Compilación | Cadena de bloques Wu Shuo
El 22 de julio de 2023, piratas informáticos robaron el proveedor de criptopagos CoinsPaid por valor de 37,3 millones de dólares. Según una investigación de la empresa de seguridad, el atacante fue el equipo de hackers de Lazarus. Este artículo, escrito por CoinsPaid, detalla el truco para brindar una experiencia valiosa a otros practicantes de criptografía.
El siguiente es el texto completo del contenido, con un enlace al texto original:
https://coinspaid.com/tpost/k4r6jt90p1-the-coinspaid-hack-explained
Equipo de hackers de Lazarus vinculado al ataque
Según nuestra investigación interna, tenemos motivos para sospechar que el importante grupo de hackers Lazarus puede estar detrás del ataque a CoinsPaid. Los piratas informáticos utilizaron las mismas tácticas y esquema de lavado de dinero utilizados por Lazarus en el reciente ataque a Atomic Wallet.
El grupo Lazarus ha sido promocionado por los medios como "el principal grupo global de amenazas cibernéticas en la actualidad" y lleva a cabo actividades de piratería en todo el mundo. El grupo cibercriminal está vinculado al gobierno de Corea del Norte, aunque aún no se ha determinado el número de miembros ni sus nombres.
La Operación Trojan fue el primer gran ataque de Lazarus entre 2009 y 2013, dirigido a sitios web gubernamentales de Estados Unidos y Corea del Sur.
En 2014, Lazarus obtuvo reconocimiento mundial por su ataque a Sony Pictures: los perpetradores divulgaron documentos confidenciales de la empresa, incluida información sobre los empleados, sus contratos de trabajo e incluso sobre sus familiares.
En 2017, Lazarus volvió a atacar: el ataque de ransomware WannaCry fue un ciberataque global en mayo de 2017 que tuvo como objetivo computadoras que ejecutaban el sistema operativo Microsoft Windows cifrando datos y exigiendo un rescate en Bitcoin. El ataque duró cuatro días y provocó la infección de más de 300.000 ordenadores en todo el mundo.
A medida que el mercado de las criptomonedas crecía en popularidad y capitalización, el equipo de Lazarus comenzó a apuntar a numerosas plataformas de criptomonedas. La lista de empresas comprometidas hasta ahora incluye más de 20 empresas, incluidas Axie Infinity (625 millones de dólares), Horizon Bridge (100 millones de dólares) y Atomic Wallet (100 millones de dólares).
Ha habido mucha especulación sobre los objetivos a largo plazo de Lazarus y las razones del aumento de la frecuencia de los ataques. Muchos expertos creen que las actividades del equipo son una extensión del deseo de Corea del Norte de obtener acceso a divisas.
Los piratas informáticos pasaron 6 meses rastreando e investigando CoinsPaid
Ahora sabemos que Lazarus pasó medio año intentando penetrar el sistema CoinsPaid y encontrar vulnerabilidades.
● Desde marzo de 2023, hemos seguido registrando ataques fallidos de varios tipos contra empresas, desde ingeniería social hasta ataques DDos y de fuerza bruta.
● El 27 de marzo de 2023, los ingenieros principales de CoinsPaid recibieron una solicitud de una supuesta startup ucraniana de procesamiento de cifrado. La solicitud contenía una serie de preguntas sobre la infraestructura técnica, que habían sido respondidas por 3 de los principales desarrolladores de la empresa.
● Entre abril y mayo de 2023, experimentamos 4 ataques importantes a nuestros sistemas destinados a obtener acceso a las cuentas de los empleados y clientes de CoinsPaid. Las campañas de spam y phishing dirigidas a los miembros de nuestro equipo son continuas y agresivas.
● En junio-julio de 2023, se llevó a cabo una campaña maliciosa que involucró sobornos y contrataciones falsas de personal clave de la empresa.
● El 7 de julio de 2023, se llevó a cabo un ataque a gran escala, bien planificado y preparado contra la infraestructura y las aplicaciones de CoinsPaid. Entre las 20:48 y las 21:42 registramos una actividad de red inusualmente alta: participaron más de 150.000 direcciones IP diferentes.
El objetivo principal de los delincuentes era engañar a los empleados clave para que instalaran software para controlar remotamente sus computadoras, penetrando así y accediendo a los sistemas internos de CoinsPaid. Después de 6 meses de intentos fallidos, los piratas informáticos finalmente comprometieron con éxito nuestra infraestructura el 22 de julio de 2023.
Ingeniería social: la amenaza a la seguridad “más peligrosa” de 2023
Dado que era imposible comprometer el sistema CoinsPaid desde el exterior sin obtener acceso a la computadora de un empleado, los atacantes utilizaron técnicas de ingeniería social poderosas y altamente sofisticadas. Según una investigación de CS Hub, el 75% de los expertos en ciberseguridad creen que la ingeniería social y los ataques de phishing son las principales amenazas a la ciberseguridad.
