Уязвимость в Firefox позволила совершить атаку на Coinbase

30 Август 2019

В этом месяце произошла одна из крупнейших хакерских атак на компанию Coinbase. Подробности о ней решил поведать пользователям главный директор Филипп Мартин. Он рассказал, что хакерам удалось совершить успешную атаку благодаря наличию в браузере Firefox опасных уязвимостей.

Они получили идентификаторы CVE-2019-11707 и CVE-2019-11708. Информация о них долгое время держалась в секрете, чтобы не спровоцировать повторные атаки.

Вредоносная кампания началась еще в конце мая текущего года и продолжалась в течение нескольких месяцев. Началось все со вполне безобидной на первый взгляд рассылки писем, на которую повелось очень много сотрудников компании. Электронные письма приходили якобы от Грегори Харриса, который является администратором исследовательских грантов Кембриджского университета. Письма приходили с легитимного университетского домена, поэтому не вызвали абсолютно никаких подозрений. К том же им далось успешно обойти используемые в Coinbase системы обнаружения спама, поэтому каждое письмо нашло своего адресата. Такие письма рассылались 2 недели, после чего активизировалась вредоносная рассылка. В середине июня злоумышленники осуществили отправку новых электронных писем, в которых уже содержалась вредоносная ссылка. При нажатии на нее начиналась эксплуатация уязвимости нулевого дня в популярном браузере Firefox. У одного из сотрудников компании новое письмо вызвало подозрения. Он просканировал свой персональный компьютер и обнаружил на нем подозрительную активность.

Первая уязвимость в Firefox была обнаружена еще весной, но хакеры очень быстро взяли ее на вооружение. Чуть позже к ней добавилась новая. Однако больше всего экспертов удивило то, что несколько недель подряд злоумышленники общались со своими жертвами и не вызывали абсолютно никаких подозрений.