Voici comment les pirates ont tenté d’attaquer Coinbase

Sead Fadilpašić
| 3 min read

Aux États-Unis, Coinbase a donné plus de détails sur la récente tentative de piratage informatique, affirmant qu’ils étaient la cible d’une attaque sophistiquée soigneusement planifiée utilisant des tactiques d’ingénierie sociale et de hameçonnage ainsi que deux attaques de type Firefox zero-day.

Source: iStock/DragonImages

Sur son blog, Philip Martin, le responsable de la sécurité et de l’information de la société a expliqué qu’au cours de plusieurs semaines, depuis le 30 mai, un certain nombre d’employés de Coinbase avaient reçu un courrier électronique d’une personne se faisant passer pour Gregory Harris, administrateur des subventions de recherche à l’univesité de Cambridge, qui ne semblait en aucun cas suspect – son email “provenait du domaine de Cambridge, ne contenait aucun élément malveillant, passait la détection du spam et faisait référence à des éléments en lien avec les destinataires”. Tout cela donnait l’impression que les victimes parlaient à quelqu’un de légitime, dit Martin.

Le groupe, suivi par Coinbase sous le nom “CRYPTO-3”, a également créé de faux profils LinkedIn, de faux comptes de messagerie, une page de destination imitant une page de l’Université de Cambridge, enregistré le domaine et cloné ou modifié les comptes existants.

Après avoir recherché des victimes potentielles via plusieurs courriels, 2,5% des personnes ayant reçu le courriel initial ont reçu un lien vers la page hébergeant l’attaque “zero-day”. Le 17 juin, ‘Harris’ a envoyé un e-mail avec “une URL qui, lorsqu’elle serait ouverte dans Firefox, installerait un logiciel malveillant capable de prendre le contrôle de la machine de quelqu’un”, ce que Coinbase a détecté et a bloqué “en quelques heures”, écrit Martin.

L’attaque a été exécutée en deux temps:

  • Identifier le système d’exploitation et le navigateur; affichant une erreur convaincante aux utilisateurs de macOS qui n’utilisaient pas Firefox et leur demandant d’installer la dernière version; installant le code d’attaque après la visite de la page dans Firefox; en utilisant cette installation comme “charge utile initiale de vol de reconnaissance et de vérification des identifiants”. Coinbase a déclaré avoir détecté les assaillants lors de la première étape.
  • L’étape 2 était probablement utilisée comme un RAT (Remote Access Trojan), un cheval de Troie à accès distant, un programme malveillant qui inclut une porte dérobée pour le contrôle administratif de l’ordinateur cible). “Nous avons observé une activité de l’implant de stade 2 compatible avec le contrôle humain direct”, écrit Martin.

Un employé et des alertes automatisées sont entrés en jeu, l’enquête a commencé tandis que les attaquants n’en avaient probablement pas conscience. “Une fois que nous étions certains d’avoir réussi à maîtriser notre environnement, ils ont contacté l’équipe de sécurité de Mozilla pour partager le code d’exploitation, qui a ensuite résolu la vulnérabilité, ainsi que l’Université de Cambridge”.

Martin dit que plus de 200 personnes ont été ciblées par cet attaquant. Coinbase “a identifié les organisations employant ces personnes afin que nous puissions contacter et fournir à leurs équipes de sécurité les informations dont elles avaient besoin pour sécuriser leur infrastructure et protéger leurs employés.”