Криптобиржи под ударом
Компания Group-IB, специализирующаяся на предотвращении кибератак, оценила ущерб от целевых атак на криптобиржи в 2017 г. и первые девять месяцев 2018 г. в $882 млн. По данным экспертов Group-IB, за этот период было взломано как минимум 14 криптобирж и пять из них атакованы северокорейской хакерской группой Lazarus.
Эти данные приведены в ежегодном отчете Hi-Tech Crime Trends 2018, представленном техническим директором Group-IB Дмитрием Волковым на прошедшей международной конференции CyberСrimeCon 2018. Один из блоков отчета посвящен анализу деятельности хакеров и мошенников в криптоиндустрии.
В большинстве случаев при атаках на криптобиржи хакеры используют традиционные инструменты и схемы, такие как целевой фишинг, социальная инженерия, загрузка вредоносных программ, дефейс сайта. В результате одной успешной атаки хакеры могут украсть десятки миллионов долларов в криптовалюте с минимальным риском быть пойманными, поскольку анонимность при проведении транзакций позволяет злоумышленникам достаточно безопасно вывести средства.
Основным вектором проникновения в корпоративные сети криптобирж является целевой фишинг. Например, злоумышленники отправляют поддельные резюме с темой "Engineering Manager for Crypto Currency job" и документом во вложении "Investment Proposal.doc", за которым скрывается вредоносная программа.
За последние полтора года северокорейская группа Lazarus атаковала как минимум пять криптобирж - Yapizon, Coinis, YouBit, Bithumb, Coinckeck. После заражения хакеры проводили разведку локальной сети, чтобы найти компьютеры или серверы, на которых велась работа с приватными кошельками криптобирж.
"В прошлом году мы предупреждали, что у хакеров, которые могут профессионально провести целенаправленную атаку, появилась новая цель - криптобиржи", - напомнил технический директор Group-IB Дмитрий Волков.
По словам Дмитрия Волкова, от рук организованных хакерских группировок за последние несколько лет пострадали крупные торговые площадки, некоторые из них после взлома объявили о банкротстве. "Например, Bitcurex, YouBit, Bitgrail. В начале 2018 г. внимание хакеров к криптобиржам только возросло, поэтому мы ожидаем, что такие группы, как Silence, MoneyTaker и Cobalt, могут провести несколько успешных взломов криптобирж", - подчеркнул Дмитрий Волков.
Хакеры наносят значительный ущерб и ICO-проектам - атакуют фаундеров, членов коммьюнити, сами платформы. В 2017 г. было похищено более 10% всех привлеченных инвестиций, а 80% проектов не выполнили обязательства перед инвесторами и исчезли после сбора средств.
Как рассказали в Group-IB, несмотря на пессимистические прогнозы финансирование ICO-проектов в текущем году увеличилось: только за первое полугодие 2018 г. ICO-проекты собрали почти $14 млрд - в два раза больше, чем за весь 2017 г. ($5,5 млрд) - по данным исследования CVA и PwC. Таким образом, в результате одной успешной атаки злоумышленники получают возможность украсть значительно больше средств.
В пресс-службе Group-IB рассказали, что в 2018 г. атакам подверглись проекты, проводящие закрытый раунд ICO. "Например, проект TON - Telegram Open Network, - основанный Павлом Дуровым, подвергся фишинговой атаке, в результате чего хакерам удалось украсть около $35 тыс. в Ethereum. Шквал DDoS-атак, лавина сообщений в каналы Telegram и Slack, спам по списку рассылок, как правило, происходят именно в день старта продаж токенов в рамках проведения ICO", - подчеркнули в Group-IB.
Наиболее популярным инструментом атак на ICO остается фишинг: на него приходится около 56% украденных средств. "В разгар "криптовалютной лихорадки" все стремятся как можно быстрее купить токены - зачастую они продаются с большой скидкой - и не обращают внимания на такие мелочи, как подмененные домены. Крупная фишинговая группировка похищает около $1 млн в месяц", - добавили в пресс-службе Group-IB.
Специалисты Group-IB отметили, что фишинговые атаки на ICO-проекты не всегда проводятся для кражи денег. В этом году зафиксировано несколько случаев кражи баз данных инвесторов, участвующих в ICO. Такая информация впоследствии может продаваться на теневых хакерских форумах или использоваться для шантажа.
"Также относительно новой схемой мошенничества на рынке ICO стала кража проекта White Paper и представление идентичной идеи под своим брендом. Мошенники создают лендинг под новым брендом и с новой командой, но с ворованным описанием, и объявляют о проведении ICO", - говорят в пресс-службе IB-Group.
В компании также составили прогноз: в группе риска вместе с ICO, криптобиржами окажутся и майнинг-пулы. Атаки на ICO по-прежнему будут актуальными для всех проектов, которые способны привлечь хорошие инвестиции. Для частных инвесторов, работающих с криптовалютами, основной угрозой останется фишинг и вредоносные программы.
В 2019 г. криптобиржи станут новой целью для наиболее агрессивных хакерских групп, атакующих банки. По оценкам IB-Group, количество целенаправленных атак на криптобиржи возрастет, при этом мошеннические фишинг-схемы с использованием криптобрендов будут усложняться. Также будет расти уровень подготовки к фишинговым атакам, все большее распространение получит автоматизация фишинга и использование готовых фишинг-наборов (Phishing-kits) - в частности, для атак на ICO.
"Крупнейшие майнинг-пулы в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой", - добавили в Group-IB.
