Ексклюзив: хакер TalkTalk також зламав біржу криптовалют EtherDelta

Влада США висунула звинувачення двом підозрюваним у зламі біржі криптовалют EtherDelta у грудні 2017 року, змінивши налаштування DNS сайту та переспрямування трафіку на клон, де вони реєстрували облікові дані користувача, а потім викрадали клієнта коштів.

Одним із двох підозрюваних є Елліотт Гантон, також відомий як «Глубз», 20-річний хлопець із Великобританії, більш відомий за участь у зломі TalkTalk.

Інший — Ентоні Тайлер Нашатка, також відомий як «псих», мешканець Нью-Йорка.

Лише за тиждень ці двоє пройшли шлях від купівлі телефонного номера співробітника EtherDelta на чорному ринку до крадіжки коштів у тисяч користувачів EtherDelta.

Хакери отримали особисті дані генерального директора EtherDelta

Згідно з судовими документами, отриманими ZDNet з повідомлення, все почалося 13 грудня, коли Nashakta купив особисті дані співробітника EtherDelta за допомогою біткойнів.

Дані, які, ймовірно, були отримані від підпільних торговців даними, містили номер телефону та адресу електронної пошти співробітника.

Хоча в судових документах цей співробітник ідентифікується лише як Z.C., вважається, що цією людиною є Закарі Коберн, генеральний директор компанії, оскільки лише його облікові записи дозволили хакеру зробити те, що вони зробили далі.

У судових документах не сказано, чи Нашакта спеціально націлився на дані Коберна, оскільки він був генеральним директором EtherDelta, чи хакер випадково знайшов їх у більшому пулі даних і зрозумів, хто він такий.

Однак пізніше тієї ж ночі, усвідомлюючи цінність отриманих ним деталей, Нашакта зв’язався з Гантоном і розробив плани викрадення облікових записів Cloudflare і Dreamhost EtherDelta.

Хакери переадресували телефонний номер генерального директора

З місця все зрушилося не відразу, а через шість днів, 19 грудня 2017 року. Судові документи показують, що Гантону якимось чином вдалося переконати оператора мобільного зв’язку додати номер переадресації дзвінків до мобільного рахунку Коберна.

Це означало, що будь-які вхідні дзвінки на телефон Коберна перенаправлятимуться на номер Google Voice, яким вони керують.

Гантон і Нашатка не гаяли часу й негайно використали функцію переадресації викликів, щоб тихо обійти двофакторну автентифікацію (2FA) в обліковому записі EtherDelta (адміністратора) Коберна.

Через день, 20 грудня, двоє переїхали, щоб отримати вигоду від свого злому. Спочатку вони почали зі зміни налаштувань DNS на порталі компанії G Suite і перенаправляли трафік Gmail через британський сервер, яким вони володіли, дозволяючи їм перехоплювати та приховувати певні електронні листи.

Наступним кроком було скинути пароль в обліковому записі Cloudflare EtherDelta, отримати посилання для скидання пароля з Coburn перехоплені електронні листи та доступ до облікового запису Cloudflare як нові власники, змінивши пароль і заблокувавши іншу компанію працівників.

Останній крок полягав у зміні DNS-записів EtherDelta в обліковому записі Cloudflare і додаванні нових значень, фактично спрямовуючи офіційний сайт EtherDelta на веб-сервер, яким вони керували. Тут обидва розмістили клон оригінального сайту, але той, який реєстрував облікові дані користувачів.

Перенаправлення DNS тривало лише кілька годин, поки його не помітили широко висвітлено в ЗМІ.

Після того, як їхній план було розкрито, вони перейшли до того, щоб заробити на викрадених облікових даних. Хоча в судових документах не вказується, скільки вони заробили, вони показують, що одна жертва повідомила про втрату понад 800 000 доларів.

Гантон вже засуджений у Великобританії

Звинувачення було пред'явлено 13 серпня в Сан-Франциско. Через три дні Гантон був засуджений до 20 місяців позбавлення волі у Великобританії за торгівлю особистими даними в Інтернеті за криптовалюту після його арешту в 2018 році. Вважається, що справа США походить від даних, знайдених на пристроях Гантона.

У США цим двом пред'явлено п'ять пунктів звинувачення кожному з максимальним покаранням у вигляді тюремного ув'язнення до 20 років, до трьох років звільнення під наглядом і штрафу до 250 000 доларів.

За іронією долі, у листопаді 2018 року Комісія з цінних паперів і бірж США також висунула звинувачення Коберну, генеральному директору EtherDelta, у веденні незареєстрованої біржі цінних паперів [PDF].