Svelati i dettagli dell'attacco hacker da 5 milioni di dollari a Bitstamp

Secondo un rapporto di incidente non confermato, redatto internamente dall'exchange Bitcoin , sei dipendenti di Bitstamp sono stati presi di mira in un tentativo di phishing durato settimane, che ha portato al furto di circa 5 milioni di dollari in Bitcoin a gennaio.

Il documento riservato, pubblicato suReddit da un resoconto monouso, offre uno sguardo approfondito a quella che si ritiene essere la storia interna dell'hacking, che ha portato alla perdita dipoco meno di 19.000 BTCall'inizio di quest'anno. Da allora, la società ha offerto scarsi dettagli su ciò che è accaduto dietro le quinte, citando la riservatezza in merito all'indagine sui fondi persi.

I risultati del rapporto sono notevoli in quanto illustrano i rischi a cui vanno incontro gli exchange Bitcoin , tra cui gli attacchi di ingegneria sociale in cui le informazioni personali vengono utilizzate per indurre le vittime a fornire un mezzo di accesso a materiale sensibile.

Nel caso di Bitstamp, i responsabili dell'attacco hanno utilizzato Skype e la posta elettronica per comunicare con i dipendenti e tentare di distribuire file contenenti malware facendo leva sulla loro cronologia e sui loro interessi personali. Il sistema di Bitstamp è stato compromesso dopo che l'amministratore di sistema Luka Kodric ha scaricato un file che riteneva fosse stato inviato da un rappresentante di un'organizzazione che stava cercando la sua iscrizione.

Il rapporto, attribuito al consulente generale di Bitstamp George Frost, spiegava:

“L'11 dicembre, come parte di questa offerta, l'attaccante ha inviato una serie di allegati. ONE di questi, UPE_application_form.doc, conteneva uno script VBA dannoso offuscato. Quando è stato aperto, questo script è stato eseguito automaticamente e ha scaricato un file dannoso dall'indirizzo IP 185.31.209.145, compromettendo così la macchina.”

Alla fine, gli aggressori sono riusciti ad accedere a due server contenenti il ​​file wallet.dat per HOT wallet di Bitstamp e la passphrase per tale file.

Si dice che le informazioni contenute nel rapporto provengano da un'indagine di terze parti condotta da una società di analisi forense digitaleStroz Friedberg, nonché dagli investigatori che lavorano per i servizi Secret statunitensi, per il Federal Bureau of Investigation e per le autorità britanniche preposte alla lotta alla criminalità informatica.

Al momento della stesura del rapporto, l'indagine sull'hacking era ancora in corso, ma era previsto un arresto nel NEAR futuro. Il rapporto allude a un tentativo da parte degli investigatori di creare "una 'trappola di miele' per attirare [l'aggressore] nel Regno Unito al fine di effettuare un arresto".

Bitstamp ha rifiutato di commentare l'autenticità del rapporto quando è stato contattato. Un rappresentante di Stroz Friedberg non era immediatamente disponibile per un commento.

Tentativo di phishing esteso

Secondo il rapporto, il primo tentativo di phishing ha avuto luogo il 4 novembre, quando ONE degli aggressori ha contattato Damian Merlak, direttore Tecnologie di Bitstamp, offrendogli biglietti gratuiti per un festival punk rock.

Il direttore operativo Miha Grcar è stato contattato via Skype a metà novembre da qualcuno che si spacciava per reporter. In quello scambio, l'individuo ha citato articoli passati scritti da Grcar quando lui stesso era un reporter che si occupava di notizie in Grecia.

Il rapporto rileva:

"Il 26 novembre, come parte di questo scambio da un file offline (come un documento Word), ivan.foreignpolicy ha tentato di inviare un documento Word di un articolo recente, apparentemente cercando un commento dal signor Grcar. Il signor Grcar ha rifiutato di accettare il documento."

Due giorni prima, anche il responsabile dell'assistenza di Bitstamp, Anzej Simicak, era stato contattato tramite Skype e in quel caso l'aggressore si era spacciato per qualcuno che voleva maggiori informazioni su RippleWise, un progetto di cui Simicak è COO.

All'inizio di dicembre, sono stati contattati altri membri dello staff di Bitstamp, tra cui Kodric, il cui account è stato infine compromesso. Il computer del dipendente Miha Hrast è stato poi compromesso dopo aver ricevuto un messaggio su Skype, sebbene non avesse privilegi di accesso per i server.