Эксперты компании Group-IB отметили, что взлом японской криптовалютной биржи Coinckeck хакерской группой Lazarus произошел в январе 2018 г. В результате хакеры похитили 500 млн токенов NEM, что на момент кражи составляло около $534 млн. "В случае запуска вредоносных файлов на компьютеры жертв был установлен RAT, разработанный и постоянно обновляемый, именно группой Lazarus, что позволило нам обнаружить их причастность к данному инциденту", - подчеркнули в Group-IB.
Примечательно, что в сентябре 2018 г. Кибератаке вновь подверглась японская криптобиржа, на этот раз - Zaif. По данным Group-IB, с криптобиржи Zaif в сентябре было похищено $60 млн.
Как сообщили специалисты Group-IB, ICO-проектам в первую очередь следует проверить защищенность исходного кода сайта и веб-приложений. Также следует вести круглосуточный мониторинг социальных сетей и интернет-ресурсов, чтобы оперативно блокировать источники фишинговых рассылок для обмана инвесторов с использованием бренда проекта или имени фаундеров. Еще одной угрозой для ICO является инсайдерская работа, поэтому необходимо выявлять несанкционированный доступ и проводить проверку сотрудников, сторонних разработчиков и партнеров на связи с киберпреступниками.
По информации Group-IB, владельцам криптобирж следует сделать обязательной опцией двухфакторную аутентификацию для всех пользователей и их операций. Кроме того, регулярно проводить аудит защищенности ИТ-инфраструктуры самой биржи и связанных с ней сервисов, а также выделять ресурсы на обучение и повышение осведомленности персонала в области безопасности, начиная от топ-менеджмента (фаундеров) и заканчивая рядовыми сотрудниками.
Среди важных аспектов повышения уровня защиты криптобирж эксперты Group-IB также называют обязательную установку решений класса Threat Intelligence, использование возможностей киберразведки и внедрение антифрод-решений, включающих в себя системы поведенческого анализа. Также рекомендуется разработка оперативного плана реагирования на инцидент информационной безопасности, что позволит минимизировать потенциальный ущерб от кибератак.
"За весь прошлый год хакеры атаковали как минимум 7 крупных криптовалютных бирж, аналогичное число торговых площадок было взломано за первые девять месяцев 2018 г. Однако в результате одной атаки хакеры могут украсть значительно больше средств, так как объемы торгов на криптобиржах выросли за последний год", - пояснили специалисты Group-IB.
В пресс-службе Российской ассоциации криптоиндустрии и блокчейна (РАКИБ) отметили, что проблема кибербезопасности носит мировой характер. "Количество информационных утечек на криптовалютных биржах в начале 2018 г. значительно превосходило - более чем на 600% - среднемесячные показатели 2017 г. Однако к середине года наметился тренд на сокращение количества инцидентов. Компании, в том числе и российские, стали обращать больше внимания на вопросы информационной безопасности и уходить от недооценки возможностей киберпреступников", - подчеркнули в РАКИБ.
Как сообщили в пресс-службе РАКИБ, в России сформировался пул компаний - прежде всего речь идет о Positive Technologies, Group-IB и "Инфотекс", - которые готовы предлагать эффективные решения в области криптобезопаности, сравнимые с лучшими зарубежными аналогами. "Также активную позицию занимает технический комитет по стандартизации "Криптографическая защита информации" (ТК 26). В Россию приходят крупные мировые биржи, например Huobi, которые также готовы делиться своими разработками по информационной безопасности", - пояснили в РАКИБ.
"Выход рынка из серой зоны, повышение требований при разработке ICO-проектов, рост компетенций компаний, занимающихся вопросами безопасности, - эти тенденции позволяют предположить, что количество преступлений в области криптовалют будет снижаться", - добавили в РАКИБ.
Технический директор компании Serenity Василий Алексеев отметил, что громкие взломы криптовалютных бирж и ICO-проектов остались в прошлом. "Уже с весны интерес к подобным проектам и криптовалютам вообще резко пошел на спад, и хакеры вернулись к своим традиционным целям. Возможно, инерции, оставшейся с начала года, еще хватит на то, чтобы побить прошлогодний рекорд, но в 2019 г. подобные случаи уже вряд ли будут на слуху", - подчеркнул Василий Алексеев.
"С другой стороны, вследствие этого негативного фона, в деле остались те биржи и проекты, которые обладают достаточным опытом и профессионализмом, чтобы противостоять хакерским атакам. Средний уровень криптовалютных проектов конца 2018 г. на уровень выше того, что мы видели в 2017 г., и злоумышленникам придется с ними непросто", - добавил Василий Алексеев.
Сооснователь и директор по развитию бизнеса Zichain Вячеслав Тимербулатов рассказал, что в современном мире вся информация стремится перейти в диджитал-пространство. "В цифровом виде хранится буквально все - персональная информация, личные переписки, счета, - поэтому очень важное место занимает вопрос безопасности данных. Системы атак будут только усиливаться, но также будут совершенствоваться и системы защиты. Это естественный процесс. Мошенники понимают, что на криптовалютных биржах сосредоточены большие финансовые ресурсы, поэтому попытки кибератак будут предприниматься постоянно и количество их только возрастет. Компании, которые занимаются кибербезопасностью, должны прогнозировать появление новых видов атак и предлагать новые продукты для защиты наиболее уязвимых мест криптовалютных бирж и ICO-проектов", - пояснил Вячеслав Тимербулатов.
По его мнению, есть все предпосылки к тому, что в ближайшем будущем рынок криптовалют в России будет законодательно регулироваться, что снизит определенные риски, связанные с ICO-проектами.