Coinapult kompromisa laika skala
Attīstošs stāsts.
Coinapult ziņoja, ka kompānijas karstais maks ir apdraudēts.
Coinapult ir labi pazīstama daudziem kriptonauda kopienās. Uzņēmumu 2012. gadā dibināja Ēriks Voorheess un Ira Millers, un sēklu kārtā, kuru vadīja Roger Ver, FirstMark Capital un Bitcoin Opportunity Fund, piesaistīja USD 750 000 USD. Coinapult atrodas Panamas pilsētā.
Kontu menedžeris Robinsons Dorions no Coinapult ir nosūtījis laika grafiku attiecībā uz Coinapult Hot Wallet kompromisu.
9:27 UTC no Coinapult karstā maka uz šo adresi tika nosūtīta nesankcionēta izņemšana par 150 BTC. 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Pēc Winkdex datiem, adrese plkst. 19:25 EDT satur 150 BTC, kuras vērtība ir aptuveni USD 43 080,00 USD, un tā ir neizlietota un nemainīta.
Coinapult komandas locekļi, kas šobrīd strādā, lai atrisinātu šo problēmu, ir Ira izpilddirektors, Zaks IT administrators, GP CTO, Cindy izstrādātājs un kriminālistikas eksperts, Justin COO un Robinson klientu apkalpošanas darbinieks.
Karstais maks tika glabāts 3. līmeņa datu centrā, un tikai diviem komandas locekļiem bija fiziska piekļuve. Viņu vidū ir gan Ira, gan Zaks, kuri abi šobrīd strādā pie Coinapult nodrošināšanas, lai noteiktu, kā notika kompromiss. SSH piekļuve serverim ir ierobežota ar četrām personām uzņēmuma iekšienē, ieskaitot Ira, Zach, GP un Cindy.
Coinapult norāda, ka, izveidojot savienojumu ar serveri, izmantojot SSH, lietotājiem ir jāpiesakās uzņēmuma VPN un atbilstošai reģistrēšanai jāizmanto individuālas SSH atslēgas. Pārējie visi laika atslēgu turētāju klēpjdatorus no laika loga pārbaudīja, vai tajā nav tīkla darbību, un nekas aizdomīgs netika atrasts, tomēr Zaka klēpjdators demonstrēja dīvainu uzvedību, kas atgādināja MITM uzbrukumu.
Uzņēmums paziņoja, ka, kamēr visi izmantoja to pašu vietējo tīklu, kurā Zaka klēpjdators rādīja Gabonā balstītu IP adresi, kamēr citi komandas locekļi rāda Panama IP adreses. Atklājot neatbilstību, Zaks izslēdza savu klēpjdatoru, un cietais disks tika noņemts kriminālistikas analīzei.
Uzņēmums ziņoja, ka 13. martā datu centrā, kurā tika mitināts finanšu serveris, visu dienu bija pārtraukums. Darbības pārtraukums sakrita ar visām Panamas valdības vietnēm un citām vietējā biznesa vietnēm un serveriem, kas arī bija bezsaistē. Datu centrā arī nedarbojās tālruņu sistēma. Šī pārtraukuma laikā Zaks tika pieteicies gandrīz visās datu centra mašīnās kā daļa no atkopšanas procesa.
Sakarā ar pārtraukumu ģimenes ārsts nosūtīja pa e-pastu Džastinam, Ira un Zaham plānu pārcelt visus IT pakalpojumus uz dažādiem serveriem ārpus datu centra, cenšoties mazināt dažādu datu centru riskus, un, iespējams, netīšām uzbrucējs ir nolaists, ka Coinapult sistēmām būtu jānotiek pirms Coinapult serveru pārvietošanas.
