חברת סייבר ישראלית חשפה קבוצת פושעי סייברCryptoCore התוקפת בורסות למטבעות דיגיטליים
מאת:
מערכת Telecom News, 24.6.20, 16:00
מחקר: כ-100 מיליון דולרים נגנבו ע"י קבוצת פשיעת סייבר מזרח אירופית במתקפות על בורסות קריפטו מובילות בעולם ועל חברות העובדות איתן במתקפות שרשרת האספקה. לחשיפה יש חשיבות בהתגוננות ממתקפות עתידיות על המגזר הפיננסי, בורסות קריפטוגרפיות וחברות פינטק. החברה טוענת שבתקיפות בישראל נגנבו 70 מיליון דולרים.
חברת הסייבר הישראלית קלירסקיי (
ClearSky Cyber Security) חשפה היום את פעילותה של קבוצת פשיעת סייבר מזרח אירופית, שגנבה בשנתיים האחרונות מבורסות קריפטוגרפיות.
במחקר מקיף, החברה מספקת לראשונה פרטים אודות פעילות הקבוצה, הטקטיקות והיקפי הנזק, שנגרם כתוצאה ממתקפותיה. המגזר הפיננסי, ובפרט בורסות קריפטוגרפיות וחברות פינטק ברחבי העולם הפכו ליעד המרכזי והמאוים ביותר ממתקפות סייבר, שמטרתן גניבת כספים, לכן, לחשיפת הקבוצה ודרכי הפעולה שלה, ישנה חשיבות מכרעת בהתגוננות ממתקפות דומות עתידיות.
בועז דולב, מנכ"ל קלירסקיי: "המעקב שלנו אחר הקבוצה, שאנו מכנים אותה בכינוי
CryptoCore, נמשך בקירוב לשנתיים כשעיקר פעילותה היה נגד בורסות למטבעות דיגיטליים וחברות העובדות איתן, לרוב מיפן וארה"ב. על פי ניתוח המתקפות, אמנם, לקבוצה אין יכולות טכניות מתקדמות, אך היא פועלת בשיטתיות, לאורך זמן ובשילוב תשתית מודיעינית, שהוכנה מראש. כך, הקבוצה הצליחה לגרוף מאז מאי 2018
כ-70 מיליון דולרים במתקפות בישראל [הערת מערכת: ישראל לא נמצאת בדו"ח המלא, שמצוי בקישור בתחתית הכתבה
] ויותר מ-100 מיליון דולרים בעולם".
המטרה העיקרית של
CryptoCore היא להשיג גישה לארנקי הכסף דיגיטליים, בין אם מדובר בארנקים של הבורסה או בארנקים פרטיים השייכים לעובדי החברה. כחלק מתהליך התקיפה הקבוצה ביצעה איסוף מודיעיני מקיף על הבורסות אותן תקפה, כולל השגת מידע על העובדים והמנהלים הבכירים של הבורסות.
לאחר מכן, תוך התחזות מושקעת למנהלים אחרים או ניצול הרשאות שהודלפו, חדרו התוקפים למערכות המחשוב הארגוניות ע"י ביצוע פישינג, שנשלח לחשבונות האימייל האישיים של מנהלי הבורסה. לעיתים, כדי לגנוב את המפתחות לארנקי הקריפטו, המתינו התוקפים בסבלנות להזדמנות מתאימה במשך שבועות וחודשים עד שהצליחו לחשוף מידע קריטי, שאפשר להם לבצע את הגניבה.
חוקרי החברה זיהו מספר מאפיינים חוזרים בטכניקת התקיפה של הקבוצה, שיכולים לשמש כתמרור אזהרה לזיהוי תקיפות עתידיות:
1. שימוש בדומיינים של אתרי חברות מובילות בתחום, כגון
btcprime[.]tk, krypitalvc[.]com , blockchaintransparency[.]institute
2. שימוש בשירותים המקצרים את כתובת ה
URL- כדי להסוות קישורים נגועים המובילים להדבקה וגם מאפשרים לעקוב אחר קצב ההדבקה.
3. הטמנת קישורים המובילים להדבקה והורדת קבצים במסמכי טקסט ולוגואים.
4. ניצול הדלפות ידועות של הרשאות במהלך השנים האחרונות, כדי לחדור לחשבונות המייל של העובדים הקריטיים ולפרוס משם את כלי התקיפה שלהם.
הדו"ח המלא: A Threat Actor Targeting Cryptocurrency Exchanges- CryptoCore
- כאן.
כמה איורים מתוך הדו"ח:
איור 1 - תקיפות חוזרות ונשנות על מספר בורסות לאורך 3 שנים:
איור 2 – פישינג התחזות מבכירים:
איור 3 – מתווה החדירה למערכות הארגון: