Розкрито подробиці злому Bitstamp на 5 мільйонів доларів

Відповідно до непідтвердженого звіту про інцидент, який, як кажуть, був підготовлений біржею Bitcoin , шість співробітників Bitstamp стали мішенню під час тижневої спроби фішингу, яка призвела до крадіжки приблизно 5 мільйонів доларів США в Bitcoin у січні.

Конфіденційний документ, надісланий за адресою Reddit за допомогою спеціального облікового запису, пропонує поглиблений погляд на те, що, як вважають, є внутрішньою історією злому, що призвело до втрати трохи менше 19 000 BTC на початку цього року. Відтоді компанія надала скупі подробиці про те, що відбувалося за лаштунками, посилаючись на конфіденційність щодо розслідування втрачених коштів.

Висновки звіту примітні, оскільки вони ілюструють ризики, з якими стикаються біржі Bitcoin , включаючи атаки соціальної інженерії, під час яких особиста інформація використовується, щоб обманом змусити жертв надати доступ до конфіденційних матеріалів.

У випадку з Bitstamp ті, хто стоїть за атакою, використовували Skype і електронну пошту для спілкування зі співробітниками та намагалися поширювати файли, що містять зловмисне програмне забезпечення, посилаючись на їхні особисті історії та інтереси. Система Bitstamp була скомпрометована після того, як системний адміністратор Лука Кодріч завантажив файл, який, на його думку, був надісланий представником організації, яка шукала його членства.

У звіті, який приписують головному юрисконсульту Bitstamp Джорджу Фросту, пояснюється:

"11 грудня в рамках цієї пропозиції зловмисник надіслав кілька вкладень. ONE з них, UPE_application_form.doc, містило обфускований шкідливий сценарій VBA. Після відкриття цей сценарій запускався автоматично та видаляв шкідливий файл з IP-адреси 185.31.209.145, таким чином скомпрометувавши машину".

Зрештою зловмисники змогли отримати доступ до двох серверів, що містять файл wallet.dat для HOT гаманця Bitstamp і парольну фразу для цього файлу.

Вважається, що інформація, що міститься у звіті, походить від стороннього розслідування, проведеного компанією цифрової криміналістики. Строц Фрідберг, а також від слідчих, які працюють у Secret службі США, Федеральному бюро розслідувань і британських органах боротьби з кіберзлочинністю.

На момент підготовки звіту розслідування злому все ще тривало, але NEAR часом очікується арешт. У доповіді йдеться про спробу слідчих створити «медову пастку», щоб заманити [зловмисника] до Великобританії з метою арешту».

Bitstamp відмовився коментувати достовірність звіту. Представник Stroz Friedberg не був доступний для коментаря.

Довга спроба фішингу

Згідно зі звітом, перша спроба фішингу сталася 4 листопада, коли ONE із зловмисників зв’язався з головним Технології директором Bitstamp Деміаном Мерлаком, запропонувавши безкоштовні квитки на панк-рок-фестиваль.

У середині листопада з операційним директором Міхою Грчарем зв’язався через Skype хтось, видаючи себе за репортера. У цьому обміні особа цитувала минулі статті, написані Грчаром, коли він сам був репортером, висвітлюючи новини в Греції.

У звіті зазначається:

"26 листопада в рамках цього обміну офлайн-файлом (наприклад, документом Word) ivan.foreignpolicy спробував надіслати документ Word із нещодавньою статтею, нібито запитуючи коментар від пана Грчара. Пан Грчар відмовився прийняти документ".

За два дні до цього менеджер служби підтримки Bitstamp Анжей Сімічак також зв’язався через Skype, і в цьому випадку зловмисник видавав себе за людину, яка шукає більше інформації про RippleWise, проект, для якого Сімічак виконує обов’язки головного операційного директора.

