Spear-Phishing Hacker stehlen Krypto-Börsen über 200 Millionen Dollar

Spear-Phishing Hacker stehlen Krypto-Börsen über 200 Millionen Dollar

By Hassan Maishera - Min. gelesen
Aktualisiert 21 April 2021

CryptoCore, von dem angenommen wird, dass er von Osteuropa aus operiert, hat es geschafft, mehrere Krypto-Börsen auf der ganzen Welt zu infiltrieren.

Ein Bericht, der dem Nachrichtensender ZDnet übermittelt wurde, hat enthüllt, dass eine organisierte Gruppe von Hackern vermutlich von Osteuropa aus operiert und über 200 Millionen Dollar aus Online-Krypto-Börsen gestohlen hat.

Der Leiter des Forschungsteams von ClearSky, Or Blatt, sagte, die Gruppe sei seit 2018 aktiv. ClearSky, eine Cyber-Sicherheitsfirma, hat die Aktivitäten der Hacker verfolgt, die unter dem Pseudonym CryptoCore durchgeführt wurden.

Blatt erklärte, dass es ihrem Team gelungen sei, CryptoCore mit fünf erfolgreichen Hacks in Verbindung zu bringen; allerdings habe die Gruppe auch weitere 10 bis 20 Krypto-Börsen ins Visier genommen.

Die fünf bestätigten Opfer der Hacker befinden sich in Japan, den USA und im Nahen Osten. Aufgrund von Geheimhaltungsvereinbarungen war es Blatt nicht möglich, die Namen dieser Opfer preiszugeben.

ClearSky sagt, dass einige der Operationen von CryptoCore zuvor in isolierten Berichten dokumentiert wurden, in denen die Gruppe als „Dangerous Password“ und „Leery Turtle [PDF]“ identifiziert wurde. Die israelische Sicherheitsfirma sagt, die Operationen der Gruppe seien weiterverbreitet gewesen als dokumentiert.

Doch obwohl die Gruppe seit fast drei Jahren im Einsatz ist, habe sie nach Angaben von ClearSky konsequent an der gleichen Taktik festgehalten, mit minimalen Abweichungen bei ihren Angriffen.

Laut ClearSky beginnen alle ihre Angriffe mit einer Phase der Informationsbeschaffung, in der sie die notwendigen Details sammeln, um das IT-Personal, das Management und andere relevante Mitarbeiter einer Börse ins Visier zu nehmen. Die ersten Phishing-Angriffe beginnen immer gegen persönliche E-Mail-Konten und nicht gegen die des Unternehmens, da diese höchstwahrscheinlich weniger sicher sind. Einige Konten enthalten auch Geschäftsinformationen.

Von hier aus gehen die Betreiber von CryptoCore schließlich dazu über, auch Geschäftskonten ins Visier zu nehmen. Dies erfordert einige Stunden bis Wochen.

„Es ist eine Frage von Stunden bis Wochen, bis die Spear-Phishing-E-Mail an ein Firmen-E-Mail-Konto des Exekutivorgans einer Börse gesendet wird“, sagte ClearSky.

Spear-Phishing wird in der Regel von Hackern durchgeführt, die sich als hochrangiger Mitarbeiter der Zielorganisation mit Verbindungen zum Zielmitarbeiter ausgeben.

Das Endziel der Gruppe besteht darin, Malware auf dem Computer eines Mitarbeiters oder Managers zu installieren, die es ihm ermöglicht, Zugang zu einem Passwort-Manager-Konto zu erhalten. Von hier aus nutzen die Hacker diese Passwörter, um auf Konten und Wallets zuzugreifen, Authentifizierungssysteme zu deaktivieren und mit dem Transfer von Geldern aus den Hot Wallets der Börse zu beginnen.

CryptoCore ist inzwischen die zweite bekannte organisierte Gruppe, die sich in den letzten drei bis vier Jahren wiederholt gegen Krypto-Börsen gewandt hat.