Coinapult Compromise 타임 라인
개발 스토리.
Coinapult 회사의 핫 월렛이 손상되었다고보고했습니다..
Coinapult는 cryptocurrency 커뮤니티에서 많은 사람들에게 잘 알려져 있습니다. 이 회사는 2012 년 Erik Voorhees와 Ira Miller에 의해 설립되었으며 Roger Ver, FirstMark Capital 및 Bitcoin Opportunity Fund가 이끄는 시드 라운드에서 미화 750,000 달러를 모금했습니다. Coinapult는 파나마 시티에 있습니다..
Coinapult의 계정 관리자 Robinson Dorion이 Coinapult Hot Wallet 침해에 관한 타임 라인을 보냈습니다..
UTC 9:27에 Coinapult의 핫 월렛에서 다음 주소로 150 BTC에 대한 무단 인출이 전송되었습니다. 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. 오후 7:25 EDT 기준 주소에는 Winkdex에 따르면 약 $ 43,080.00 USD 상당의 150 BTC가 포함되어 있으며 사용되지 않고 이동하지 않은 상태로 유지됩니다..
현재이 문제를 해결하기 위해 노력하고있는 Coinapult 팀원은 CEO Ira, IT 관리자 Zach, CTO GP, 개발자 겸 법의학 전문가 Cindy, COO Justin 및 고객 서비스 직원 Robinson입니다..
핫 월렛은 두 명의 팀원 만 물리적으로 액세스 할 수있는 계층 3 데이터 센터에 보관되었습니다. 여기에는 Coinapult를 보호하기 위해 노력하는 것 외에도 현재 타협이 어떻게 발생했는지 확인하기 위해 노력하고있는 Ira와 Zach가 포함됩니다. 서버에 대한 SSH 액세스는 Ira, Zach, GP 및 Cindy를 포함하여 회사 내 4 명의 개인으로 제한됩니다..
Coinapult는 SSH를 사용하여 서버에 연결하려면 사용자가 회사 VPN에 로그인하고 적절한 로깅을 위해 개별 SSH 키를 사용해야한다고 말합니다. 각 프로덕션 키 홀더의 노트북은 의심스러운 것이 발견되지 않은 상태에서 시간 창에서 네트워크 활동에 대해 다른 사람들이 검사했지만 Zach의 노트북은 MITM 공격을 연상시키는 이상한 동작을 나타 냈습니다..
이 회사는 모든 사람이 Zach의 노트북이 가봉 기반 IP 주소를 표시하는 것과 동일한 로컬 네트워크를 사용하는 동안 다른 팀원은 파나마 IP 주소를 표시한다고 밝혔습니다. 불일치가 발견되면 Zach는 랩톱의 전원을 끄고 법의학 분석을 위해 하드 드라이브를 제거했습니다..
이 회사는 3 월 13 일 금융 서버가 호스팅 된 데이터 센터가 하루 종일 중단되었다고보고했습니다. 정전은 모든 파나마 정부 웹 사이트와 기타 지역 비즈니스 사이트 및 서버가 오프라인 상태 인 것과 동시에 발생했습니다. 데이터 센터의 전화 시스템도 다운되었습니다. 이 중단 기간 동안 Zach는 중단 복구 프로세스의 일부로 데이터 센터에있는 거의 모든 시스템에 로그인했습니다..
중단으로 인해 GP는 Justin, Ira 및 Zach에게 다양한 데이터 센터의 위험을 완화하기위한 노력의 일환으로 모든 IT 서비스를 데이터 센터 외부의 다양한 서버로 전환 할 계획을 이메일로 보냈으며 실수로 공격자에게 Coinapult 시스템은 Coinapult의 서버 이동 전에 이루어져야합니다..
회사는 지난 2 주 동안 시스템 문제와 안정성에 비정상적으로 문제가 있었다고보고했습니다. Coinapult는 데이터 센터에서 호스팅되는 시스템에서 하드 드라이브 문제, CPU 문제 및 기타 문제를 경험했으며 이러한 문제의 원인은 알려져 있지만 악의적 인 활동을 마스킹했을 수 있습니다..