На початку грудня зв’язалися з ще кількома співробітниками Bitstamp, у тому числі Кодріком, чий обліковий запис було зрештою зламано. Комп’ютер співробітника Міхи Храста був зламаний після того, як йому надіслали повідомлення в Skype, хоча він не мав прав доступу до серверів.

Сервер зламано

Згідно зі звітом, після проникнення на комп’ютер Кодріка між 17 і 22 грудня було створено додаткові шкідливі файли. 23 грудня обліковий запис Кодріка використовувався для входу на сервер, на якому зберігався файл wallet.dat.

29 грудня зловмисники використали комп’ютер Кодріка для доступу до серверів, що містять файл wallet.dat і парольну фразу гаманця.

«Ми підозрюємо, що зловмисник скопіював файл Bitcoin гаманця та парольну фразу на цьому етапі через кореляцію між розміром цих файлів і розміром передачі даних, які видно в журналах», — зазначається у звіті. «Хоча фактичний зміст переказів неможливо підтвердити з наявних журналів».

Менш ніж через тиждень, продовжується звіт, гаманець спустошився, зазначивши:

"4 січня зловмисник вичерпав гаманець Bitstamp, про що свідчить блокчейн. Хоча максимальний вміст цього гаманця становив 5000 біткойнів за ONE раз, зловмисник зміг викрасти понад 18 000 біткойнів протягом дня, оскільки клієнти робили додаткові депозити".

QUICK реагування

Згідно зі звітом, Bitstamp швидко взявся за оцінку та пом’якшення збитків, видавши сповіщення для всієї компанії та створивши групу реагування на інциденти. Компанії стало відомо про крадіжку ввечері 4 січня, а після перевірки серверів виявили вхід 29 грудня та передачу даних.

Stroz Friedberg почав своє розслідування 8 січня, працюючи зі словенського офісу компанії.

У звіті зазначається:

"Невдовзі після Цікаве атаки Bitstamp прийняв дороге, але необхідне рішення перебудувати всю нашу торгову платформу та допоміжні системи з нуля, а не намагатися перезавантажити нашу стару систему. Ми зробили це з безпечної резервної копії, яка підтримувалася (відповідно до процедур аварійного відновлення) у середовищі "чистої кімнати".

У звіті додається, що Bitstamp «вирішив розгорнути нашу дистриб’юторську мережу за допомогою серверів хмарної інфраструктури Amazon, розташованих у Європі».

Збитки оцінено

Bitstamp втратив 18 866 BTC зі свого HOT гаманця на суму приблизно 5 263 614 доларів США в той час, коли середня ціна Bitcoin становила 279 доларів.

Проте збиток вийшов за межі біткойнів у HOT гаманці, пояснюється у звіті, зазначаючи:

«Bitstamp втратив клієнтів, у тому числі основних клієнтів, які надають торговельні послуги в Bitcoin, і зазнав значної шкоди своїй репутації, яку ми не можемо точно оцінити на даний момент, але, на нашу думку, вона перевищує 2 мільйони доларів».

Додаткові витрати включають 250 000 доларів США, сплачених команді Stroz Friedberg, 250 000 доларів США, виплачених розробникам для відновлення платформи, і 150 000 доларів США на консультаційні та консультаційні збори. Згідно зі звітом, витрати, включно з тими, які були сплачені Строзу Фрідбергу, «продовжують накопичуватися».

Після атаки біржа тепер використовує доступ до гаманця з кількома підписами та уклала контракт із Xapo для обробки холодного зберігання гаманця.

Незважаючи на збитки та ймовірну репутаційну шкоду, компанія представила інцидент як навчальний досвід, зробивши висновок:

"Це була значна втрата для Bitstamp, і це поставило під сумнів безпеку та цілісність екосистеми Bitcoin . Однак могло бути набагато гірше, і ми сповнені рішучості використовувати це як інструмент навчання та як основу для вдосконалення нашої Технології, протоколів безпеки, планування реагування на інциденти FORTH".

Зображення конфіденційних документів через Shutterstock