Kompromisna vremenska crta Coinapulta

Priča o razvoju.

Coinapult izvijestio je da je vrući novčanik tvrtke ugrožen.

Coinapult je dobro poznat mnogima u zajednici kriptovaluta. Tvrtku su osnovali Erik Voorhees i Ira Miller 2012. godine, a u krugu sjemena koji su vodili Roger Ver, FirstMark Capital i Bitcoin Opportunity Fund prikupili su 750.000 USD. Coinapult ima sjedište u Panama Cityju.

Voditelj računa Robinson Dorion iz Coinapulta poslao je vremensku liniju u vezi s kompromisom Coinapult Hot Wallet.

U 9:27 UTC iz vrućeg novčanika Coinapulta poslano je neovlašteno povlačenje za 150 BTC na ovu adresu: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Adresa od 19:25 EDT sadrži 150 BTC u vrijednosti približno 43.080,00 USD prema Winkdexu i ostaje neiskorištena i nepomična.

Članovi tima Coinapult koji trenutno rade na rješavanju problema su Ira, izvršna direktorica, Zach, IT administrator, GP CTO, Cindy, programer i stručnjak za forenziku, Justin COO i Robinson, zaposlenik korisničke službe.

Vrući novčanik čuvan je u Tier 3 podatkovnom centru, a samo su dva člana tima imala fizički pristup. Uključuju Iru i Zacha, koji trenutno rade na utvrđivanju kako se dogodio kompromis, uz rad na osiguranju Coinapulta. SSH pristup poslužitelju ograničen je na četiri osobe unutar tvrtke među kojima su Ira, Zach, GP i Cindy.

Coinapult navodi da povezivanje s poslužiteljem pomoću SSH-a zahtijeva da korisnici budu prijavljeni u VPN tvrtke i koriste pojedinačne SSH ključeve za odgovarajuće bilježenje. Ostali su svako prijenosno računalo vlasnika proizvodnih ključeva pregledavali zbog mrežne aktivnosti s vremenskog prozora, a ništa sumnjivo nije pronađeno, međutim Zachov laptop pokazivao je neobično ponašanje koje podsjeća na napad MITM.

Tvrtka je izjavila da dok su svi koristili istu lokalnu mrežu da je Zachov laptop prikazivao IP adresu sa sjedištem u Gabonu, dok drugi članovi tima pokazuju IP adrese Paname. Nakon otkrića neslaganja Zach je isključio svoj laptop i tvrdi disk je uklonjen radi forenzičke analize.

Tvrtka je izvijestila da je 13. ožujka podatkovni centar u kojem je bio smješten financijski poslužitelj doživio cjelodnevni prekid rada. Prekid se podudarao s time da su sva web mjesta panamske vlade i druga web mjesta i poslužitelji lokalnih tvrtki također bili izvan mreže. Telefonski sustav u podatkovnom centru također je bio u kvaru. Tijekom ovog prekida Zach je bio prijavljen na gotovo svaki stroj u podatkovnom centru kao dio procesa oporavka od prekida.

Zbog prekida rada GP je e-poštom poslao Justinu, Irau i Zachu plan za prelazak svih IT usluga na razne poslužitelje izvan podatkovnog centra u nastojanju da ublaže rizike u različitim podatkovnim centrima, a možda su i nehotice napustili napadača da je prodor Coinapult sustavi trebali bi se održati prije premještanja Coinapultovih poslužitelja.

Tvrtka je izvijestila da su protekla dva tjedna bila neobično problematična zbog problema sa sustavom i stabilnosti. Coinapult je iskusio probleme s tvrdim diskom, CPU-om i druge probleme sa strojevima koji su hostirani u podatkovnom centru, a iako su uzroci tih problema poznati, to je moglo biti maskiranje zlonamjernih aktivnosti.

Tvrtka je započela analizu svih sustava i pronašla nekoliko tragova u vezi s kompromisom.

Datoteka /var/log/auth.log je izmijenjena. Datoteka sadrži dodatni prazan redak i datoteka auth.log.1 je ispražnjena. Prije kompromisa datoteka auth.log.1 bila bi puna podataka iz proteklih nekoliko dana.

Datoteka /root/.bash_history također je izmijenjena i prikazuje neke zabrinjavajuće pristupe stroju.

Posljednja četiri unosa te datoteke su:

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

Tvrtka je utvrdila da ovo nije u skladu s uobičajenom upotrebom Coinapulta i da ga napadač vjerojatno pokreće s namjerom da liječi datoteke nakon napuštanja sustava. Tim Coinapulta vjeruje da se mogao koristiti root set i nada se da bi forenzička analiza tvrdog diska pomogla utvrditi je li to slučaj.

Coinapult je pružio sljedeći vremenski raspored u vezi s događajima. Sva navedena vremena su UTC -5.

1:49 – Ira od Bitfinexa traži vruće dodavanje novčanika sa 100 BTC.

2:36 – Ira se prijavila na VPN (prema njegovom syslogu)

2:36 – Ira se prijavila na financijski poslužitelj (prema zapisniku poslužitelja)

2:37 – Ira pokreće sendmany kako bi podijelila izlaze za optimalne performanse slanja tijekom noći. To je bilo nepotrebno jer se 100 BTC još nije pojavilo, ali Ira to nije primijetila.

3:55 – Bitfinex šalje povlačenje od 100 BTC

4:15 – obavještava Robinsona o nepropisno otkazanim transakcijama

4:27 – Povlačenje putem hakera je izvršeno

4:54 – Robinson šalje e-poštu o zaustavljanju transakcija i sumnjivom padu vrućeg novčanika

4:58 – Robinson zove Zacha i Zach se počinje pokušavati povezati s VPN-om (prema njegovom syslogu)

5:17 – Zach se uspješno prijavio na VPN (prema njegovom syslogu)

5:22 – Zach se prijavljuje na poslužitelj Finance (prema zapisniku poslužitelja)

5:31 – Zach šalje e-poštu govoreći da su procesi pokrenuti, ali ne može sam procijeniti vrući novčanik

8:42 – Ira je provela dovoljno istrage kako bi utvrdila da je 150 BTC-a povučeno na nepoznatu adresu. Ovim informacijama e-poštom šalje ostale u društvu.

9:12 Većina sredstava se povlači iz vrućeg novčanika. Kupci (tj.) Su obaviješteni i javna obavijest postavljena je na našoj web stranici. Tim istražuje i identificira sadržaj ovog izvješća.

Tim Coinapulta isključio je i izolirao sav hardver u podatkovnom centru. Rade na rastavljanju i pokretanju forenzike na tvrdom disku kako bi vidjeli mogu li oporaviti podatke iz manipuliranih dnevnika ili negdje drugdje. Zach je također počeo rastavljati svoj laptop kako bi na njemu pokrenuo forenziku, a sav se hardver seli iz podatkovnog centra.

Tvrtka traži da podatkovni centar pruži sve zapisnike pristupa i nadzorne snimke relevantne za situaciju i želi prikupiti više informacija o iskusnom prekidu 13. ožujka.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me