Ataki hakerskie związane z giełdami krypto nie są niczym nowym – od czasu powstania Bitcoina (BTC) ponad 10 lat temu, wielokrotnie byliśmy świadkami sytuacji gdy wielkie ilości kryptowalut zostały ukradzione. Utrata środków kilentów zdarzała się nawet największym graczom – wystarczy wspomnieć o hacku Binance z zeszłego roku, gdy w maju ukradziono prawie 7,000 BTC.

W tym artykule prześledzimy sposoby ataku hakerskiego dokonane przez CryptoGroup. Nazwa ta została nadana hakerom przez firmę SkyClearSec, która zajmuje się cyberbezpieczeństwem. Według nich grupa koncentruje się na Stanach Zjednoczonych i Japonii, choć działa też w innych krajach, przy czym pewne dane wskazują, iż sama grupa może pochodzić ze Wschodniej Europy bądź Rosji. Suma, którą udało się ukraść hakerom z giełd wynosi prawdopodobnie więcej niż 200 000 000 USD w przeciągu ostatnich 2 lat.

Jak działają hakerzy?

Przede wszystkim działanie atakujących polega na zdobyciu dostępu do walletów pracowników bądź hot walletu giełdy. Początek operacji polega na zdobyciu jak najdokładniejszych danych na temat pracowników firmy. W czasach wszechobecnej dostępności danych działanie hakerów jest oczywiście ułatwione. Najpierw sprawdzane są zabezpieczenia adresów email adresów najważniejszych osób w firmie, często atakowane są również prywatne maile pracowników.

Zdobycie dostępu do adresu email pracowników, bądź zaprzyjaźnionej firmy pozwala na rozpoczęcie drugiej fazy ataku, która nazywa się spear-phishing. Polega ona na udawaniu bycia wysoko postawioną osobą w firmie. Głównym celem jest zdobycie dostępu do managera haseł gdzie zazwyczaj można znaleźć hasła do walletów giełdy. Następnie udana próba zniesienia weryfikacji kilkuetapowej oznacza możliwość kradzieży środków.

Charakterystyka narzędzi wykorzystywanych przez Crypto Group

Według raportu firmy ClearSky Security, mimo iż atakujący wykorzystują różne metody, pojawia się też wiele punktów wspólnych. Najważniejszym z nich jest wykorzystywanie tak zwanego Social Engineering (inżynieria społeczna), aby zdobyć dostęp do najważniejszych zasobów giełdy. Oznacza to, iż atakujący wcale nie muszą być zaawansowani technicznie – wykorzystują oni przede wszystkim błędy ludzkie.

  • Wykorzystanie usług z chmury – zazwyczaj Google drive oraz stworzenie podszywającej się pod usługę Google strony.
  • Wykorzystywanie fejkowych domen związanych z BTC
  • Używanie serwisu bit.ly – skraca on linki, dzięki czemu mniej widoczny jest adres podszywającej się strony, która umożliwi kradzież danych.

Według ClearSky Security grupa potrafi działać niezwykle szybko – w przypadku jednego z klientów firmy atak hakerski pojawił 30 minut po założeniu nowej domeny.
Sposób działania atakujących również wiele mówi nam o środkach bezpieczeństwa, które powinniśmy zachować nawet jeżeli nie pracujemy w organizacji związanej z handlem krypto. Przedstawiona tutaj taktyka może również działać w kierunku osoby prywatnej, która posiada krypto. Warto jest więc ustanawiać hasła o dużej trudności, zawsze sprawdzać poprawność adresów email z których dostajemy wiadomości oraz adresy stron na które wchodzimy (dobrym zwyczajem jest również sprawdzanie certyfikatu SSL strony). Korzystanie z portfeli sprzętowych typu Leder czy Trezor może również uchronić nas przed utratą naszych środków.