2023. aastal toimunud CoinsPaid andmepüügirünnak oli Eesti ettevõtete vastu suunatuist suurima rahalise mõjuga – häkkerid varastasid üle 37 miljoni dollari ülatuses krüptoraha.
CoinsPaid on Eesti krüptovaluutade makselahendus, mis pakub teenuseid veebiettevõtetele ja kaupmeestele, võimaldades teha makseid krüptovaluutades. Ettevõte on avaldanud rünnaku kohta detailse kirjelduse, mille leiate siit.
CoinsPaid’i andmepüügirünnaku korraldas tõenäoliselt Lazaruse kuritegelik grupp, mida väidetavalt juhib Põhja-Korea valitsus. Nad kulutasid üle kuue kuu, et rünnakut ette valmistamistada ning etappide kaupa läbi viia.
CoinsPaid andmepüügirünnaku algus
Erinevat tüüpi rünnakud algasid 2023. aasta märtsis. Muuhulgas viidi läbi sotsiaalmanipulatsioone, teenustõkestusrünnakuid ja jõurünnakud. Märtsi lõpus võeti CoinsPaid’i võtmeinseneridega ühendust Ukraina krüptomaksete vahendaja nimel ning uuriti CoinsPaid’i infrastruktuuri kohta. Järgmiste kuude jooksul said erinevad CoinsPaid’i töötajad pidevaid sihitud andmepüügirünnakuid.
Ründajate eesmärk oli koguda asjakohast teavet, mis aitaks tulevast rünnakuid edukalt läbi viia. Töötajate ja sisemiste protsesside kohta saadav info aitab luua usaldusväärsuse mulje ning eksitada järgmisi rünnakusse kaasatud töötajaid.
CoinsPaid andmepüügirünnaku areng
Juunis ja juulis hakkasid CoinsPaid’i töötajad saama tööpakkumisi erinevatelt ettevõtetelt. Ründajad kasutasid teiste krüptoettevõtete, nagu crypto.com. Töötajad ei saanud aru, et tegemist oli andmekaebe eesmärgil tehtavate tööintervjuudega eesmärgiga saada täiendavat siseinfot.
Ründajad kasutasid pakkumiste edastamiseks erinevaid kanaleid, sealhulgas LinkedIni ja sõnumirakendusi. Mõnele tiimiliikmele pakuti isegi üle 24 000 USD suurust kuupalka. LinkedIni andmetel on enamik CoinsPaid’i töötajatest Ida-Euroopa riikides, nagu Poola ja Eesti, kus keskmine töötasu on üle kümne korra väiksem. Sellised uskumatuna tunduvad pakkumised olid mõeldud töötajate emotsioonide mõjutamiseks ja ettevaatlikkuse vähendamiseks.
Vähemalt üks CoinsPaid’i töötajatest osales võltsitud tööintervjuus. Töötajale anti testülesanne, milleks oli rakenduse nimega JumpCloud Agent installimine. JumpCloud on kataloogiplatvorm, mida kasutatakse kasutajate ja seadmete autentimiseks, autoriseerimiseks ja haldamiseks ning mille Lazaruse grupp häkkis 2023. aasta juulis. Pärast testülesande avamist varastati ligipääsuvõtmed, mis võimaldasid rühmal luua ühenduse CoinsPaid’i infrastruktuuriga. Ründajad kasutasid kogutud infot ja ära olemasolevat haavatavust, et avada tagauks süsteemis.
CoinsPaid andmepüügirünnaku rahaline mõju
Uurimisfaas aitas ründajatel ka taastada interaktsiooniliideste kaudu päringuid, et liigutada CoinsPaid’i rahalisi vahendeid krüptokukrust. Saadetud päringud tundusid korrektsed ja seetõttu suunati need täitmisele. Ründajad liikusid üle 100 miljoni USD läbi erinevate krüptovaluuta segamisteenuste. Bitcoinid pesti läbi Sindbad segaja, mida väidetavalt kasutavad kõige enam Põhja-Korea häkkerid. Mitme kriminaalasja kaudu suutis CoinsPaid tagasi saada üle 70 miljonit USA dollarit, mis tähendab, et umbes 37 miljonit dollarit on endiselt kadunud.
Inimene on nõrgim lüli
Selle juhtumi näitel näeme, et edukas rünnak koosnes mitmest edukast andmepüügirünnakust koos katsete ja altkäemaksuga CoinsPaid’i töötajatele ning CoinsPaid’i serverite vastu suunatud teenusetõkestusrünnakutest (DDoS). Põhimõtteliselt oli sotsiaalmanipulatsioon rünnaku keskne komponent. CoinsPaid’i finantsjuht Pavel Kashuba rõhutas, et vahetuspunktid peaksid pöörama tähelepanu digihügieenile ja tagama töötajatele piisava koolituse kõigi küberkuritegude liikide jaoks. CoinsPaid’i tegevjuht Max Krupyshev märkis, et „Inimesed jäävad endiselt nõrgimaks lüliks.“
Andmepüügirünnakud muutuvad üha tõhusamaks
Väiksemates riikides, nagu Eesti ja teised Balti riigid, olid ettevõtted õngitsusrünnakute eest mõnevõrra kaitstud kohalike keelte kasutuse tõttu. Kuid suured keelemudelid on seda olukorda muutnud. Alates ChatGPT käivitamisest 2022. aastal on vishingu, smishingu ja õngitsusrünnakute arv kasvanud 1265%. Suured keelemudelid ja nende toetavad teenused võimaldavad pahatahtlikel isikutel automaatselt genereerida sihipäraseid andmepüügirünnakuid ka kohalikes keeltes.
Kuigi CoinsPaid ei ole täpsustanud, millistes keeltes rünnakud toimusid, on tõenäoline, et osa rünnakutest viidi läbi töötajate emakeeltes: eesti, poola või ukraina keeles.
CoinsPaid’iga seotud järgmised rünnakud
6. jaanuaril teatas Web3 turvafirma Cyvers, et CoinsPaid’i süsteeme häkiti taas. Nad tuvastasid volitamata tehingud, mille väärtus oli 7,5 miljonit USD. Seekord hinnati ettevõtte kogukahju umbes 6,1 miljonile dollarile.
Pidev koolitamine on oluline
Oma artiklis, kus võrdleme ühekordse ja pideva õngitsuskoolitust, toome välja pideva testimise ja koolitustamise eelised. Ühekordsed testid ei ole nii tõhusad kui järjepidev õngitsuskoolitus. Coinspaid’i näide on tõestanud, et pidev töötajate harimine ning pidev õngitsuskoolitus on muutunud hädavajalikuks.