Suplantar a LinkedIn para reclutar, sobornar y manipular empleados
Los reclutadores de empresas de criptomonedas contactaron a los empleados de CoinsPaid a través de LinkedIn y varias herramientas de mensajería, ofreciéndoles una compensación muy alta. Por ejemplo, algunos de los miembros de nuestro equipo han recibido ofertas de trabajo con salarios mensuales de entre $16 000 y $24 000. Durante el proceso de entrevista, los delincuentes intentan engañar a los candidatos para que instalen JumpCloud Agent o un programa especial para completar tareas técnicas.
Se dijo que JumpCloud, una plataforma de directorio que permite a las empresas autenticar, autorizar y administrar usuarios y dispositivos, fue pirateada por Lazarus Group en julio de 2023 para apuntar a sus usuarios de criptomonedas.
Si bien podría pensar que sería obvio intentar instalar malware en la computadora de un empleado, los piratas informáticos pasaron 6 meses aprendiendo todos los detalles posibles sobre CoinsPaid, los miembros de nuestro equipo, la estructura de nuestra empresa y más. Un equipo de hackers de primer nivel como Lazarus es capaz de crear una historia completamente creíble para explotar un objetivo potencial.
Sigue los pasos del ataque paso a paso.
En el mundo moderno, altamente digitalizado, es mucho más fácil engañar a una persona que engañar a un software de computadora. Al manipular a un empleado de CoinsPaid, los piratas informáticos comprometieron con éxito nuestra infraestructura.
1. Uno de nuestros empleados respondió a una oferta de trabajo de Crypto.com.
2. Mientras participaban en la entrevista, recibieron una tarea de prueba que requería la instalación de una aplicación con código malicioso.
3. Luego de abrir la tarea de prueba, se robaron materiales y claves de la computadora para establecer una conexión con la infraestructura de la empresa.
4. Después de obtener acceso a la infraestructura de CoinsPaid, el atacante aprovechó una vulnerabilidad en el clúster y abrió una puerta trasera.
5. Durante la fase de exploración, los delincuentes del conocimiento obtuvieron información que les permitió replicar solicitudes legítimas de interacción con blockchain y retirar los fondos de la empresa de nuestros repositorios operativos.
En pocas palabras, los piratas informáticos obtuvieron acceso, lo que les permitió crear solicitudes de autorización para retirar fondos de la billetera activa de CoinsPaid. Estas solicitudes se consideran válidas y se envían a la cadena de bloques para su posterior procesamiento. Sin embargo, los perpetradores no pudieron violar nuestra billetera activa y obtener las claves privadas directamente para acceder a los fondos.
Las medidas de seguridad interna activan sistemas de alerta, lo que nos permite detener rápidamente la actividad maliciosa y expulsar a los piratas informáticos de los límites de la empresa.
La puntuación blockchain es ineficaz contra el lavado de dinero
Aunque muchas empresas de criptomonedas emplean medidas KYC y utilizan sistemas de puntuación de riesgo blockchain para detectar actividades sospechosas, los perpetradores todavía están lavando dinero con éxito. He aquí por qué:
Como es el procedimiento estándar después de cualquier incidente de piratería, CoinsPaid notificó el incidente a todas las principales bolsas y empresas de ciberseguridad, proporcionando información sobre la dirección del pirata informático. Luego se incluyen en un token que se comparte entre la comunidad para evitar un mayor movimiento y lavado de fondos asociados con estas direcciones.
Sin embargo, al transferir fondos a direcciones posteriores, los tokens tardan hasta 60 minutos en distribuirse. Según nuestros hallazgos, los piratas informáticos de CoinsPaid tardaron sólo unos minutos en mover fondos a nuevas direcciones antes de que las banderas detectaran las acciones de los perpetradores.
Esta vulnerabilidad hace que la puntuación de blockchain sea en gran medida ineficaz para prevenir y minimizar el impacto del plan de lavado de dinero del grupo de hackers 2023.
Seguimiento de fondos: rastree y detenga fondos robados
Para ayudar en la investigación, CoinsPaid se ha asociado con Match Systems, un líder en ciberseguridad que se especializa en análisis de blockchain y trabaja con las autoridades y los reguladores para acompañar la devolución de los criptoactivos robados. Con la ayuda de los expertos de Match System, se han recuperado más de 70 millones de dólares en docenas de casos penales.
Inmediatamente después del ataque se tomaron una serie de medidas operativas para rastrear y potencialmente congelar los fondos robados.
Paso 1: Todos los principales analizadores de blockchain han incluido en la lista negra la dirección del hacker.
Paso 2: Se envió una notificación de emergencia a todos los principales intercambios de criptomonedas y a los funcionarios de AML informándoles de la dirección del hacker que contiene los activos robados.
Paso 3: La dirección del hacker se coloca en la lista de vigilancia de Match Systems.
