Coinapult kompromiss tidslinje
Utviklingshistorie.
Coinapult rapporterte at selskapets hot lommebok er kompromittert.
Coinapult er kjent for mange i kryptovaluta-samfunnet. Selskapet ble grunnlagt av Erik Voorhees og Ira Miller i 2012, og samlet inn $ 750.000 USD i en seed-runde ledet av Roger Ver, FirstMark Capital og Bitcoin Opportunity Fund. Coinapult er basert i Panama City.
Kontosjef Robinson Dorion hos Coinapult har sendt over en tidslinje angående Coinapult Hot Wallet-kompromisset.
Klokka 9:27 UTC ble et uautorisert uttak for 150 BTC sendt fra Coinapults varme lommebok til denne adressen: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Adressen fra 19:25 EDT inneholder 150 BTC verdt ca $ 43.080,00 USD ifølge Winkdex og forblir ubrukt og uberørt.
Coinapult-teammedlemmer som for tiden jobber for å løse problemet er Ira administrerende direktør, Zach IT-administratoren, fastlege CTO, Cindy en utvikler og rettsmedisinsk ekspert, Justin COO og Robinson en kundeservicemedarbeider.
Den varme lommeboken ble oppbevart i et Tier 3-datasenter med bare to teammedlemmer som hadde fysisk tilgang. De inkluderer Ira og Zach som begge jobber for å finne ut hvordan kompromisset skjedde i tillegg til å jobbe for å sikre Coinapult. SSH-tilgang til serveren er begrenset til fire personer i selskapet som inkluderer Ira, Zach, GP og Cindy.
Coinapult uttaler at det å koble til serveren ved hjelp av SSH krever at brukere er logget på selskapets VPN og bruker individuelle SSH-nøkler for riktig logging. Hver av bærbare PC-er for produksjonsnøkkelinnehavere ble inspisert av de andre for nettverksaktivitet fra tidsvinduet uten noe mistenkelig funnet, men Zachs bærbare datamaskin viste merkelig oppførsel som minner om et MITM-angrep.
Selskapet uttalte at mens alle brukte det samme lokale nettverket, viste Zachs bærbare datamaskin en Gabon-basert IP-adresse mens andre teammedlemmer viser Panama IP-adresser. Etter oppdagelsen av avviket slo Zach ned den bærbare datamaskinen, og harddisken ble fjernet for rettsmedisinsk analyse.
Selskapet rapporterte at den 13. mars opplevde datasenteret der økonomiserveren var vert et helbrudd. Avbruddet falt sammen med at alle panamanske regjeringsnettsteder og andre lokale forretningssider og servere også var frakoblet. Telefonsystemet ved datasenteret var også nede. Under dette avbruddet var Zach logget inn på nesten alle maskiner i datasenteret som en del av gjenopprettingsprosessen fra strømbruddet.
På grunn av utfallet fastlegeposten sendte Justin, Ira og Zach en plan om å overføre alle IT-tjenester til forskjellige servere utenfor datasenteret i et forsøk på å redusere risikoen på tvers av ulike datasentre, og kan utilsiktet ha tipset angriperen om at en penetrasjon av Coinapult-systemer vil måtte finne sted før Coinapults servere flyttes.
Selskapet rapporterte at de siste to ukene har vært uvanlig problematiske for systemproblemer og stabilitet. Coinapult har opplevd harddiskproblemer, CPU-problemer og andre problemer med maskinene som ligger i datasenteret, og selv om årsakene til disse problemene er kjent, kan det ha vært maskering av ondsinnede aktiviteter..
Selskapet har startet en analyse av alle systemer og funnet flere ledetråder angående kompromisset.
/Var/log/auth.log-filen er endret. Filen inneholder en ekstra tom linje, og filen auth.log.1 er tømt. Før kompromisset ville auth.log.1-filen ha vært full av data de siste dagene.
Filen /root/.bash_history ble også endret og viser litt urolig tilgang til maskinen.
De fire siste oppføringene i den filen er:
- nano auth.log
- nano syslog
- nano ufw.log
- ls
Selskapet har funnet ut at dette er utenfor standard Coinapult-bruk og sannsynligvis drives av angriperen med den hensikt å lege filene etter å ha forlatt systemet. Coinapult-teamet mener at et rotsett kunne ha blitt brukt og er håpefull om at en rettsmedisinsk analyse av harddisken vil bidra til å avgjøre om det er tilfelle.
Coinapult har gitt følgende tidslinje angående hendelser. Alle oppførte tider er UTC -5.
1:49 – Ira ber om varm lommebok med 100 BTC fra Bitfinex.
2:36 – Ira logger på VPN (ifølge sysloggen hans)
2:36 – Ira logger på økonomiserveren (i henhold til serverloggen)
2:37 – Ira kjører sendmany for å dele utganger for optimal sendingsytelse om natten. Dette var unødvendig ettersom 100 BTC ikke hadde dukket opp ennå, men Ira la ikke merke til det.
3:55 – Bitfinex sender 100 BTC-uttak
4:15 – varsler Robinson om feil annullerte transaksjoner
4:27 – Uttak av hacker gjøres
4:54 – Robinson sender ut e-post om at transaksjoner blir stoppet og at lommeboken er mistenkelig lav
4:58 – Robinson ringer til Zach og Zach begynner å prøve å koble seg til VPN (ifølge syslog)
5:17 – Zach logger seg vellykket på VPN (ifølge syslog)
5:22 – Zach logger på Finance-serveren (i henhold til serverloggen)
5:31 – Zach sender e-post om at prosesser kjører, men kan ikke vurdere varm lommebok alene
8:42 – Ira har gjort nok etterforskning for å identifisere at det har blitt trukket 150 BTC til en ukjent adresse. Send denne informasjonen til de andre i selskapet.
9:12 Flertallet av midlene trekkes ut av den varme lommeboken. Kunder (dvs.) blir varslet og offentlig varsel blir plassert på nettstedet vårt. Teamet undersøker og identifiserer innholdet i denne rapporten.
Coinapult-teamet har slått av og isolert all maskinvare i datasenteret. De jobber med å demontere og kjøre rettsmedisin på harddisken for å se om de kan gjenopprette data fra de manipulerte loggene eller andre steder. Zach har også begynt å demontere den bærbare datamaskinen for å kjøre rettsmedisin på den, og all maskinvare blir flyttet ut av datasenteret.
Selskapet ber datasenteret om å gi alle tilgangslogger og overvåkingsopptak som er relevante for situasjonen, og søker å samle inn mer informasjon om den 13. mars..
