Исследователи из израильской компании ClearSky рассказали о хакерской группе CryptoCore, активной с 2018 года и специализирующейся на взломе криптовалютных бирж. По информации специалистов, группировка базируется где-то в Восточной Европе, и к настоящему моменту ей удалось «заработать» более 200 000 000 долларов на компрометации бирж в разных странах мира. CryptoCore связывают как минимум с пятью успешными взломами, а также с попытками атак еще на 10-20 криптовалютных платформ. Так, пять подтвержденных жертв хакеров находятся в Соединенных Штатах, Японии и на Ближнем Востоке. К сожалению, названия пострадавших компаний не раскрываются из-за соглашений о неразглашении, которыми связаны исследователи. Хронология атак Аналитики отмечают, что они не первые, кто обнаружил группу. Ранее некоторые операции CryptoCore уже попадали в отчеты других ИБ-компаний, например, Dangerous Password и Leery Turtle. Но, как выясняется теперь, операции группировки были более масштабными и распространенными и не ограничивались этими отдельными задокументированными случаями. Хотя ClearSky активна уже два с половиной года, хакеры все это время использовали одну и ту же тактику с небольшими поправками. Так, все атаки начинались со сбора информации: злоумышленники собирали необходимые данные о руководстве биржи, ее ИТ-персонале и других сотрудниках. Затем группировка переходила к фишинговым атакам, которые сначала всегда направлены на личные, а не на корпоративные адреса электронной почты. Дело в том, что личные почтовые ящики, как правило, менее защищены, но велик шанс, что они все равно содержат какую-нибудь рабочую информацию. И лишь спустя какое-то время (от нескольких часов до нескольких недель) операторы CryptoCore все же переходили к атакам на рабочие аккаунты жертв. «Адресный фишинг, как правило, осуществляется путем выдачи себя за высокопоставленного сотрудника целевой компании или другой организации (например, члена консультативного совета), который имеет связь с жертвой», — поясняют исследователи. Конечная цель преступников — внедрение малвари на компьютер сотрудника биржи и получение доступа к его учетной записи менеджера паролей (или хищение паролей). Если компрометация удалась, члены CryptoCore используют эти пароли для доступа к учетным записям и кошелькам, для отключения системы двухфакторной аутентификации и перевода средств из «горячих кошельков» биржи на свои счета. Схема атаки ­Все это делает CryptoCore вторая хак-группой, которая регулярно атаковала криптовалютные на протяжении последних 3-4 лет. Впрочем, главной угрозой для бирж по-прежнему являются «правительственные» хакеры из Северной Кореи. Напомню, что, по данным ООН, только за период с января 2017 года по сентябрь 2018 года северокорейские хакеры похитили у пяти азиатских криптовалютных бирж примерно 571 000 000 долларов США.