Pagpapalawak ng Operasyon ng GreedyBear
Ang Russian hacking group na GreedyBear ay pinalawak ang kanilang operasyon sa mga nakaraang buwan, gamit ang 150 “weaponized Firefox extensions” upang targetin ang mga internasyonal at English-speaking na biktima, ayon sa pananaliksik mula sa Koi Security. Sa pag-publish ng mga resulta ng kanilang pananaliksik sa isang blog, iniulat ng Koi, na nakabase sa U.S. at Israel, na ang grupo ay “muling nagtakda ng pamantayan para sa industrial-scale crypto theft,” gamit ang 150 weaponized Firefox extensions, halos 500 nakakahamak na executable, at “dosenang” phishing websites upang magnakaw ng higit sa $1 milyon sa nakaraang limang linggo.
Mga Estratehiya ng Atake
Sa pakikipag-usap sa Decrypt, sinabi ni Koi CTO Idan Dardikman na ang Firefox campaign ay “sa malayo” ang kanilang pinaka-kapaki-pakinabang na atake, na “nakuha ang karamihan sa $1 milyon na iniulat ng sarili nito.” Ang partikular na estratehiyang ito ay kinabibilangan ng paglikha ng mga pekeng bersyon ng malawak na na-download na crypto wallets tulad ng MetaMask, Exodus, Rabby Wallet, at TronLink.
Ang mga operatiba ng GreedyBear ay gumagamit ng Extension Hollowing upang malampasan ang mga hakbang sa seguridad ng marketplace, sa paunang pag-upload ng mga hindi nakakahamak na bersyon ng mga extension, bago i-update ang mga app na may nakakahamak na code. Nagpo-post din sila ng mga pekeng pagsusuri ng mga extension, na nagbibigay ng maling impresyon ng tiwala at pagiging maaasahan. Ngunit sa oras na ma-download, ang mga nakakahamak na extension ay ninanakaw ang mga kredensyal ng wallet, na ginagamit naman upang magnakaw ng crypto.
Paglago ng Operasyon
Hindi lamang nakapag-nakaw ang GreedyBear ng $1 milyon sa loob ng higit sa isang buwan gamit ang pamamaraang ito, kundi pinalakas din nila ang sukat ng kanilang mga operasyon, kung saan ang isang nakaraang kampanya–aktibo mula Abril hanggang Hulyo ng taong ito–ay kinasasangkutan lamang ng 40 extension. Ang isa pang pangunahing paraan ng atake ng grupo ay kinabibilangan ng halos 500 nakakahamak na Windows executables, na idinagdag nila sa mga Russian websites na namamahagi ng pirated o repacked software.
Ang mga ganitong executable ay kinabibilangan ng mga credential stealers, ransomware software, at trojans, na iminumungkahi ng Koi Security na nagpapakita ng “malawak na pipeline ng pamamahagi ng malware, na kayang magbago ng taktika kung kinakailangan.” Lumikha rin ang grupo ng dosenang phishing websites, na nagpapanggap na nag-aalok ng mga lehitimong serbisyo na may kaugnayan sa crypto, tulad ng mga digital wallets, hardware devices, o serbisyo sa pagkukumpuni ng wallet.
Target at Sentro ng Operasyon
“Mahalagang banggitin na ang Firefox campaign ay nag-target ng mas global/English-speaking na mga biktima, habang ang mga nakakahamak na executable ay nag-target ng mas maraming Russian-speaking na mga biktima,” paliwanag ni Idan Dardikman, sa pakikipag-usap sa Decrypt. Sa kabila ng iba’t ibang mga pamamaraan ng atake at mga target, iniulat din ng Koi na “halos lahat” ng mga domain ng atake ng GreedyBear ay nag-uugnay pabalik sa isang solong IP address: 185.208.156.66.
Ayon sa ulat, ang address na ito ay nagsisilbing sentrong hub para sa koordinasyon at koleksyon, na nagpapahintulot sa mga hacker ng GreedyBear na “mapadali ang mga operasyon.” Sinabi ni Dardikman na ang isang solong IP address “ay nangangahulugang mahigpit na sentralisadong kontrol” sa halip na isang distributed network. “Ito ay nagpapahiwatig ng organisadong cybercrime sa halip na sponsorship ng estado–karaniwang gumagamit ang mga operasyon ng gobyerno ng distributed infrastructure upang maiwasan ang mga solong punto ng pagkabigo,” dagdag niya. “Malamang na mga grupong kriminal na Ruso na kumikilos para sa kita, hindi sa direksyon ng estado.”
Mga Tip para sa Pag-iwas
Sinabi ni Dardikman na malamang na ipagpatuloy ng GreedyBear ang kanilang mga operasyon at nagbigay ng ilang mga tip para sa pag-iwas sa kanilang lumalawak na abot. “Mag-install lamang ng mga extension mula sa mga napatunayang developer na may mahabang kasaysayan,” aniya, na idinadagdag na ang mga gumagamit ay dapat palaging iwasan ang mga pirated software sites. Inirekomenda rin niya ang paggamit lamang ng opisyal na wallet software, at hindi mga browser extension, bagaman inirekomenda niyang lumayo mula sa software wallets kung ikaw ay isang seryosong pangmatagalang mamumuhunan. Sinabi niya, “Gumamit ng hardware wallets para sa makabuluhang crypto holdings, ngunit bumili lamang mula sa mga opisyal na website ng tagagawa–gumagawa ang GreedyBear ng mga pekeng hardware wallet sites upang magnakaw ng impormasyon sa pagbabayad at mga kredensyal.”
