими поправками. Так, все атаки начинались со сбора информации: злоумышленники собирали необходимые данные о руководстве биржи, ее ИТ-персонале и других сотрудниках.
Затем группировка переходила к фишинговым атакам, которые сначала всегда направлены на личные, а не на корпоративные адреса электронной почты. Дело в том, что личные почтовые ящики, как правило, менее защищены, но велик шанс, что они все равно содержат какую-нибудь рабочую информацию. И лишь спустя какое-то время (от нескольких часов до нескольких недель) операторы CryptoCore все же переходили к атакам на рабочие аккаунты жертв.
Схема атаки
Все это делает CryptoCore вторая хак-группой, которая регулярно атаковала криптовалютные на протяжении последних 3-4 лет. Впрочем, главной угрозой для бирж по-прежнему являются «правительственные» хакеры из Северной Кореи. Напомню, что, по данным ООН, только за период с января 2017 года по сентябрь 2018 года северокорейские хакеры похитили у пяти азиатских криптовалютных бирж примерно 571 000 000 долларов США.
По информации специалистов, группировка базируется где-то в Восточной Европе, и к настоящему моменту ей удалось «заработать» более 200 000 000 долларов на компрометации бирж в разных странах мира.
CryptoCore связывают как минимум с пятью успешными взломами, а также с попытками атак еще на 10-20 криптовалютных платформ. Так, пять подтвержденных жертв хакеров находятся в Соединенных Штатах, Японии и на Ближнем Востоке. К сожалению, названия пострадавших компаний не раскрываются из-за соглашений о неразглашении, которыми связаны исследователи.
Хронология атак
Аналитики отмечают, что они не первые, кто обнаружил группу. Ранее некоторые операции CryptoCore уже попадали в отчеты других ИБ-компаний, например, Dangerous Password и Leery Turtle. Но, как выясняется теперь, операции группировки были более масштабными и распространенными и не ограничивались этими отдельными задокументированными случаями.
Хотя ClearSky активна уже два с половиной года, хакеры все это время использовали одну и ту же тактику с небольшими поправками. Так, все атаки начинались со сбора информации: злоумышленники собирали необходимые данные о руководстве биржи, ее ИТ-персонале и других сотрудниках.
Затем группировка переходила к фишинговым атакам, которые сначала всегда направлены на личные, а не на корпоративные адреса электронной почты. Дело в том, что личные почтовые ящики, как правило, менее защищены, но велик шанс, что они все равно содержат какую-нибудь рабочую информацию. И лишь спустя какое-то время (от нескольких часов до нескольких недель) операторы CryptoCore все же переходили к атакам на рабочие аккаунты жертв.
Конечная цель преступников — внедрение малвари на компьютер сотрудника биржи и получение доступа к его учетной записи менеджера паролей (или хищение паролей). Если компрометация удалась, члены CryptoCore используют эти пароли для доступа к учетным записям и кошелькам, для отключения системы двухфакторной аутентификации и перевода средств из «горячих кошельков» биржи на свои счета.«Адресный фишинг, как правило, осуществляется путем выдачи себя за высокопоставленного сотрудника целевой компании или другой организации (например, члена консультативного совета), который имеет связь с жертвой», — поясняют исследователи.
Схема атаки
Все это делает CryptoCore вторая хак-группой, которая регулярно атаковала криптовалютные на протяжении последних 3-4 лет. Впрочем, главной угрозой для бирж по-прежнему являются «правительственные» хакеры из Северной Кореи. Напомню, что, по данным ООН, только за период с января 2017 года по сентябрь 2018 года северокорейские хакеры похитили у пяти азиатских криптовалютных бирж примерно 571 000 000 долларов США.