Después de tomar las medidas necesarias para aumentar la posibilidad de bloquear temporalmente los fondos robados, los expertos de Match Systems continuaron rastreando el flujo de fondos a través de analizadores blockchain, navegadores nativos y herramientas propias de la compañía. Una vez que los fondos fluyen a través de los intercambios y los servicios de intercambio, la dirección del atacante se marca adicionalmente para ver si los fondos se han movido a través de las cadenas.
La gran mayoría de los fondos se retiraron a SwftSwap
Según los pasos anteriores, pudimos rastrear completamente los fondos robados. La gran mayoría de los fondos se retiran al servicio SwftSwap en forma de tokens USDT en la cadena de bloques Avalanche-C. Posteriormente, parte de los fondos se enviaron a la cadena de bloques Ethereum en una segunda ronda y luego se transfirieron a Avalanche y la red Bitcoin.
De hecho, la mayoría de los fondos de SwftSwap se retiraron a la dirección de transacciones de gran volumen del atacante. Estas mismas direcciones se utilizaron para transferir fondos robados de Atomic Wallet, lo que nos da más razones para creer que Lazarus puede ser el responsable de este ataque.
A partir de ahora, la operación de lavado de dinero del hack de CoinsPaid aún está en curso y continuaremos monitoreando de cerca esta pista con los expertos de Match System.
Perdió el 15% por tarifas y fluctuaciones de precios.
Las estimaciones preliminares sugieren que una parte importante de los fondos robados probablemente se perdió debido a los "costos operativos" de los piratas informáticos.
● 10% para swaps de “mercado” por grandes cantidades de tokens a la vez: los vendedores recogen la mayoría de las operaciones del libro de órdenes, lo que resulta en una enorme caída de precios. Las mayores pérdidas se produjeron cuando los piratas informáticos intercambiaron inicialmente USDT por TRX.
● 5% en comisiones, descuentos en la venta de tokens con historial cuestionable y otras tarifas. Esto también incluye los costos adicionales de comprar cuentas registradas para "caídas" en intercambios y servicios de pago, así como piratas informáticos y administradores remotos.
Los piratas informáticos de Lazarus utilizaron tácticas similares en el ataque a la billetera Atomic
Los expertos de Match System descubrieron un patrón similar utilizado anteriormente por Lazarus en su reciente ataque de 100 millones de dólares a Atomic Wallet.
1. Utilice el mismo servicio Swap y mezclador.
Los piratas informáticos aprovecharon servicios de intercambio como SunSwap, SwftSwap y SimpleSwap, así como el mezclador de criptomonedas Sinbad, para lavar fondos obtenidos ilegalmente sin ningún procedimiento KYC y AML.
El gráfico del volumen de transacciones de Sinbad muestra picos significativos en el volumen de operaciones durante los dos ataques, así como fluctuaciones significativas en los saldos del clúster.
2. Retirar fondos robados a través de Avalanche Bridge
En los hacks de las carteras CoinsPaid y Atomic, la mayoría de los fondos robados se enviaron en forma de USDT al servicio de criptomonedas SwftSwap en Avalanche-C. Una pequeña cantidad de los fondos robados se envió al intercambio Yobit.
Al igual que el mezclador Sinbad, el gráfico de volumen de transacciones del servicio SwftSwap muestra un claro aumento en el número de transacciones durante los ataques Atomic Wallet y CoinsPaid.
Lecciones aprendidas de los ataques de piratería
Este desafortunado incidente le ha brindado a CoinsPaid algunas lecciones e ideas valiosas que pueden ayudar a reducir la cantidad de incidentes de piratería en el mercado de cifrado, así como la escala de su impacto en la industria.
A continuación se muestra una lista de consejos prácticos compilados por nuestros expertos en seguridad para otros proveedores de criptomonedas que, cuando se implementan, pueden mejorar significativamente su protección contra los piratas informáticos.
1. No ignore los incidentes de ciberseguridad, como los intentos de piratear la infraestructura de una empresa, la ingeniería social, el phishing, etc. Esto podría ser una señal de que los piratas informáticos se están preparando para un ataque a gran escala.
2. Explique a los empleados cómo los delincuentes utilizan ofertas de trabajo falsas, sobornos o incluso solicitudes inofensivas de asesoramiento técnico para obtener acceso a la infraestructura de la empresa.
3. Implementar prácticas de seguridad para usuarios privilegiados.
4. Implementar los principios de separación de funciones y mínima autoridad.
5. Garantizar la protección de los puestos de trabajo de los empleados.
6. Mantener actualizados los componentes de la infraestructura.
7. Segmentar la red e implementar autenticación y cifrado entre los componentes de la infraestructura.
8. Cree un almacén de registros de seguridad independiente para cargar todos los eventos relevantes.
9. Establecer sistemas de monitoreo y alerta para toda actividad sospechosa en infraestructura y aplicaciones.
10. Cree un modelo de delincuente honesto y tome las medidas adecuadas ante las amenazas y riesgos a los que está expuesta su empresa.
11. Realizar un seguimiento de los saldos operativos y monitorear su movimiento y comportamiento inusual.
12. Reducir el capital operativo de la empresa al mínimo necesario.
