Подробности новогодней атаки на Bitstamp, унесшей 5 миллионов долларов

В случае с Bitstamp для нападения использовался Skype и электронная почта. Во время общения с сотрудниками были распространены файлы, содержащие вредоносные программы. Безопасность Bitstamp была скомпрометирована после того, как системный администратор Лука Koдрик скачал файл, по его мнению посланный представителем организации, которая хотела стать клиентом биржи.

Главный юрисконсульт Джордж Фрост:

11 декабря, в рамках этого предложения, злоумышленник отправил несколько вложений. Одно из них, UPE_application_form.doc, содержало вредоносный файл. При открытии документа, макрос автоматически загрузил вредоносный файл с IP-адреса 185.31.209.145, тем самым поставив под угрозу сервер.

В конечном счете, злоумышленники смогли получить доступ к двум серверам, содержащим файл wallet.dat, где хранился горячий бумажник Bitstamp.

Информация, содержащаяся в докладе, получена благодаря расследованию привлеченных сторонних организаций: фирмы судебно-медицинской экспертизы Stroz Friedberg, а также отделам по борьбе с киберпреступностью из США и Великобритании. (US Secret Service, Federal Bureau of Investigation и UK-based cybercrime authorities.)

Расследование взлома по-прежнему продолжается, и аресты могут последовать в ближайшем будущем. Отчет ссылается на усилия следователей в создании "медовой ловушки", чтобы заманить нападавшего в Великобританию и арестовать.

Правда, после публикации документа этот сценарий может не сработать. Согласно докладу, ранее попытка фишинга состоялась еще 4 ноября, когда один из нападавших связался с главным техническим менеджером Bitstamp, Дамианом Мерлоком, предлагая бесплатные билеты на панк-рок-фестиваль.

За два дня до этого также путем Skype с менеджером поддержки Bitstamp Aнжеем Симисаком связывался злоумышленник. В этом случае он сообщил, что ищет более подробную информацию о RippleWise - проекте, в котором Симисак работает главным операционным директором.

В начале декабря еще с несколькими сотрудниками Bitstamp связывались по Skype, в том числе и с Koдриком. Позже в компьютер Koдрика были занесены дополнительные вредоносные файлы, созданые между 17 и 22 декабря.

29 декабря злоумышленники использовали компьютер Koдрика для доступа к серверам, содержащим файл wallet.dat горячего кошелька.

4 января злоумышленник взломал бумажник Bitstamp, о чем свидетельствуют записи в blockchain. Хотя максимальный объем этого кошелька был 5000 Bitcoin, злоумышленник в течение дня смог украсть более 18 000 BTC, так как клиенты продолжали создавать новые депозиты.

В Bitstamp быстро оценили ущерб и создали группы реагирования на инциденты. Компании стало известно о краже вечером 4 января, а после аудита на серверах обнаружили произошедший 29 декабря взлом и передачу данных. Строз Фридберг начал расследование 8 января, работая из Словении в главном офисе компании.

В докладе отмечается:

Вскоре после обнаружения атаки, в Bitstamp приняли самое сложное, но необходимое решение - восстановить всю торговую платформу и вспомогательные системы с нуля, вместо того, чтобы пытаться запустить старую систему.

Компания сделала это с безопасной резервной копии, в соответствии с процедурами аварийного восстановления.

Bitstamp потеряла со своего горячего бумажника 18 866 ВТС, общей стоимостью около 5 263 614$. В то время цена Bitcoin была в среднем 279$.

Тем не менее, ущерб выходит за рамки тех Bitcoin, что хранились в горячем бумажнике:

Bitstamp потерял клиентов, в том числе крупных. При этом нанесен значительный ущерб репутации компании, который мы не в состоянии количественно оценить. Но мы считаем, что убыток превышает два миллиона долларов.

Дополнительные расходы включают в себя 250 000$, выплаченных команде Stroz Friedberg, еще 250 000$ разработчики выделили на перестройку платформы и 150 000$ на консультационные услуги.

Это был значительный убыток для Bitstamp, и это событие вызвало большие сомнения в безопасности и целостности экосистемы Bitcoin.

Источник