Les hackers ont redirigé le courrier électronique et le trafic web destinés à plusieurs plateformes de négociation de devises cryptographiques au cours de la semaine dernière. Les attaques ont été facilitées par la négligeance d’employés de GoDaddy, le plus grand registraire de noms de domaine au monde.
Les hackers ont convaincu des employés de Godaddy de transférer la propriété et/ou le contrôle de domaines ciblés. En mars, une arnaque de type phishing avait déjà viser les employés du support de GoDaddy ce qui avait permis aux attaquants de prendre le contrôle d’au moins une demi-douzaine de noms de domaine, dont le site de courtage de transactions escrow.com.
Et en mai de cette année, GoDaddy a révélé que 28 000 comptes d’hébergement web de ses clients avaient été compromis suite à un incident de sécurité en octobre 2019 qui n’a été découvert qu’en avril 2020.
Cette dernière campagne semble avoir commencé le 13 novembre ou aux alentours de cette date, avec une attaque sur la plateforme de trading de cryptocurrency liquid.com.
“Un fournisseur d’hébergement de domaine “GoDaddy” qui gère l’un de nos principaux noms de domaine a transféré par erreur le contrôle du compte et du domaine à un acteur malveillant”, a déclaré Mike Kayamori, PDG de Liquid “Cela a donné à l’acteur la possibilité de modifier les enregistrements DNS et, à son tour, de prendre le contrôle d’un certain nombre de comptes de courrier électronique internes. L’acteur malveillant a ainsi pu compromettre partiellement notre infrastructure et accéder au stockage de documents”.
Au petit matin du 18 novembre, heure de l’Europe centrale (CET), le service de minage de NiceHash a découvert que certains paramètres de ses enregistrements de domaine chez GoDaddy avaient été modifiés sans autorisation, redirigeant brièvement le trafic de courrier électronique et de sites web vers le site. NiceHash a gelé tous les fonds de ses clients pendant environ 24 heures jusqu’à ce qu’elle puisse vérifier que les paramètres de son domaine avaient été modifiés pour revenir à leurs paramètres d’origine.
“Pour l’instant, il semble qu’aucun courriel, mot de passe ou donnée personnelle n’ait été consulté, mais nous vous suggérons de réinitialiser votre mot de passe et d’activer la sécurité 2FA”, a écrit la société dans un article de blog.
Le fondateur de NiceHash, Matjaz Skorjanc, a déclaré que les modifications non autorisées ont été effectuées à partir d’une adresse Internet chez GoDaddy, et que les attaquants ont essayé d’utiliser leur accès aux e-mails NiceHash entrants pour effectuer des réinitialisations de mots de passe sur divers services tiers, y compris Slack et Github. Mais il a déclaré que GoDaddy était impossible à joindre à l’époque parce qu’il subissait une panne de système généralisée dans laquelle les systèmes de téléphone et de courrier électronique ne répondaient pas.
Au petit matin du 18 novembre, heure de l’Europe centrale (CET), le service de mining NiceHash a découvert que certains paramètres de ses enregistrements de domaine chez GoDaddy avaient été modifiés sans autorisation, redirigeant brièvement le trafic de courrier électronique et de sites web vers un autre site. NiceHash a gelé tous les fonds de ses clients pendant environ 24 heures jusqu’à ce qu’elle puisse vérifier que les paramètres de son domaine avaient été modifiés pour revenir à leurs paramètres d’origine.
“Pour l’instant, il semble qu’aucun courriel, mot de passe ou donnée personnelle n’ait été consulté, mais nous vous suggérons de réinitialiser votre mot de passe et d’activer la sécurité 2FA”, a écrit la société dans un article de blog.
Le fondateur de NiceHash, Matjaz Skorjanc, a déclaré que les modifications non autorisées ont été effectuées à partir d’une adresse Internet chez GoDaddy, et que les attaquants ont essayé d’utiliser leur accès aux e-mails NiceHash entrants pour effectuer des réinitialisations de mots de passe sur divers services tiers, y compris Slack et Github. Mais il a déclaré que GoDaddy était impossible à joindre à l’époque parce qu’il subissait une panne de système généralisée dans laquelle les systèmes de téléphone et de courrier électronique ne répondaient pas.
“Nous avons détecté cela presque immédiatement [et] avons commencé à atténuer [l’] attaque”, “Rien n’a été volé”.
Skorjanc a déclaré que les hackers ont redirigé le service de messagerie de NiceHash vers privateemail.com, une plateforme de messagerie gérée par Namecheap Inc, un autre grand bureau d’enregistrement de noms de domaine. En utilisant Farsight Security, un service qui cartographie les changements apportés aux enregistrements de noms de domaine au fil du temps, le site KrebsOnSecurity a demandé au service de montrer tous les domaines enregistrés chez GoDaddy qui ont subi des modifications de leurs enregistrements de courrier électronique au cours de la semaine passée, ce qui les a dirigés vers privateemail.com. Ces résultats ont ensuite été indexés par rapport au million de sites web les plus populaires selon Alexa.com.
Le résultat montre que plusieurs autres plateformes de cryptologie monétaire ont très probablement été visées par le même groupe, notamment Bibox.com, Celsius.network et Wirex.app.
