CryptoCore также известна под именами Crypto-gang, Dangerous Password и Leery Turtle.
Специалисты ClearSky нашли единый почерк в организации работы, используемой цифровой инфраструктуре и направлений атак, сделав вывод, что в ряде эпизодов стояла одна и та же группа хакеров.
«CryptoCore — группа, нацеленная почти исключительно на криптовалютные биржи и их партнеров посредством атак на цепочки поставок. На сегодняшний день известно, что этот альянс хакеров аккумулировал порядка $70 в результате успешных действий. По нашим расчетам, за два года группе удалось собрать более $200 млн», — говорится в отчете ClearSky.
Взяв за основу временную метку первого известного случая похожих атак, в компании установили, что хакеры начали свою деятельность в середине 2018 года и с тех пор «поддерживали устойчивую активность».
ClearSky не удалось обнаружить местонахождение команды, однако в компании считают, что она базируется в Украине, России или Румынии. В группу входит от трех до четырех человек, которые не обладают чрезвычайно высоким уровнем технической подготовки, что не мешает ей быть очень эффективной за счет настойчивости и быстроты.
«Ключевая цель CryptoCore — получить доступ к кошелькам криптовалютных бирж. Для такого рода операций группа начинает с обширной фазы разведки против компании, ее руководителей, специалистов высокого звена и IT-персонала. Основной вектор проникновения группы на биржу обычно осуществляется через фишинг корпоративной сети и электронную почту руководителей», — отметили специалисты.
После получения доступа к электронной почте злоумышленники получают контроль над ключами от криптокошельков. Группа действует незаметно до тех пор пока ей не удается обойти всю защиту многофакторной аутентификации.
