Coinapult Compromise Tijdlijn
Ontwikkelend verhaal.
Coinapult meldde dat de hot wallet van het bedrijf in gevaar is gebracht.
Coinapult is bij velen in de cryptocurrency-gemeenschap bekend. Het bedrijf werd in 2012 opgericht door Erik Voorhees en Ira Miller en haalde $ 750.000 USD op in een seed-ronde onder leiding van Roger Ver, FirstMark Capital en het Bitcoin Opportunity Fund. Coinapult is gevestigd in Panama City.
Accountmanager Robinson Dorion bij Coinapult heeft een tijdlijn gestuurd met betrekking tot het compromis van Coinapult Hot Wallet.
Om 9:27 UTC werd een ongeautoriseerde opname voor 150 BTC verzonden vanuit de hot wallet van Coinapult naar dit adres: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Het adres op 19:25 EDT bevat 150 BTC ter waarde van ongeveer $ 43.080,00 USD volgens Winkdex en blijft onbesteed en onbewogen.
Coinapult-teamleden die momenteel werken om het probleem op te lossen zijn Ira de CEO, Zach de IT-beheerder, GP de CTO, Cindy een ontwikkelaar en forensisch expert, Justin de COO en Robinson een medewerker van de klantenservice.
De hot wallet werd bewaard in een Tier 3-datacenter met slechts twee teamleden die fysieke toegang hadden. Ze omvatten Ira en Zach die allebei momenteel werken om te bepalen hoe het compromis tot stand is gekomen, naast het werken aan Coinapult. SSH-toegang tot de server is beperkt tot vier personen binnen het bedrijf, waaronder Ira, Zach, GP en Cindy.
Coinapult stelt dat het verbinden met de server via SSH vereist dat gebruikers zijn aangemeld bij de bedrijfs-VPN en individuele SSH-sleutels gebruiken voor de juiste logboekregistratie. Elk van de laptops van de houders van de productiesleutel werd door de anderen geïnspecteerd op netwerkactiviteit vanuit het tijdvenster en er werd niets verdachts gevonden, maar de laptop van Zach vertoonde vreemd gedrag dat doet denken aan een MITM-aanval.
Het bedrijf verklaarde dat terwijl iedereen hetzelfde lokale netwerk gebruikte, de laptop van Zach een op Gabon gebaseerd IP-adres vertoonde, terwijl andere teamleden Panama IP-adressen lieten zien. Na het ontdekken van de discrepantie schakelde Zach zijn laptop uit en werd de harde schijf verwijderd voor forensische analyse.
Het bedrijf meldde dat op 13 maart het datacenter waar de financiële server werd gehost de hele dag een storing had. De storing viel samen met het feit dat alle Panamese overheidswebsites en andere lokale bedrijfssites en servers ook offline waren. Het telefoonsysteem in het datacenter was ook uitgevallen. Tijdens deze storing was Zach ingelogd op bijna elke machine in het datacenter als onderdeel van het herstelproces van de storing.
Vanwege de storing stuurde huisarts Justin, Ira en Zach een plan om alle IT-services over te zetten naar verschillende servers buiten het datacenter in een poging de risico’s in verschillende datacenters te verkleinen en heeft de aanvaller mogelijk per ongeluk getipt dat een penetratie van Coinapult-systemen zouden moeten plaatsvinden voordat de servers van Coinapult worden verplaatst.
Het bedrijf meldde dat de afgelopen twee weken ongebruikelijk problematisch waren voor systeemproblemen en stabiliteit. Coinapult heeft problemen met de harde schijf, CPU-problemen en andere problemen ondervonden met de machines die in het datacenter worden gehost en hoewel de oorzaken van deze problemen bekend zijn, kan dit het maskeren van kwaadaardige activiteiten zijn geweest.
Het bedrijf is begonnen met een analyse van alle systemen en heeft verschillende aanwijzingen gevonden met betrekking tot het compromis.
