Coinapult kompromisszumos idővonal
Fejlesztő történet.
Coinapult számolt be arról, hogy a vállalat forró pénztárcáját veszélyeztették.
A Coinapult sokak számára jól ismert a kriptovaluta közösségben. A céget Erik Voorhees és Ira Miller alapította 2012-ben, és 750 000 USD-t gyűjtött egy Roger Ver, a FirstMark Capital és a Bitcoin Opportunity Fund által vezetett magvetésben. A Coinapult székhelye Panama City.
# | Crypto Exchange | Benefits |
---|---|---|
1 | Best exchange VISIT SITE |
|
2 | Ideal for newbies Visit SITE |
|
3 | Crypto + Trading |
|
Robinson Dorion, a Coinapult ügyfélmenedzsere idővonalat küldött a Coinapult Hot Wallet kompromisszummal kapcsolatban.
UTC 9: 27-kor 150 BTC-re engedély nélküli visszavonást küldtek a Coinapult forró pénztárcájából erre a címre: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Az EDT 19: 25-től kezdődő címe 150 BTC-t tartalmaz, körülbelül 43 080,00 USD értékben, a Winkdex szerint, és el nem költött és mozdulatlan marad.
A Coinapult csapat tagjai, akik jelenleg dolgoznak a probléma megoldásán, Ira vezérigazgató, Zach az IT-adminisztrátor, GP a CTO, Cindy fejlesztő és kriminalisztikai szakértő, Justin a COO és Robinson az ügyfélszolgálat munkatársa.
# | CRYPTO BROKERS | Benefits |
---|---|---|
1 | Best Crypto Broker |
|
2 | Cryptocurrency Trading VISIT SITE |
|
# | BITCOIN CASINO | Benefits |
---|---|---|
1 | Best Crypto Casino |
|
2 | Fast money transfers VISIT SITE |
|
A forró pénztárcát egy Tier 3 adatközpontban tartották, és csak két csapattag rendelkezett fizikai hozzáféréssel. Köztük Ira és Zach, akik jelenleg azon dolgoznak, hogy a Coinapult biztosításán túl azon dolgozzanak, hogy miként történt a kiegyezés. Az SSH hozzáférése a szerverhez négy személyre korlátozódik a társaságon belül, ideértve Ira, Zach, GP és Cindy.
A Coinapult kijelenti, hogy az SSH használatával a szerverhez való csatlakozáshoz a felhasználóknak be kell jelentkezniük a vállalati VPN-be, és a megfelelő naplózáshoz egyedi SSH kulcsokat kell használniuk. A gyártókulcs-tulajdonosok mindegyik laptopját az időablakból megvizsgálták a hálózati aktivitás szempontjából, semmi gyanúsat nem találtak, azonban Zach laptopja furcsa viselkedést mutatott, amely MITM-támadásra emlékeztetett..
A vállalat kijelentette, hogy miközben mindenki ugyanazt a helyi hálózatot használta, mint Zach laptopja Gabon-alapú IP-címet mutatott, míg a csapat többi tagja Panama IP-címeket mutatott. Az eltérés felfedezése után Zach áramtalanította a laptopot, és a merevlemezt eltávolították az igazságügyi elemzéshez.
A vállalat arról számolt be, hogy március 13-án az adatközpont, ahol a pénzügyi kiszolgáló volt, egész napos kiesést szenvedett. A leállás egybeesett azzal, hogy az összes panamai kormányzati webhely és más helyi üzleti webhelyek és szerverek szintén offline állapotban voltak. Az adatközpont telefonrendszere sem működött. E kiesés alatt Zach az adatközpont szinte minden gépébe bejelentkezett a kiesés utáni helyreállítási folyamat részeként.
A kiesés miatt a háziorvos elküldte Justinnak, Ira-nak és Zachnak azt a tervet, hogy az összes informatikai szolgáltatást át kell helyezni az adatközponton kívüli különféle szerverekre annak érdekében, hogy mérsékeljék a különféle adatközpontok kockázatait, és esetleg akaratlanul is megbillentették a támadót, hogy a A Coinapult rendszereknek a Coinapult szervereinek áthelyezése előtt kell megvalósulniuk.
