08/06/20
Японская криптовалютная биржа Coincheck сообщила о кибератаке. Преступники перехватили контроль над учетной записью сервиса регистрации доменов и взломали одно из его доменных имен для осуществления фишинговых атак.
По данным службы безопасности биржи, злоумышленники смогли получить доступ к сервису регистрации доменов Oname.com, а затем к электронным письмам клиентов. После обнаружения уязвимости регистрационная информация домена была изменена, а уязвимость исправлена.
Хотя Coincheck не предоставил каких-либо технических подробностей об атаке, японский исследователь безопасности Масафуми Негиши сообщил , что злоумышленники модифицировали основную запись DNS для домена Coincheck symbheck.com. Coincheck использует управляемый сервис Amazon DNS, то есть DNS-сервер Amazon обрабатывает операцию возврата IP-адреса сервера, когда пользователи должны были подключиться к домену coincheck.com. По словам Масафуми, преступники зарегистрировали похожий домен на сервере AWS и заменили оригинальный awsdns-61.org на awsdns-061.org в бэкэнде Oname.com, что позволило управлять DNS-запросами для портала Coincheck.
Киберпреступники не использовали данный доступ для перенаправления всего web-трафика биржи, а вместо этого рассылали фишинговые электронные письма определенным пользователям, выдавали себя за сотрудников coincheck.com и перенаправляли ответы на свои собственные серверы.
Биржа приостановила операции по переводу денежных средств на своей платформе и в настоящее время расследует инцидент. Другие операции, такие как снятие средств или депозиты, не были заблокированы. Как сообщили представители Coincheck, около 200 клиентов, предположительно, общались с преступниками, которые выдавали себя за официальных сотрудников Coincheck.