Het bestand /var/log/auth.log is gewijzigd. Het bestand bevat een extra lege regel en het bestand auth.log.1 is leeggemaakt. Voorafgaand aan het compromitteren zou het auth.log.1-bestand vol staan met gegevens van de afgelopen dagen.
Het /root/.bash_history-bestand is ook gewijzigd en vertoont enige verontrustende toegang tot de machine.
De laatste vier vermeldingen van dat bestand zijn:
- nano auth.log
- nano syslog
- nano ufw.log
- ls
Het bedrijf heeft geconstateerd dat dit buiten het standaard Coinapult-gebruik valt en waarschijnlijk wordt uitgevoerd door de aanvaller met de bedoeling om de bestanden na het verlaten van het systeem te controleren. Het Coinapult-team gelooft dat een rootkit had kunnen worden gebruikt en hoopt dat een forensische analyse van de harde schijf zou helpen bepalen of dat het geval is.
Coinapult heeft de volgende tijdlijn met betrekking tot evenementen verstrekt. Alle vermelde tijden zijn UTC -5.
1:49 – Ira vraagt om een hete portemonnee met 100 BTC van Bitfinex.
2:36 – Ira logt in op VPN (volgens zijn syslog)
2:36 – Ira logt in op de Finance-server (volgens serverlogboek)
2:37 – Ira voert sendmany uit om outputs te splitsen voor optimale verzendprestaties tijdens de nacht. Dit was niet nodig omdat de 100 BTC nog niet was komen opdagen, maar dat merkte Ira niet.
3:55 – Bitfinex stuurt 100 BTC-opnames
4:15 – stelt Robinson op de hoogte van ten onrechte geannuleerde transacties
4:27 – Intrekking door hacker is gemaakt
4:54 – Robinson stuurt een e-mail over transacties die vastlopen en dat de hot wallet verdacht laag is
4:58 – Robinson belt Zach en Zach probeert verbinding te maken met VPN (volgens zijn syslog)
5:17 – Zach logt succesvol in op VPN (volgens zijn syslog)
5:22 – Zach logt in op de Finance-server (volgens serverlogboek)
5:31 – Zach stuurt een e-mail met de mededeling dat processen actief zijn, maar kan zelf geen hot wallet beoordelen
8:42 – Ira heeft genoeg onderzoek gedaan om vast te stellen dat er 150 BTC is ingetrokken op een onbekend adres. E-mailt deze informatie naar de anderen in het bedrijf.
9:12 De meerderheid van de fondsen wordt uit de hot wallet gehaald. Klanten (d.w.z.) worden op de hoogte gebracht en er wordt een openbare kennisgeving op onze website geplaatst. Team onderzoekt en identificeert de inhoud van dit rapport.
Het Coinapult-team heeft alle hardware in het datacenter uitgeschakeld en geïsoleerd. Ze werken aan het demonteren en forensisch onderzoek op de harde schijf uitvoeren om te zien of ze gegevens kunnen herstellen uit de gemanipuleerde logboeken of elders. Zach is ook begonnen met het demonteren van zijn laptop om er forensisch onderzoek op uit te voeren en alle hardware wordt uit het datacenter verplaatst.
Het bedrijf vraagt het datacenter om alle toegangslogboeken en bewakingsbeelden die relevant zijn voor de situatie te verstrekken en probeert meer informatie te verzamelen over de ervaren storing van 13 maart.
![Dr8erx_WwAAdIX-[1]](https://www.racavedigger.com/wp-content/uploads/2021/02/dr8erx_wwaadix-1-1024x766-394x330.jpg)
![paypal-960x612px[1]](https://www.racavedigger.com/wp-content/uploads/2021/02/paypal-960x612px1-394x330.jpg)
![meet-yifu-guo-the-mand-behind-the-avalon-bitcoin-miners-3[1]](https://www.racavedigger.com/wp-content/uploads/2021/02/meet-yifu-guo-the-mand-behind-the-avalon-bitcoin-miners-31-394x330.jpg)