Pracownicy GoDaddy padli ofiarą ataku za pomocą inżynierii społecznej. W efekcie umożliwili hakerom przejęcie domen giełdy i kopalni kryptowalut, a prawdopodobnie również kilku innych platform z branży crypto.

O pierwszym incydencie poinformował Mike Kayamori, szef giełdy Liquid we wpisie na blogu.

„13 listopada dostawca hostingu firma GoDaddy, która zarządza jedną z naszych kluczowych domen, w wyniku popełnionego błędu przekazała kontrolę nad naszym kontem i adresem wrogiemu podmiotowi. Umożliwiło to sprawcy dokonanie zmian w zapisach DNS i, w efekcie, przejęcie kontroli nad częścią wewnętrznych kontr e-mail. Doszło również do częściowego zagrożenia naszej infrastruktury i uzyskania dostępu przez hakera do bazy dokumentów” – pisze Kayamori.

Ataków na platformy crypto było więcej

Atak został powstrzymany, ale Liquid to nie jedyna firma, która ucierpiała wskutek niedopatrzenia pracowników GoDaddy. Ofiarą hakera, korzystającego z metod social engineering, padł również serwis miningowy NiceHash. 18 listopada kopalnia odkryła, że część ustawień dla jej domen utrzymywanych w GoDaddy została zmieniona bez autoryzacji. Doszło m.in. do przekierowania domeny oraz adresów e-mail. W reakcji na atak NiceHash zamroził konta wszystkich użytkowników na 24 godziny, dopóki problem nie został rozwiązany. Serwis zalecił swoim klientom uruchomienie dwupoziomowego uwierzytelnienia.

Jak wyjaśnił Matjaz Skorjanc, założyciel NiceHash, w wypowiedzi dla serwisu KrebsOnSecurity.com, który opisał oba incydenty, nieautoryzowanych zmian dokonano z adresu utrzymywanego w GoDaddy. Hackerzy próbowali ponadto wykorzystać dostęp do przychodzących e-maili NiceHash, by dokonać resetu haseł na kontach NiceHash u zewnętrznych usługodawców, w tym na Slacku i Githubie. W tym czasie GoDaddy był niedostępny, ponieważ – jak wyjaśnia Skorjanc – zmagał się z dużą awarią systemową.

Podobnych incydentów było prawdopodobnie więcej. Eksperci KrebsOnSecurity przeprowadzili w tej sprawie analizę za pomocą Farsight Security – narzędzia, które umożliwia monitorowanie zmian wprowadzanych w rejestrach domen. Ponieważ e-mail NiceHash podczas został przekierowany na konto serwisu PrivateEmail.com, specjaliści z Krebs sprawdzili, które jeszcze domeny hostowane w GoDaddy zostały poddane podobnym modyfikacjom w ciągu minionego tygodnia.

GoDaddy potwierdza, że jego pracownicy dali się zmanipulować hakerom

Jako dodatkowy czynnik wzięto pod uwagę obecność adresów na liście miliona najpopularniejszych stron według rankingu Alexa. Okazało się, że w podobnej sytuacji, co Liquid i NiceHash mogły znaleźć się również takie marki z branży crypto, jak Bibox.com, Celsius.network, Wirex.app i kilka innych. Przedstawiciele żadnego z wymienionych serwisów nie odpowiedzieli na pytania KrebsOnSecurity. Zareagował natomiast GoDaddy, który przyznał, że „niewielka liczba” domen utrzymywanych w tym serwisie została poddana modyfikacji po tym, jak „ograniczona” liczba pracowników GoDaddy dała się nabrać na socjotechniczny scam. Rejestrator zaznaczył, że awaria, która miała miejsce 17 listopada, nie pozostawała w związku z atakiem hakerskim.

To nie pierwsza tego typu wpadka GoDaddy. W maju tego roku serwis ujawnił, że 28 tys. kont jego użytkowników zostało narażonych na wyciek danych. Wcześniejsze problemy z bezpieczeństwem miały miejsce w październiku zeszłego roku.

Tagi: atak hakerski, crypto, GoDaddy, inżynieria społeczna, KrebsOnSecurity, Liquid, mining, NiceHash, social engineering