Nhà cung cấp dịch vụ thanh toán tiền điện tử của Estonia CoinsPaid đã phát hiện ra rằng nhóm hack khét tiếng Lazarus đã dành sáu tháng theo dõi và nghiên cứu nền tảng này, cuối cùng đã phát động một cuộc tấn công vào ngày 22 tháng 7.
ConsPaid đã hợp tác với công ty an ninh mạng Match Systems để theo dõi hoạt động của tội phạm từng phút và xác định dịch vụ và nền tảng nào được sử dụng để rửa tiền.Trong một thông cáo báo chí được chia sẻ với khoai tây được mã hóaLazarus Group đã dành nửa năm để cố gắng xâm nhập vào hệ thống CoinsPaid và tìm ra các lỗ hổng, nền tảng này cho biết.
Chủ mưu vụ trộm 37,3 triệu USD
Kể từ tháng 3, CoinsPaid tiết lộ rằng nó đã phải chịu nhiều cuộc tấn công không thành công khác nhau, từ kỹ thuật xã hội đến DDos và BruteForce. Trong cùng thời gian, một thực thể tự xưng là công ty khởi nghiệp xử lý tiền điện tử của Ukraine đã liên hệ với kỹ sư trưởng của công ty với một loạt câu hỏi liên quan đến cơ sở hạ tầng kỹ thuật. Tương tác này đã được xác nhận bởi ba trong số các nhà phát triển chính trong CoinsPaid.
Vào tháng 4 và tháng 5, CoinsPaid đã phải chịu bốn cuộc tấn công lớn vào hệ thống của mình nhằm giành quyền truy cập trái phép vào tài khoản của nhân viên và khách hàng của công ty. Theo thông cáo báo chí, các chiến dịch thư rác và lừa đảo nhắm vào các thành viên trong nhóm đang diễn ra và cực kỳ hung hãn.
Tháng 6 và tháng 7 sau đó chứng kiến sự dàn dựng của một chiến dịch ác ý bao gồm các khoản hối lộ và lời mời làm việc hư cấu, tất cả đều nhắm vào các nhân sự chủ chốt trong công ty.
Vào ngày 7 tháng 7, những kẻ tấn công đã phát động một cuộc tấn công được lên kế hoạch và thực hiện tốt vào cơ sở hạ tầng và ứng dụng của CoinsPaid. Cuộc tấn công diễn ra trong khoảng thời gian từ 20:48 đến 21:42, đã chứng kiến sự gia tăng chưa từng thấy trong hoạt động mạng, với sự tham gia của hơn 150.000 địa chỉ IP khác nhau được ghi lại.
theo dõi cuộc tấn công
Mục tiêu chính của bọn tội phạm là lừa các nhân viên chủ chốt cài đặt phần mềm cho phép chúng kiểm soát máy tính từ xa bằng cách xâm nhập và giành quyền truy cập vào các hệ thống nội bộ của CoinsPaid. Bất chấp sáu tháng nỗ lực không thành công, những kẻ tấn công cuối cùng đã xâm nhập được cơ sở hạ tầng của nó vào ngày 22 tháng 7, gây thiệt hại 37,5 triệu USD.
Những kẻ tấn công sử dụng các kỹ thuật kỹ thuật xã hội cực kỳ tinh vi và mạnh mẽ để có quyền truy cập vào máy tính của nhân viên. Các nhà tuyển dụng tại các công ty tiền điện tử liên hệ với nhân viên của CoinsPaid qua LinkedIn và nhiều ứng dụng nhắn tin khác nhau, đưa ra mức lương cao hấp dẫn.
Sau khi một nhân viên trả lời lời mời làm việc giả danh Crypto.com, họ đã nhận được một nhiệm vụ kiểm tra là cài đặt một ứng dụng có mã độc. Sau khi mở nhiệm vụ thử nghiệm, dữ liệu cá nhân và khóa của nhân viên đã bị đánh cắp khỏi máy tính để thiết lập kết nối với cơ sở hạ tầng CoinsPaid.
Quyền truy cập này cho phép tin tặc tạo yêu cầu ủy quyền để rút tiền từ ví nóng CoinsPaid. Nhưng bọn tội phạm không thể đột nhập vào ví nóng và lấy khóa riêng để truy cập trực tiếp vào tiền.
“Các biện pháp bảo mật nội bộ đã kích hoạt hệ thống cảnh báo, cho phép chúng tôi nhanh chóng ngăn chặn hoạt động độc hại và đuổi tin tặc ra khỏi phạm vi của công ty.”
CoinsPaid tuyên bố thêm rằng mặc dù các công ty tiền điện tử tuân thủ các biện pháp KYC và sử dụng blockchain Mặc dù hệ thống chấm điểm rủi ro có thể phát hiện hoạt động đáng ngờ, thủ phạm vẫn thành công trong việc rửa tiền bị đánh cắp.
Công ty đã chỉ tay vào nhóm Lazarus vì tin tặc đã sử dụng một chiến thuật tương tự trong vụ cướp Ví nguyên tử.
