جدول زمانی سازش Coinapult

داستان در حال توسعه.

Coinapult گزارش داد که کیف پول داغ این شرکت به خطر افتاده است.

Coinapult برای بسیاری از جامعه ارزهای رمزپایه شناخته شده است. این شرکت توسط اریک وورهیس و ایرا میلر در سال 2012 تاسیس شد و 750،000 دلار آمریکا در یک دوره بذر به رهبری راجر ور ، FirstMark Capital و صندوق فرصت بیت کوین جمع آوری کرد. Coinapult در شهر پاناما مستقر است.

مدیر حساب Robinson Dorion در Coinapult یک جدول زمانی در مورد سازش کیف پول داغ Coinapult ارسال کرده است.

ساعت 9:27 UTC برداشت غیرمجاز برای 150 BTC از کیف پول داغ Coinapult به این آدرس ارسال شد: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. آدرس تا ساعت 7:25 بعد از ظهر EDT حاوی 150 BTC به ارزش تقریبی 43،080.00 دلار طبق Winkdex است و هزینه نشده و لغو نشده باقی مانده است.

اعضای تیم Coinapult که در حال کار برای حل این مشکل هستند ، مدیر عامل ایرا ، زاچ مدیر IT ، دکتر CTO ، سندی توسعه دهنده و کارشناس پزشکی قانونی ، جاستین COO و رابینسون کارمند خدمات مشتری هستند.

کیف پول داغ در مرکز داده Tier 3 نگهداری می شد که فقط دو عضو تیم دسترسی فیزیکی داشتند. آنها شامل ایرا و زاك هستند كه هر دو در حال حاضر در تلاشند تا علاوه بر تلاش برای تأمین امنیت Coinapult ، چگونگی سازش را تعیین كنند. دسترسی SSH به سرور به چهار نفر در داخل شرکت محدود می شود که شامل ایرا ، زاچ ، GP و سیندی هستند.

Coinapult اظهار می دارد که اتصال به سرور با استفاده از SSH مستلزم ورود کاربران به شرکت VPN و استفاده از کلیدهای SSH جداگانه برای ورود به سیستم مناسب است. هر یک از لپ تاپ های دارندگان کلید تولید توسط دیگران از نظر پنجره زمانی از نظر فعالیت شبکه مورد بازرسی قرار گرفتند اما هیچ مورد مشکوکی یافت نشد ، با این وجود لپ تاپ Zach رفتار عجیبی از خود نشان می داد که یادآور حمله MITM.

این شرکت اظهار داشت در حالی که همه از همان شبکه محلی استفاده می کردند که لپ تاپ Zach آدرس IP مستقر در گابن را نشان می داد در حالی که اعضای دیگر آدرس IP پاناما را نشان می دهند. با کشف این اختلاف ، زاک لپ تاپ خود را روشن کرد و دیسک سخت را برای تجزیه و تحلیل پزشکی قانونی حذف کرد.

این شرکت گزارش داد که در تاریخ 13 مارس مرکز داده ای که سرور امور مالی در آن میزبانی شده بود ، تمام روز با قطعی مواجه شد. این قطع همزمان با همه وب سایت های دولت پاناما و سایر سایت ها و سرورهای تجاری محلی نیز آفلاین بود. سیستم تلفن در مرکز داده نیز از کار افتاده بود. در طی این قطعی ، زاک به عنوان بخشی از روند بهبودی قطعی ، تقریباً به هر دستگاهی در مرکز داده وارد شده است.

ایرا و زاچ به دلیل قطع شدن خدمات الکترونیکی جاستین از طریق پست الکترونیکی ، برای انتقال تمام سرویس های فناوری اطلاعات به سرورهای مختلف خارج از مرکز داده ، در تلاشند تا خطرات موجود در مراکز داده مختلف را کاهش دهند و ممکن است ناخواسته از حمله به مهاجم خبر دهند. سیستم های Coinapult باید قبل از انتقال سرورهای Coinapult انجام شوند.