회사는 모든 시스템에 대한 분석을 시작했으며 침해와 관련된 몇 가지 단서를 찾았습니다..
/var/log/auth.log 파일이 수정되었습니다. 파일에 추가 빈 줄이 포함되고 auth.log.1 파일이 비었습니다. 손상되기 전에 auth.log.1 파일은 지난 며칠 동안의 데이터로 가득 차있었습니다..
/root/.bash_history 파일도 수정되었으며 시스템에 대한 액세스 문제를 보여줍니다..
해당 파일의 마지막 4 개 항목은 다음과 같습니다.
- nano auth.log
- 나노 시스템 로그
- nano ufw.log
- ls
이 회사는 이것이 표준 Coinapult 사용에서 벗어 났으며 시스템을 떠난 후 파일을 닥터하려는 의도로 공격자가 실행할 가능성이 있음을 발견했습니다. Coinapult 팀은 루트 키트가 사용되었을 수 있다고 믿으며 하드 드라이브에 대한 법 의학적 분석이 그러한 경우인지 판단하는 데 도움이되기를 바랍니다..
Coinapult는 이벤트와 관련하여 다음과 같은 타임 라인을 제공했습니다. 나열된 모든 시간은 UTC -5입니다..
1:49 – Ira가 Bitfinex에서 100 BTC로 핫 지갑 충전을 요청합니다..
2:36 – Ira가 VPN에 로그인합니다 (시스템 로그에 따름).
2:36 – Ira가 Finance 서버에 로그인합니다 (서버 로그에 따름).
2:37 – Ira는 밤 동안 최적의 전송 성능을 위해 출력을 분할하기 위해 sendmany를 실행합니다. 100 BTC가 아직 나타나지 않았기 때문에 이것은 불필요했지만 Ira는.
3:55 – Bitfinex가 100 BTC 인출을 보냅니다.
4:15 – 잘못 취소 된 거래에 대해 Robinson에게 알립니다.
4:27 – 해커에 의한 철회
4:54 – Robinson은 거래가 중단되고 핫 월렛이 의심스럽게 부족하다는 이메일을 보냅니다.
4:58 – Robinson이 Zach에게 전화를 걸고 Zach가 VPN에 연결을 시도하기 시작합니다 (시스템 로그에 따름).
5:17 – Zach가 VPN에 성공적으로 로그인합니다 (시스템 로그에 따름).
5:22 – Zach가 Finance 서버에 로그인합니다 (서버 로그에 따름).
5:31 – Zach는 프로세스가 실행 중이지만 자체적으로 핫 월렛을 평가할 수 없다는 이메일을 보냅니다.
8:42 – Ira는 알 수없는 주소로 150 BTC가 인출되었는지 확인하기에 충분한 조사를 수행했습니다. 이 정보를 회사의 다른 사람들에게 이메일로 보냅니다..
9:12 대부분의 자금이 핫 지갑에서 인출됩니다. 고객 (예 :)에게 통지하고 당사 웹 사이트에 공고합니다. 팀은이 보고서의 내용을 조사하고 식별합니다..
Coinapult 팀은 데이터 센터의 모든 하드웨어의 전원을 끄고 격리했습니다. 그들은 조작 된 로그 또는 다른 곳에서 데이터를 복구 할 수 있는지 확인하기 위해 하드 드라이브에서 포렌식을 분해하고 실행하기 위해 노력하고 있습니다. Zach는 또한 랩톱을 분해하여 포렌식을 실행하기 시작했으며 모든 하드웨어가 데이터 센터에서 이동 중입니다..
이 회사는 데이터 센터에 상황과 관련된 모든 액세스 로그 및 감시 영상을 제공하도록 요청하고 있으며 경험 한 3 월 13 일 중단에 대한 자세한 정보를 수집하려고합니다..