Малоизвестная группа киберпреступников может стоять за атаками на биржи криптовалют с 2018 года. Хакерам CryptoCore уже удалось украсть около $200 млн.

Израильская фирма по кибербезопасности ClearSky заявила в своем блоге, что исследовала деятельность группы киберперступников CryptoCore. Иногда эти хакеры также называются Crypto-gang, Dangerous Password или Leery Turtle. В отчете компания подробно раскрыла основное направление работы группы и используемые ей методы.

«По нашим оценкам, за два года группе удалось украсть криптоактивы более чем на $200 млн», - пишет ClearSky. «Мы со средней степенью уверенности оцениваем, что хакеры могут быть связаны с восточноевропейскими странами - Украиной, Россией или Румынией».

cryptocore.png

Сооснователь ClearSky Боаз Долев (Boaz Dolev) сказал, что его фирма обнаружила как минимум пять взломов бирж за последние два года по определенной схеме.

«Они могут атаковать очень быстро», - сказал Долев - однажды они развернули атаку всего через 12 часов после регистрации новых доменных имен. «Это небольшая группа, может быть, три-четыре человека... маленькая, но эффективная организация».

Другие фирмы по кибербезопасности также упоминают эту группу под другими названиями, например, Leery Turtle.

Руководитель группы по исследованию угроз ClearSky Ор Блатт (Or Blatt) сказал, что предполагаемые преступники не имеют военной подготовки или поддержки правительства.

«Это киберпреступники и мы знаем о других подобных группах», - сказал Блатт. «Чтобы такая атака была успешной, обычно сотрудники биржи криптовалют должны быть уязвимы для социальной инженерии… Эти злоумышленники, например, не используют VPN, как часто делают другие хакеры».

Долев сказал, что биржи криптовалют, не имеющие уровень безопасности, аналогичный банковскому, уязвимы для таких атак. В отчете подробно рассказывается, как хакерская группа получила доступ к адресам электронной почты нескольких руководителей биржи, а затем использовала адресный фишинг, выдавая себя за высокопоставленных сотрудников, чтобы получить информацию, которая предоставляет доступ к криптовалютам.

Глава службы безопасности биржи криптовалют Kraken Николас Перкоко (Nicholas Percoco) сказал: «Мы обычно обнаруживаем попытки атаки сразу в нескольких направлениях, включая попытки социальной инженерии», поэтому его компания часто делится информацией с другими биржами, которые также могут стать жертвой хакеров.

Перкоко не упомянул CryptoCore, однако сказал, что для таких киберпреступников характерно нацеливание на несколько учреждений в одном секторе, особенно на людей, которые работают на биржах. Поэтому Kraken, в дополнение к техническому контролю, сосредотачивается на обучении персонала, чтобы сотрудники были в курсе возможных атак. Кроме того, Kraken Security Labs регулярно пытается проникнуть в систему биржи и найти уязвимости.

Долев предупредил, что, учитывая массовый переход к удаленной работе в связи с пандемией, биржи криптовалют сталкиваются с «более высокими рисками» в 2020 году. Блатт добавил, что CryptoCore, похоже, стала более активна с начала пандемии.

Одной из самых известных хакерских групп остаются северокорейские хакеры Lazarus. В марте CipherTrace опубликовала подробный анализ того, как Lazarus отмыла украденные криптоактивы более чем на $100 млн, обходя проверки KYC на криптовалютных биржах.