Garis Waktu Kompromi Coinapult

Mengembangkan Cerita.

Coinapult melaporkan bahwa hot wallet perusahaan telah disusupi.

Coinapult terkenal di banyak komunitas cryptocurrency. Perusahaan ini didirikan oleh Erik Voorhees dan Ira Miller pada tahun 2012, dan mengumpulkan $ 750.000 USD dalam putaran awal yang dipimpin oleh Roger Ver, FirstMark Capital, dan Bitcoin Opportunity Fund. Coinapult berbasis di Panama City.

Manajer akun Robinson Dorion di Coinapult telah mengirimkan timeline terkait kompromi Coinapult Hot Wallet.

Pada 9:27 UTC, penarikan tidak sah untuk 150 BTC dikirim dari dompet panas Coinapult ke alamat ini: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Alamat pada 19:25 EDT berisi 150 BTC senilai sekitar $ 43.080.00 USD menurut Winkdex dan tetap tidak terpakai dan tidak dipindahkan.

Anggota tim Coinapult yang saat ini bekerja untuk menyelesaikan masalah ini adalah Ira sang CEO, Zach sang Admin TI, GP sang CTO, Cindy seorang pengembang dan ahli forensik, Justin sang COO, dan Robinson seorang pegawai layanan pelanggan..

Dompet panas disimpan di pusat data Tingkat 3 dengan hanya dua anggota tim yang memiliki akses fisik. Mereka termasuk Ira dan Zach yang saat ini bekerja untuk menentukan bagaimana kompromi terjadi selain bekerja untuk mengamankan Coinapult. Akses SSH ke server dibatasi untuk empat individu di dalam perusahaan yang meliputi Ira, Zach, GP dan Cindy.

Coinapult menyatakan bahwa menghubungkan ke server menggunakan SSH mengharuskan pengguna masuk ke VPN perusahaan dan menggunakan kunci SSH individu untuk logging yang sesuai. Setiap laptop pemegang kunci produksi diperiksa oleh yang lain untuk aktivitas jaringan dari jendela waktu tanpa ditemukan sesuatu yang mencurigakan, namun laptop Zach menunjukkan perilaku aneh yang mengingatkan pada serangan MITM.

Perusahaan menyatakan bahwa sementara semua orang menggunakan jaringan lokal yang sama, laptop Zach menunjukkan alamat IP berbasis Gabon sementara anggota tim lainnya menunjukkan alamat IP Panama. Setelah menemukan perbedaan tersebut, Zach mematikan laptopnya dan hard drive dihapus untuk analisis forensik.

Perusahaan melaporkan bahwa pada 13 Maret pusat data tempat server keuangan dihosting mengalami pemadaman sepanjang hari. Pemadaman listrik terjadi bersamaan dengan semua situs web pemerintah Panama dan situs bisnis serta server lokal lainnya juga sedang offline. Sistem telepon di pusat data juga mati. Selama pemadaman ini, Zach masuk ke hampir setiap mesin di pusat data sebagai bagian dari proses pemulihan dari pemadaman.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

Karena pemadaman, GP mengirim email ke Justin, Ira dan Zach rencana untuk mentransisikan semua layanan TI ke berbagai server di luar pusat data dalam upaya untuk mengurangi risiko di berbagai pusat data dan mungkin secara tidak sengaja memberi tahu penyerang bahwa penetrasi Sistem Coinapult perlu dilakukan sebelum pemindahan server Coinapult.

Perusahaan tersebut melaporkan bahwa dua minggu terakhir mengalami masalah luar biasa untuk masalah sistem dan stabilitas. Coinapult telah mengalami masalah hard drive, masalah CPU, dan masalah lain dengan mesin yang dihosting di pusat data dan meskipun penyebab masalah ini diketahui, hal itu mungkin saja adalah penyamaran aktivitas jahat..

Perusahaan telah memulai analisis terhadap semua sistem dan menemukan beberapa petunjuk tentang kompromi.

File /var/log/auth.log telah diubah. File tersebut berisi baris kosong tambahan dan file auth.log.1 telah dikosongkan. Sebelum disusupi, file auth.log.1 akan penuh dengan data dari beberapa hari terakhir.

File /root/.bash_history juga telah dimodifikasi dan menunjukkan beberapa akses yang mengganggu ke mesin.

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

Empat entri terakhir dari file itu adalah:

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

Perusahaan telah menemukan ini di luar penggunaan standar Coinapult dan kemungkinan dijalankan oleh penyerang dengan maksud untuk memperbaiki file setelah meninggalkan sistem. Tim Coinapult percaya bahwa root kit dapat digunakan dan berharap analisis forensik hard drive akan membantu menentukan apakah itu masalahnya..

Coinapult telah memberikan garis waktu berikut terkait acara. Semua waktu yang tercantum adalah UTC -5.

1:49 – Ira meminta top off dompet panas dengan 100 BTC dari Bitfinex.

2:36 – Ira log in ke VPN (menurut syslognya)

2:36 – Ira masuk ke server Keuangan (menurut log server)

2:37 – Ira menjalankan banyak pengiriman untuk membagi output untuk kinerja pengiriman yang optimal pada malam hari. Hal ini sebenarnya tidak perlu karena 100 BTC belum muncul, namun Ira tidak menyadarinya.

3:55 – Bitfinex mengirimkan penarikan 100 BTC

4:15 – memberi tahu Robinson tentang transaksi yang dibatalkan secara tidak benar

4:27 – Penarikan oleh peretas dilakukan

4:54 – Robinson mengirimkan email tentang transaksi yang terhenti dan dompet panas yang mencurigakan rendah

4:58 – Robinson memanggil Zach dan Zach mulai mencoba terhubung ke VPN (menurut syslognya)

5:17 – Zach berhasil log in ke VPN (menurut syslognya)

5:22 – Zach masuk ke server Keuangan (menurut log server)

5:31 – Zach mengirim email yang mengatakan bahwa proses sedang berjalan tetapi tidak dapat menilai dompet panas sendiri

8:42 – Ira telah melakukan investigasi yang cukup untuk mengidentifikasi bahwa ada 150 BTC yang ditarik ke alamat yang tidak diketahui. Mengirim info ini melalui email ke orang lain di perusahaan.

9:12 Sebagian besar dana ditarik dari dompet panas. Pelanggan (yaitu) diberi tahu dan pemberitahuan publik ditempatkan di situs web kami. Tim menyelidiki dan mengidentifikasi isi laporan ini.

Tim Coinapult telah mematikan dan mengisolasi semua perangkat keras di pusat data. Mereka bekerja untuk membongkar dan menjalankan forensik pada hard drive untuk melihat apakah mereka dapat memulihkan data dari log yang dimanipulasi atau dari tempat lain. Zach juga mulai membongkar laptopnya untuk menjalankan forensik di atasnya dan semua perangkat keras dipindahkan dari pusat data.

Perusahaan meminta pusat data menyediakan semua log akses dan rekaman pengawasan yang relevan dengan situasi tersebut dan berupaya mengumpulkan lebih banyak informasi tentang pemadaman yang dialami pada 13 Maret..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me