Il fornitore estone di servizi di cripto-pagamento CoinsPaid ha scoperto che il famigerato gruppo di hacker Lazarus ha trascorso sei mesi a monitorare e studiare la piattaforma prima di attaccare definitivamente il 22 luglio.
ConsPaid ha collaborato con la società di sicurezza informatica Match Systems per monitorare i passi degli autori minuto per minuto, oltre a identificare quali servizi e piattaforme sono stati utilizzati per riciclare i fondi. In un comunicato stampa condiviso con CryptoPotato , la piattaforma ha affermato che Lazarus Group ha trascorso sei mesi cercando di infiltrarsi nei sistemi CoinsPaid e trovare vulnerabilità.
Orchestrando un furto da 37,3 milioni di dollari
Da marzo, CoinsPaid ha rivelato di essere stata colpita da continui attacchi falliti di vario genere, che vanno dal social engineering ai DDos e BruteForce. Nello stesso periodo, gli ingegneri chiave dell'azienda sono stati contattati da un'entità che si spacciava per una startup ucraina di elaborazione di criptovalute, presentando una serie di richieste relative all'infrastruttura tecnica. Questa interazione è stata confermata da tre sviluppatori chiave all'interno di CoinsPaid.
Ad aprile e maggio, CoinsPaid ha riscontrato quattro attacchi significativi contro i suoi sistemi che cercavano l'accesso non autorizzato agli account appartenenti sia ai dipendenti dell'azienda che ai suoi clienti. Le attività di spam e phishing contro i membri del team sono state costanti e molto aggressive, afferma il comunicato stampa.
Il successivo mese di giugno e luglio ha assistito all'orchestrazione di una campagna malevola che prevedeva una combinazione di tangenti e offerte di lavoro fittizie, tutte dirette a personale cruciale all'interno dell'azienda.
L'attaccante ha lanciato un assalto meticolosamente pianificato ed eseguito contro l'infrastruttura e le applicazioni di CoinsPaid il 7 luglio. L'attacco, che si è svolto tra le 20:48 e le 21:42, ha dimostrato un'impennata senza precedenti dell'attività di rete, registrando un coinvolgimento di oltre 150.000 indirizzi IP distinti.
Sulle tracce dell'attacco
L'obiettivo principale dei colpevoli era quello di indurre un membro chiave dello staff a installare software, consentendo loro di stabilire il controllo remoto su un computer infiltrandosi e accedendo ai sistemi interni di CoinsPaid. Nonostante sei mesi di tentativi falliti, il 22 luglio gli aggressori sono riusciti a violare la sua infrastruttura, provocando una perdita di 37,5 milioni di dollari.
Gli aggressori hanno utilizzato tecniche di ingegneria sociale altamente sofisticate e vigorose per ottenere l'accesso al computer di un dipendente. I reclutatori delle società di criptovalute hanno contattato i dipendenti di CoinsPaid tramite LinkedIn e vari Messenger, offrendo stipendi allettanti.
Dopo che uno dei suoi dipendenti ha risposto a un'offerta di lavoro spacciandosi per Crypto.com, ha ricevuto un incarico di prova che richiedeva l'installazione di un'applicazione con codice dannoso. All'apertura dell'attività di test, i profili e le chiavi del dipendente sono stati rubati dal computer per stabilire una connessione con l'infrastruttura di CoinsPaid.
L'accesso ha consentito agli hacker di creare richieste autorizzate per prelevare fondi dagli hot wallet di CoinsPaid. Ma gli autori non sono stati in grado di violare gli hot wallet e acquisire chiavi private per accedere direttamente ai fondi.
"Le misure di sicurezza interna hanno attivato il sistema di allarme e ci hanno permesso di fermare rapidamente l'attività dannosa e cacciare gli hacker fuori dal perimetro dell'azienda".
CoinsPaid ha inoltre affermato che, nonostante le società di crittografia rispettino le misure KYC e utilizzino sistemi di punteggio del rischio blockchain per rilevare attività sospette, gli autori sono comunque riusciti a riciclare con successo i fondi rubati.
La società ha puntato il dito contro il gruppo Lazarus poiché gli hacker hanno utilizzato tattiche simili nella rapina del portafoglio atomico.
Il post Lazarus Group ha trascorso sei mesi cercando di penetrare nei sistemi a pagamento di monete per le debolezze: il rapporto è apparso per primo su CryptoPotato .