Coinapultの妥協のタイムライン

進行中の話.

Coinapult 会社のホットウォレットが危険にさらされていると報告しました.

Coinapultは暗号通貨コミュニティの多くの人によく知られています。同社は2012年にErikVoorheesとIraMillerによって設立され、Roger Ver、FirstMark Capital、Bitcoin OpportunityFundが主導するシードラウンドで750,000米ドルを調達しました。 Coinapultはパナマシティを拠点としています.

CoinapultのアカウントマネージャーRobinsonD​​orionが、Coinapult HotWalletの侵害に関するタイムラインを送信しました.

UTC 9:27に、150BTCの不正な引き出しがCoinapultのホットウォレットから次のアドレスに送信されました。 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Winkdexによると、午後7時25分EDTの時点でのアドレスには、約$ 43,080.00USDに相当する150BTCが含まれており、未使用で移動されていません。.

現在この問題の解決に取り組んでいるCoinapultチームのメンバーは、CEOのIra、IT管理者のZach、CTOのGP、開発者兼フォレンジックの専門家であるCindy、COOのJustin、カスタマーサービスの従業員であるRobinsonです。.

ホットウォレットは、物理的にアクセスできるチームメンバーが2人だけのTier3データセンターに保管されていました。彼らには、Coinapultの保護に加えて、侵害がどのように発生したかを判断するために現在取り組んでいるIraとZachが含まれます。サーバーへのSSHアクセスは、Ira、Zach、GP、Cindyを含む社内の4人に制限されています。.

Coinapultは、SSHを使用してサーバーに接続するには、ユーザーが会社のVPNにサインインし、適切なロギングのために個別のSSHキーを使用する必要があると述べています。各プロダクションキー所有者のラップトップは、疑わしいものは何も見つからず、時間枠からネットワークアクティビティについて他の人によって検査されましたが、ザックのラップトップはMITM攻撃を連想させる奇妙な動作を示していました.

同社は、全員が同じローカルネットワークを使用している間、ザックのラップトップはガボンベースのIPアドレスを表示し、他のチームメンバーはパナマのIPアドレスを表示していると述べました。不一致が発見されると、ザックはラップトップの電源を切り、法医学分析のためにハードドライブを取り外しました。.

同社は、3月13日に、財務サーバーがホストされていたデータセンターで終日停止が発生したと報告しました。停止は、すべてのパナマ政府のWebサイトおよびその他のローカルビジネスサイトとサーバーもオフラインになると同時に発生しました。データセンターの電話システムもダウンしていました。この停止中、Zachは、停止からの復旧プロセスの一環として、データセンターのほぼすべてのマシンにログインしました。.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

GPがJustin、Ira、Zachに電子メールを送信したため、さまざまなデータセンター全体のリスクを軽減するために、すべてのITサービスをデータセンター外のさまざまなサーバーに移行する計画があり、攻撃者に不注意で侵入したCoinapultシステムは、Coinapultのサーバーを移動する前に実行する必要があります.

同社は、過去2週間は、システムの問題と安定性に関して異常に問題があったと報告しました。 Coinapultは、データセンターでホストされているマシンでハードドライブの問題、CPUの問題、およびその他の問題を経験しており、これらの問題の原因はわかっていますが、悪意のあるアクティビティのマスキングである可能性があります。.

同社はすべてのシステムの分析を開始し、侵害に関するいくつかの手がかりを見つけました.

/var/log/auth.logファイルが変更されました。ファイルには追加の空白行が含まれており、auth.log.1ファイルは空になっています。侵害される前は、auth.log.1ファイルは過去数日間のデータでいっぱいでした。.

/root/.bash_historyファイルも変更され、マシンへの問題のあるアクセスが示されています.

そのファイルの最後の4つのエントリは次のとおりです。

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

同社は、これがCoinapultの標準的な使用法から外れており、攻撃者がシステムを離れた後にファイルをドクターする目的で実行している可能性があることを発見しました。 Coinapultチームは、ルートキットが使用された可能性があると考えており、ハードドライブのフォレンジック分析がそれが当てはまるかどうかを判断するのに役立つことを期待しています。.

Coinapultは、イベントに関して次のタイムラインを提供しています。記載されている時間はすべてUTC-5です。.

1:49 –IraがBitfinexから100BTCでホットウォレットのトップオフを要求.

2:36 – IraはVPNにログインします(彼のsyslogによる)

2:36 – IraがFinanceサーバーにログインします(サーバーログによる)

2:37 – Iraはsendmanyを実行して出力を分割し、夜間の送信パフォーマンスを最適化します。 100 BTCがまだ現れていないので、これは不要でしたが、イラはそれに気づいていませんでした.

3:55 –ビットフィネックスが100BTCの引き出しを送信

4:15 –不適切にキャンセルされたトランザクションについてロビンソンに通知

4:27 –ハッカーによる撤退

4:54 –ロビンソンは、トランザクションが停止し、ホットウォレットが疑わしいほど低くなっていることについてメールを送信します

4:58 –ロビンソンがザックに電話をかけ、ザックがVPNへの接続を試み始める(彼のsyslogによる)

5:17 –ザックはVPNに正常にログインします(彼のsyslogによる)

5:22 – ZachがFinanceサーバーにログインします(サーバーログによる)

5:31 –ザックは、プロセスは実行されているが、ホットウォレットを自分で評価できないことを知らせるメールを送信します

8:42 – Iraは、不明なアドレスに150のBTCが撤回されたことを確認するために十分な調査を行いました。この情報を社内の他の人に電子メールで送信します.

9:12資金の大部分はホットウォレットから引き出されます。顧客(すなわち)は通知され、公告は当社のウェブサイトに掲載されます。チームはこのレポートの内容を調査して特定します.

Coinapultチームは電源を切り、データセンター内のすべてのハードウェアを分離しました。彼らは、ハードドライブ上でフォレンジックを分解して実行し、操作されたログやその他の場所からデータを回復できるかどうかを確認しています。ザックはまた、ラップトップを分解してフォレンジックを実行し始めており、すべてのハードウェアがデータセンターから移動されています.

同社は、データセンターに状況に関連するすべてのアクセスログと監視映像を提供するよう要求し、3月13日の停止に関する詳細情報を収集しようとしています。.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me