Uzņēmums ziņoja, ka pēdējās divas nedēļas ir bijušas neparasti problemātiskas attiecībā uz sistēmas jautājumiem un stabilitāti. Coinapult ir cietis no cietā diska, centrālā procesora un citām problēmām, kas saistītas ar datu centrā mitinātajām mašīnām, un, lai arī ir zināmi šo problēmu cēloņi, tā varēja būt ļaunprātīgu darbību maskēšana.
Uzņēmums ir uzsācis visu sistēmu analīzi un atradis vairākas norādes par kompromisu.
Fails /var/log/auth.log ir modificēts. Failā ir papildu tukša rinda, un fails auth.log.1 ir iztukšots. Pirms kompromisa failā auth.log.1 būtu bijis daudz datu par pēdējām vairākām dienām.
Tika mainīts arī fails /root/.bash_history, un tajā ir redzama satraucoša piekļuve iekārtai.
Pēdējie četri šī faila ieraksti ir:
- nano auth.log
- nano syslog
- nano ufw.log
- ls
Uzņēmums ir konstatējis, ka tas neatbilst standarta Coinapult lietojumam, un to, iespējams, vada uzbrucējs ar nolūku apstrādāt failus pēc aiziešanas no sistēmas. Coinapult komanda uzskata, ka varēja tikt izmantots sakņu komplekts, un cer, ka cietā diska kriminālistikas analīze palīdzētu noteikt, vai tas tā ir.
Coinapult ir sniedzis šādu laika grafiku attiecībā uz notikumiem. Visi uzskaitītie laiki ir UTC -5.
1:49 – Ira pieprasa karstā seifa papildināšanu ar 100 BTC no Bitfinex.
2:36 – Ira piesakās VPN (saskaņā ar viņa syslog)
2:36 – Ira piesakās Finance serverī (saskaņā ar servera žurnālu)
2:37 – Ira vada sūtītājus, lai sadalītu izvadus, lai nakts laikā nodrošinātu optimālu sūtīšanas veiktspēju. Tas nebija vajadzīgs, jo 100 BTC vēl nebija parādījies, taču Ira to nemanīja.
3:55 – Bitfinex nosūta 100 BTC atsaukšanu
4:15 – paziņo Robinsonam par nepareizi atceltiem darījumiem
4:27 – tiek veikts hakera atteikums
4:54 – Robinsons izsūta e-pastu par darījumu apstāšanos un aizdomīgi zemu maku
4:58 – Robinsons zvana Zakam, un Zaks sāk mēģināt izveidot savienojumu ar VPN (saskaņā ar viņa slog žurnālu)
5:17 – Zaks veiksmīgi piesakās VPN (saskaņā ar viņa syslog)
5:22 – Zaks piesakās Finance serverī (saskaņā ar servera žurnālu)
5:31 – Zaks sūta e-pastu, sakot, ka procesi darbojas, bet nevar pats novērtēt karsto maku
8:42 – Ira ir veikusi pietiekami daudz izmeklēšanas, lai identificētu, ka 150 BTC ir izņemti uz nezināmu adresi. Nosūta šo informāciju citiem uzņēmumā.
9:12 Lielākā daļa līdzekļu tiek izņemti no karstā maka. Klienti (t.i.) tiek informēti un publisks paziņojums tiek ievietots mūsu vietnē. Komanda izmeklē un identificē šī ziņojuma saturu.
Coinapult komanda ir izslēgusi un izolējusi visu datu centrā esošo aparatūru. Viņi strādā, lai cietajā diskā izjauktu un palaistu kriminālistikas, lai noskaidrotu, vai viņi var atgūt datus no manipulētajiem žurnāliem vai citur. Zaks ir arī sācis demontēt savu klēpjdatoru, lai tajā darbotos kriminālistikas, un visa aparatūra tiek pārvietota no datu centra.
Uzņēmums pieprasa, lai datu centrs sniedz visus piekļuves žurnālus un novērošanas materiālus, kas attiecas uz situāciju, un cenšas apkopot vairāk informācijas par 13. marta pārtraukumu.