A vállalat arról számolt be, hogy az elmúlt két hét szokatlanul problematikus volt a rendszer és a stabilitás szempontjából. A Coinapult merevlemez-problémákkal, CPU-problémákkal és egyéb problémákkal küzdött az adatközpontban tárolt gépeknél, és bár ezek okai ismertek, ez rosszindulatú tevékenységek elfedése lehetett..
A vállalat megkezdte az összes rendszer elemzését, és számos nyomot talált a kiegyezéssel kapcsolatban.
A /var/log/auth.log fájl módosult. A fájl további üres sort tartalmaz, és az auth.log.1 fájl kiürült. A veszélyeztetés előtt az auth.log.1 fájl tele lett volna az elmúlt napok adataival.
A /root/.bash_history fájlt is módosították, és néhány problémás hozzáférést mutat a géphez.
A fájl utolsó négy bejegyzése a következő:
- nano auth.log
- nano syslog
- nano ufw.log
- ls
A vállalat úgy találta, hogy ez nem tartozik a Coinapult szokásos használatába, és valószínűleg a támadó futtatja azzal a szándékkal, hogy a rendszer elhagyása után orvosolja a fájlokat. A Coinapult csapata úgy véli, hogy egy gyökérkészletet lehetett volna használni, és reméli, hogy a merevlemez kriminalisztikai elemzése segít meghatározni, hogy ez a helyzet.
A Coinapult a következő ütemtervet biztosította az eseményekkel kapcsolatban. A felsorolt idők UTC -5.
1:49 – Ira 100 BTC-vel kéri a forró pénztárca feltöltését a Bitfinex-től.
2:36 – Ira bejelentkezik a VPN-be (a rendszernaplója szerint)
2:36 – Ira bejelentkezik a Finance szerverre (a kiszolgáló naplója szerint)
2:37 – Ira küld sok embert kimenetek felosztására az optimális küldési teljesítmény érdekében az éjszaka folyamán. Ez felesleges volt, mivel a 100 BTC még nem jelent meg, de Ira ezt nem vette észre.
3:55 – A Bitfinex 100 BTC visszavonást küld
4:15 – értesíti Robinsont a helytelenül törölt tranzakciókról
4:27 – Hacker visszavonja
4:54 – Robinson e-mailt küld az elakadt tranzakciókról és a gyanúsan alacsony pénztárcáról
4:58 – Robinson felhívja Zachet, és Zach megpróbál csatlakozni a VPN-hez (a rendszernaplója szerint)
5:17 – Zach sikeresen bejelentkezik a VPN-be (a syslogja szerint)
5:22 – Zach bejelentkezik a Finance szerverre (a kiszolgáló naplója szerint)
5:31 – Zach e-mailt küld, mondván, hogy folyamatok folynak, de a forró pénztárcát egyedül nem tudja felmérni
8:42 – Ira elegendő vizsgálatot végzett annak megállapítására, hogy 150 BTC-t vontak vissza ismeretlen címre. Ezt az információt elküldi a társaság többi tagjának.
9:12 Az alapok többségét a forró pénztárcából vonják ki. Az ügyfeleket (azaz) értesítjük, és a nyilvános hirdetményeket a weboldalunkon helyezzük el. A csapat kivizsgálja és azonosítja a jelentés tartalmát.
A Coinapult csapata kikapcsolta és elszigetelte az összes központot az adatközpontban. Azon dolgoznak, hogy a merevlemezen szétszereljék és futtassák az igazságügyi szakértőket, hogy megtudják-e visszaállítani az adatokat a manipulált naplókból vagy máshonnan. Zach megkezdte a laptop szétszerelését, hogy kriminalisztikát futtasson rajta, és az összes hardvert áthelyezik az adatközpontból.
A vállalat azt kéri, hogy az adatközpont adja meg az összes hozzáférési naplót és a helyzet szempontjából releváns felügyeleti felvételt, és további információkat kíván összegyűjteni a március 13-án tapasztalt leállásról..