Server compromesso

Dopo che il computer di Kodric è stato infiltrato, secondo il rapporto, sono stati creati altri file dannosi tra il 17 e il 22 dicembre. Il 23 dicembre, l'account di Kodric è stato utilizzato per accedere al server che conteneva il file wallet.dat.

Il 29 dicembre, gli aggressori hanno sfruttato il computer di Kodric per accedere ai server contenenti il file wallet.dat e la passphrase del portafoglio.

"Sospettiamo che l'attaccante abbia copiato il file del portafoglio Bitcoin e la passphrase in questa fase, a causa della correlazione tra la dimensione di questi file e la dimensione del trasferimento dati visualizzato nei log", nota il rapporto. "Sebbene il contenuto effettivo dei trasferimenti non possa essere confermato dai log disponibili".

Meno di una settimana dopo, continua il rapporto, il portafoglio è stato svuotato, notando:

"Il 4 gennaio, l'attaccante ha prosciugato il portafoglio Bitstamp, come evidenziato sulla blockchain. Sebbene il contenuto massimo di questo portafoglio fosse di 5.000 bitcoin in ONE momento, l'attaccante è stato in grado di rubare oltre 18.000 bitcoin nel corso della giornata, mentre i clienti effettuavano ulteriori depositi".

Risposta QUICK

Bitstamp si è mossa rapidamente per valutare e mitigare il danno, secondo il rapporto, emettendo un avviso aziendale e istituendo un team di risposta agli incidenti. L'azienda è venuta a conoscenza del furto la sera del 4 gennaio e, dopo aver verificato i server, ha scoperto l'ingresso del 29 dicembre e il trasferimento dei dati.

Stroz Friedberg ha avviato le indagini l'8 gennaio, operando dall'ufficio sloveno dell'azienda.

Il rapporto rileva:

"Poco dopo la Da scoprire dell'attacco, Bitstamp ha preso una decisione costosa ma necessaria per ricostruire da zero la nostra intera piattaforma di trading e i sistemi ausiliari, anziché provare a riavviare il nostro vecchio sistema. Lo abbiamo fatto da un backup sicuro che è stato mantenuto (secondo le procedure di disaster recovery) in un ambiente 'clean room'".

Il rapporto aggiunge che Bitstamp "ha deciso di implementare la nostra rete di distribuzione utilizzando server dell'infrastruttura cloud di Amazon situati in Europa" durante quel periodo.

Danni valutati

Bitstamp ha perso 18.866 BTC dal suo HOT wallet, per un valore di circa 5.263.614 $, in un momento in cui il prezzo medio del Bitcoin era di 279 $.

Tuttavia, il danno è andato oltre i bitcoin nel portafoglio HOT , ha spiegato il rapporto, osservando:

"Bitstamp ha perso clienti, tra cui importanti clienti impegnati nella fornitura di servizi commerciali in Bitcoin, e ha subito danni significativi alla sua reputazione, che non siamo in grado di quantificare esattamente in questo momento, ma che riteniamo superino i 2 milioni di dollari".

I costi aggiuntivi includono 250.000 $ pagati al team di Stroz Friedberg, 250.000 $ pagati agli sviluppatori per ricostruire la piattaforma e 150.000 $ in commissioni di consulenza e advisory. I costi, compresi quelli pagati a Stroz Friedberg, "continuano ad accumularsi", secondo il rapporto.

In seguito all'attacco, l'exchange ora utilizza l'accesso al portafoglio multi-sig e ha incaricato Xapo di gestire l'archiviazione del suo portafoglio freddo.

Nonostante le perdite e il presunto danno alla reputazione, l'azienda ha inquadrato l'incidente come un'esperienza di apprendimento, concludendo:

"Questa è stata una perdita significativa per Bitstamp e ha gettato ulteriori dubbi sulla sicurezza e l'integrità dell'ecosistema Bitcoin . Tuttavia, avrebbe potuto essere molto peggio e siamo determinati a utilizzare questo come strumento di apprendimento e come base per apportare miglioramenti alla nostra Tecnologie, ai protocolli di sicurezza, alla pianificazione della risposta agli incidenti e così FORTH".

Immagine di documenti riservatitramite Shutterstock