Der estnische Krypto-Zahlungsdienstleister CoinsPaid hat herausgefunden, dass die berüchtigte Hackergruppe Lazarus die Plattform sechs Monate lang überwacht und untersucht hat, bevor sie am 22. Juli schließlich angriff.
ConsPaid hat sich mit dem Cybersicherheitsunternehmen Match Systems zusammengetan, um die Schritte der Täter minütlich zu verfolgen und herauszufinden, welche Dienste und Plattformen zum Waschen von Geldern genutzt wurden. In einer mit CryptoPotato geteilten Pressemitteilung teilte die Plattform mit, dass die Lazarus Group sechs Monate lang versucht habe, sich in die Systeme von CoinsPaid zu hacken und Schwachstellen zu finden.
Organisation eines Raubüberfalls im Wert von 37,3 Millionen US-Dollar
Seit März hat CoinsPaid bekannt gegeben, dass es von anhaltenden fehlgeschlagenen Angriffen verschiedener Art geplagt wird, die von Social Engineering bis hin zu DDos und BruteForce reichen. Ungefähr zur gleichen Zeit wandte sich ein Unternehmen, das sich als ukrainisches Kryptowährungsverarbeitungs-Startup ausgab, mit einer Reihe von Anfragen im Zusammenhang mit der technischen Infrastruktur an die wichtigsten Ingenieure des Unternehmens. Diese Interaktion wurde von drei wichtigen Entwicklern innerhalb von CoinsPaid bestätigt.
Im April und Mai erlebte CoinsPaid vier schwerwiegende Angriffe auf seine Systeme, bei denen es um unbefugten Zugriff auf Konten sowohl von Mitarbeitern des Unternehmens als auch von Kunden ging. Die Spam- und Phishing-Aktivitäten gegen Teammitglieder seien konstant und sehr aggressiv gewesen, heißt es in der Pressemitteilung.
Im darauffolgenden Juni und Juli wurde eine böswillige Kampagne inszeniert, die eine Kombination aus Bestechungsgeldern und fiktiven Stellenangeboten beinhaltete und sich alle an Schlüsselpersonal des Unternehmens richtete.
Der Angreifer startete am 7. Juli einen sorgfältig geplanten und durchgeführten Angriff auf die Infrastruktur und Anwendungen von CoinsPaid. Der Angriff, der zwischen 20:48 und 21:42 Uhr stattfand, zeigte einen beispiellosen Anstieg der Netzwerkaktivität, an dem mehr als 150.000 verschiedene IP-Adressen beteiligt waren.
Auf der Spur des Angriffs
Das Hauptziel der Täter bestand darin, einen wichtigen Mitarbeiter dazu zu verleiten, Software zu installieren und dadurch die Fernkontrolle über einen Computer zu erlangen, indem sie in die internen Systeme von CoinsPaid eindrangen und sich Zugriff darauf verschafften. Trotz sechs Monaten fehlgeschlagener Versuche gelang es den Angreifern am 22. Juli, in die Infrastruktur einzudringen , was zu einem Verlust von 37,5 Millionen US-Dollar führte.
Die Angreifer nutzten hochentwickelte und wirkungsvolle Social-Engineering-Techniken, um sich Zugriff auf den Computer eines Mitarbeiters zu verschaffen. Personalvermittler von Kryptowährungsunternehmen haben die Mitarbeiter von CoinsPaid über LinkedIn und verschiedene Messenger kontaktiert und attraktive Gehälter angeboten.
Nachdem einer seiner Mitarbeiter auf ein Stellenangebot geantwortet hatte und sich als Crypto.com ausgab, erhielt er einen Testauftrag, der die Installation einer Anwendung mit Schadcode erforderte. Beim Öffnen der Testaktivität wurden Mitarbeiterprofile und Schlüssel vom Computer gestohlen, um eine Verbindung mit der CoinsPaid-Infrastruktur herzustellen.
Der Zugriff ermöglichte es Hackern, autorisierte Anfragen zum Abheben von Geldern aus den Hot Wallets von CoinsPaid zu erstellen. Den Tätern gelang es jedoch nicht, die Hot Wallets zu knacken und an private Schlüssel zu gelangen, um direkt auf die Gelder zuzugreifen.
„Interne Sicherheitsmaßnahmen aktivierten das Alarmsystem und ermöglichten es uns, die böswilligen Aktivitäten schnell zu stoppen und die Hacker aus dem Unternehmensbereich zu vertreiben.“
CoinsPaid sagte weiter, dass es den Tätern trotz der Einhaltung der KYC-Maßnahmen und der Verwendung von Blockchain-Risikobewertungssystemen zur Erkennung verdächtiger Aktivitäten durch Kryptofirmen dennoch gelungen sei, die gestohlenen Gelder erfolgreich zu waschen.
Das Unternehmen hat mit dem Finger auf die Lazarus-Gruppe gezeigt, da die Hacker beim Raub der Atom-Wallet ähnliche Taktiken anwandten.
Die Post Lazarus Group hat sechs Monate damit verbracht, Münzgebührensysteme auf Schwachstellen zu hacken – der Bericht erschien erstmals in CryptoPotato .