این شرکت گزارش داده است که دو هفته گذشته به طور غیرمعمولی برای مشکلات سیستم و پایداری مشکل ساز بوده است. Coinapult با مشکلات مربوط به هارد دیسک ، CPU و سایر مشکلات مربوط به ماشین های میزبانی شده در مرکز داده روبرو شده است و در حالی که علل این مشکلات شناخته شده است ، ممکن است پوشاندن فعالیت های مخرب باشد.

این شرکت تجزیه و تحلیل تمام سیستم ها را آغاز کرده و چندین سرنخ در مورد سازش پیدا کرده است.

پرونده /var/log/auth.log اصلاح شده است. پرونده حاوی یک خط خالی اضافی است و پرونده auth.log.1 خالی شده است. قبل از مصالحه ، پرونده auth.log.1 مملو از داده های چند روز گذشته بود.

پرونده /root/.bash_history نیز اصلاح شده و دسترسی نگران کننده ای به دستگاه را نشان می دهد.

چهار ورودی آخر آن پرونده عبارتند از:

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

این شرکت متوجه شده است که این مورد از استاندارد Coinapult خارج است و احتمالاً توسط مهاجم با هدف پزشک کردن پرونده ها پس از خروج از سیستم اجرا می شود. تیم Coinapult معتقد است که از یک کیت روت می توان استفاده کرد و امیدوار است که تجزیه و تحلیل پزشکی درایو هارد به شما کمک کند تا تشخیص دهید که آیا چنین است.

Coinapult جدول زمانی زیر را در مورد رویدادها ارائه داده است. همه زمان های ذکر شده UTC -5 هستند.

1:49 – Ira کیف پول داغ را با 100 BTC از Bitfinex درخواست می کند.

2:36 – ایرا به VPN وارد می شود (با توجه به syslog)

2:36 – ایرا به سرور Finance وارد می شود (طبق گزارش سرور)

2:37 – Ira sendmany را برای تقسیم خروجی ها برای عملکرد بهینه ارسال در طول شب اجرا می کند. این غیر ضروری بود زیرا 100 BTC هنوز نشان داده نشده بود ، اما ایرا متوجه این موضوع نشد.

3:55 – Bitfinex 100 برداشت از BTC ارسال می کند

4:15 – رابینسون را در مورد معاملات نادرست لغو شده مطلع می کند

4:27 – برداشت توسط هکر انجام می شود

4:54 – رابینسون درباره توقف معاملات و کم بودن کیف پول داغ ایمیل ارسال می کند

4:58 – رابینسون با زاک تماس می گیرد و زاک شروع به تلاش برای اتصال به VPN می کند (طبق syslog او)

5:17 – Zach با موفقیت به VPN وارد می شود (با توجه به syslog خود)

5:22 – زاک وارد سرور Finance می شود (با توجه به گزارش سرور)

5:31 – Zach برای شما ایمیل ارسال می کند و می گوید روند کار در حال اجرا است اما نمی تواند کیف پول داغ را به تنهایی ارزیابی کند

8:42 – ایرا تحقیقات کافی را انجام داده است تا شناسایی کند که 150 BTC به یک آدرس ناشناخته منتقل شده است. این اطلاعات را برای دیگران در شرکت از طریق ایمیل ارسال کنید.

9:12 اکثر بودجه ها از کیف پول داغ برداشت می شود. به مشتریان (به عنوان مثال) اطلاع داده می شود و اطلاع رسانی عمومی در وب سایت ما قرار می گیرد. تیم محتوای این گزارش را بررسی و شناسایی می کند.

تیم Coinapult تمام سخت افزارهای مرکز داده را فعال و جدا کرده است. آنها در حال کار برای برچیدن و اجرای پزشکی قانونی بر روی هارد دیسک هستند تا ببینند آیا می توانند داده ها را از سیاهههای مربوط به دستکاری شده یا مکان های دیگر بازیابی کنند. Zach همچنین شروع به جدا کردن لپ تاپ خود کرده تا پزشکی قانونی را روی آن انجام دهد و تمام سخت افزارها از مرکز داده منتقل شوند.

این شرکت از مرکز داده درخواست کرده است که کلیه گزارش های دسترسی و تصاویر نظارتی مربوط به وضعیت را تهیه کند و به دنبال جمع آوری اطلاعات بیشتر در مورد وقوع خاموش 13 مارس است.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me