Coinbase kripto para borsası platformu, bilinmeyen bir tehdit aktörünün, şirketin sistemlerine uzaktan erişim elde etmek amacıyla çalışanlarından birinin oturum açma bilgilerini çaldığını açıkladı.
Saldırganın izinsiz giriş sonucunda birden fazla Coinbase çalışanına ait bazı iletişim bilgilerini ele geçirdiğini belirten şirket, müşteri fonlarının ve verilerinin etkilenmediğini de sözlerine ekledi.
Coinbase’in siber kontrolleri, saldırganın sisteme doğrudan erişim elde etmesini engelledi ve herhangi bir para kaybını veya müşteri bilgilerinin ele geçirilmesini önledi. Kurumsal dizinimizden yalnızca sınırlı miktarda veri açığa çıktı – Coinbase
Coinbase, diğer şirketlerin tehdit aktörünün taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) belirlemesine ve uygun savunmaları kurmasına yardımcı olmak için araştırmasının bulgularını paylaştı.
Saldırı ayrıntıları
Saldırgan, 5 Şubat Pazar günü birkaç Coinbase mühendisini, önemli bir mesajı okumak için şirket hesaplarına giriş yapmaya çağıran SMS uyarılarıyla hedef aldı.
Çoğu çalışan mesajları görmezden gelirken, bir tanesi hileye kandı ve bir kimlik avı sayfasının bağlantısını takip etti. Kimlik bilgilerini girdikten sonra kendilerine teşekkür edildi ve mesajı dikkate almamaları istendi.
Bir sonraki aşamada, saldırgan çalınan kimlik bilgilerini kullanarak Coinbase’in dahili sistemlerinde oturum açmaya çalıştı ancak erişim çok faktörlü kimlik doğrulama (MFA) ile korunduğu için başarısız oldu.
Yaklaşık 20 dakika sonra, saldırgan başka bir stratejiye geçti. Coinbase BT ekibinden olduğunu iddia eden çalışanı aradılar ve kurbanı iş istasyonlarına giriş yapması ve bazı talimatları izlemesi için yönlendirdiler.
“Neyse ki hiçbir fon alınmadı ve hiçbir müşteri bilgisine erişilmedi veya görüntülenemedi, ancak çalışanlarımızın bazı sınırlı iletişim bilgileri, özellikle çalışan adları, e-posta adresleri ve bazı telefon numaraları alındı” – Coinbase
Coinbase’in CSIRT’si, saldırının başlamasından itibaren 10 dakika içinde olağandışı etkinliği tespit etti ve kurbanın hesabındaki son olağandışı etkinlikleri sorgulamak için iletişime geçti. Çalışan daha sonra bir şeylerin ters gittiğini fark etti ve saldırganla iletişimi sonlandırdı.
savunmak
Coinbase, diğer şirketlerin benzer bir saldırıyı tespit etmek ve buna karşı savunma yapmak için kullanabileceği bazı gözlemlenen TTP’leri paylaştı:
- Şirketin teknoloji varlıklarından sso-.com, -sso.com, login.-sso.com, dashboard-.com ve *-dashboard.com dahil olmak üzere belirli adreslere yönelik tüm web trafiği.
- AnyDesk (anydesk dot com) ve ISL Online (islonline) dahil olmak üzere belirli uzak masaüstü görüntüleyicilerinin indirilmesi veya indirilmeye çalışılması[.]com)
- Kuruluşa üçüncü taraf bir VPN sağlayıcısından, özellikle Mullvad VPN’den erişme girişimleri
- Google Voice, Skype, Vonage/Nexmo ve Bandwidth gibi belirli sağlayıcılardan gelen telefon aramaları/metin mesajları
- EditThisCookie dahil olmak üzere belirli tarayıcı uzantılarını yüklemeye yönelik beklenmeyen tüm girişimler
Dijital varlıkları yöneten ve güçlü bir çevrimiçi varlığa sahip olan şirketlerin çalışanları, bir noktada sosyal mühendislik aktörleri tarafından hedef alınmaya mahkumdur.
Çok katmanlı bir savunmayı benimsemek, bir saldırıyı çoğu tehdit aktörünün vazgeçmesi için yeterince zorlayıcı hale getirebilir. MFA korumasının uygulanması ve fiziksel güvenlik belirteçlerinin kullanılması, hem tüketici hem de kurumsal hesapların korunmasına yardımcı olabilir.