Раскрыты подробности взлома Bitstamp на сумму 5 миллионов долларов

Согласно неподтвержденному отчету об инциденте, который, как утверждается, был подготовлен внутри компании Bitcoin биржи, шесть сотрудников Bitstamp подверглись фишинговой атаке, которая длилась несколько недель и привела к краже Bitcoin на сумму около 5 млн долларов в январе.

Конфиденциальный документ, размещенный вРеддит с помощью специального аккаунта, предлагает подробный взгляд на то, что, как полагают, является внутренней историей взлома, который привел к потеречуть меньше 19 000 BTC ранее в этом году. С тех пор компания предоставила скудные подробности о том, что происходило за кулисами, ссылаясь на конфиденциальность в отношении расследования утерянных средств.

Результаты отчета примечательны, поскольку они иллюстрируют риски, с которыми сталкиваются биржи Bitcoin , включая атаки с применением социальной инженерии, при которых персональные данные используются для обмана жертв с целью получения доступа к конфиденциальным материалам.

В случае с Bitstamp те, кто стоял за атакой, использовали Skype и электронную почту для общения с сотрудниками и пытались распространять файлы, содержащие вредоносное ПО, апеллируя к их личным историям и интересам. Система Bitstamp была скомпрометирована после того, как системный администратор Лука Кодрик загрузил файл, который, по его мнению, был отправлен представителем организации, которая хотела получить его членство.

В отчете, приписываемом генеральному юрисконсульту Bitstamp Джорджу Фросту, поясняется:

«11 декабря в рамках этого предложения злоумышленник отправил ряд вложений. ONE из них, UPE_application_form.doc, содержало запутанный вредоносный скрипт VBA. При открытии этот скрипт автоматически запускался и скачивал вредоносный файл с IP-адреса 185.31.209.145, тем самым ставя под угрозу работу машины».

В конечном итоге злоумышленникам удалось получить доступ к двум серверам, содержащим файл wallet.dat для HOT кошелька Bitstamp и парольную фразу для этого файла.

Сообщается, что информация, содержащаяся в отчете, получена в результате стороннего расследования, проведенного фирмой цифровой криминалистики.Строц Фридберг, а также от следователей, работающих в Secret службе США, Федеральном бюро расследований и британских органах по борьбе с киберпреступностью.

На момент составления отчета расследование взлома все еще продолжалось, но арест ожидался в NEAR будущем. В отчете упоминается попытка следователей создать «медовую ловушку», чтобы заманить [злоумышленника] в Великобританию для проведения ареста».

Bitstamp отказался комментировать подлинность отчета, когда с ним связались. Представитель Stroz Friedberg не был немедленно доступен для комментариев.

Расширенная попытка фишинга

Согласно отчету, самая ранняя попытка фишинга имела место 4 ноября, когда ONE из злоумышленников связался с Технологии директором Bitstamp Дэмианом Мерлаком и предложил бесплатные билеты на панк-рок-фестиваль.

С главным операционным директором Михой Гркаром в середине ноября связался по Skype некто, выдававший себя за репортера. В этом обмене сообщениями этот человек процитировал прошлые статьи, написанные Гркаром, когда он сам был репортером, освещавшим новости в Греции.

В отчете отмечается:

«26 ноября в рамках этого обмена файлами в автономном режиме (например, документом Word) ivan.foreignpolicy попытался отправить текстовый документ недавней статьи, якобы ища комментарий от г-на Гркара. Г-н Гркар отказался принять документ».

Двумя днями ранее с менеджером службы поддержки Bitstamp Анжеем Симичаком также удалось связаться по Skype, и в этом случае злоумышленник представился человеком, ищущим дополнительную информацию о RippleWise, проекте, в котором Симичак является главным операционным директором.

В начале декабря были выявлены еще несколько сотрудников Bitstamp, включая Кодрича, чья учетная запись в конечном итоге была скомпрометирована. Затем был скомпрометирован компьютер сотрудника Михи Храста после того, как ему отправили сообщение по Skype, хотя у него не было прав доступа к серверам.

Сервер скомпрометирован

После того, как компьютер Кодрика был взломан, согласно отчету, между 17 и 22 декабря были созданы дополнительные вредоносные файлы. 23 декабря учетная запись Кодрика была использована для входа на сервер, на котором хранился файл wallet.dat.

29 декабря злоумышленники использовали компьютер Кодрича, чтобы получить доступ к серверам, содержащим файл wallet.dat и парольную фразу кошелька.

«Мы подозреваем, что на этом этапе злоумышленник скопировал файл Bitcoin кошелька и парольную фразу, из-за корреляции между размером этих файлов и размером передачи данных, видимой в журналах», — отмечается в отчете. «Хотя фактическое содержание переводов не может быть подтверждено из доступных журналов».

Менее чем через неделю, продолжает отчет, кошелек был опустошен, при этом отмечается:

«4 января злоумышленник опустошил кошелек Bitstamp, о чем свидетельствует блокчейн. Хотя максимальное содержимое этого кошелька составляло 5000 биткойнов в любой ONE времени, злоумышленник смог украсть более 18 000 биткойнов в течение дня, поскольку клиенты вносили дополнительные депозиты».

QUICK ответ

Bitstamp быстро приняла меры по оценке и минимизации ущерба, согласно отчету, выпустив общекорпоративное оповещение и создав группу реагирования на инциденты. Компания узнала о краже вечером 4 января, и после проверки серверов обнаружила запись от 29 декабря и передачу данных.

Stroz Friedberg начала расследование 8 января, работая из словенского офиса компании.

В отчете отмечается:

«Вскоре после Истории атаки Bitstamp приняла дорогостоящее, но необходимое решение перестроить всю нашу торговую платформу и вспомогательные системы с нуля, вместо того чтобы пытаться перезагрузить нашу старую систему. Мы сделали это из безопасной резервной копии, которая поддерживалась (согласно процедурам восстановления после сбоев) в среде «чистой комнаты».

В отчете также говорится, что в это время Bitstamp «решила развернуть свою дистрибьюторскую сеть с использованием серверов облачной инфраструктуры Amazon, расположенных в Европе».

Ущерб оценен

Bitstamp потерял 18 866 BTC со своего HOT кошелька на сумму около 5 263 614 долларов США в то время, когда средняя цена Bitcoin составляла 279 долларов США.

Однако ущерб вышел за рамки биткоинов в HOT кошельке, поясняется в отчете, и отмечается:

«Bitstamp потерял клиентов, включая крупных клиентов, предоставляющих торговые услуги в Bitcoin, и понес значительный ущерб своей репутации, который мы не можем точно оценить на данный момент, но который, по нашему мнению, превышает 2 миллиона долларов».

Дополнительные расходы включают $250 000, выплаченных команде Stroz Friedberg, $250 000, выплаченных разработчикам за перестройку платформы, и $150 000 в виде консалтинговых и консультационных сборов. Расходы, включая выплаченные Stroz Friedberg, «продолжают накапливаться», согласно отчету.

После атаки биржа теперь использует доступ к кошельку с несколькими подписями и заключила контракт с Xapo на управление своим холодным хранилищем кошельков.

Несмотря на убытки и предполагаемый репутационный ущерб, компания охарактеризовала инцидент как полезный опыт, сделав следующий вывод:

«Это была значительная потеря для Bitstamp, и это поставило под еще большее сомнение безопасность и целостность экосистемы Bitcoin . Однако все могло быть гораздо хуже, и мы полны решимости использовать это как инструмент обучения и как основу для усовершенствования наших Технологии, протоколов безопасности, планирования реагирования на инциденты и так FORTH».

Конфиденциальные документы изображение через Shutterstock