Cronología del compromiso de Coinapult
Historia en desarrollo.
Coinapult informó que la billetera caliente de la empresa se ha visto comprometida.
Coinapult es bien conocido por muchos en la comunidad de criptomonedas. La compañía fue fundada por Erik Voorhees e Ira Miller en 2012, y recaudó $ 750,000 USD en una ronda inicial liderada por Roger Ver, FirstMark Capital y Bitcoin Opportunity Fund. Coinapult tiene su sede en la ciudad de Panamá.
El gerente de cuentas Robinson Dorion en Coinapult ha enviado una línea de tiempo sobre el compromiso de Coinapult Hot Wallet.
A las 9:27 UTC se envió un retiro no autorizado por 150 BTC desde la billetera activa de Coinapult a esta dirección: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. La dirección a las 7:25 p.m.EDT contiene 150 BTC por un valor aproximado de $ 43,080.00 USD según Winkdex y permanece sin gastar e impasible.
Los miembros del equipo de Coinapult que están trabajando actualmente para resolver el problema son Ira, el CEO, Zach, el administrador de TI, GP, el CTO, Cindy, un desarrollador y experto forense, Justin el COO y Robinson, un empleado de servicio al cliente..
La billetera activa se mantuvo en un centro de datos de nivel 3 con solo dos miembros del equipo con acceso físico. Incluyen a Ira y Zach, quienes actualmente están trabajando para determinar cómo sucedió el compromiso, además de trabajar para asegurar Coinapult. El acceso SSH al servidor está limitado a cuatro personas dentro de la empresa, que incluyen a Ira, Zach, GP y Cindy..
Coinapult afirma que para conectarse al servidor mediante SSH es necesario que los usuarios inicien sesión en la VPN de la empresa y utilicen claves SSH individuales para el registro adecuado. Los demás inspeccionaron las computadoras portátiles de los titulares de claves de producción en busca de actividad de red desde la ventana de tiempo y no se encontró nada sospechoso, sin embargo, la computadora portátil de Zach mostraba un comportamiento extraño que recuerda a un ataque MITM.
La compañía declaró que mientras todos usaban la misma red local, la computadora portátil de Zach mostraba una dirección IP de Gabón, mientras que otros miembros del equipo mostraban direcciones IP de Panamá. Al descubrir la discrepancia, Zach apagó su computadora portátil y se extrajo el disco duro para un análisis forense..
La compañía informó que el 13 de marzo, el centro de datos donde estaba alojado el servidor financiero experimentó una interrupción durante todo el día. La interrupción coincidió con todos los sitios web del gobierno panameño y otros sitios y servidores de negocios locales que también estaban fuera de línea. El sistema telefónico del centro de datos también estaba caído. Durante esta interrupción, Zach inició sesión en casi todas las máquinas del centro de datos como parte del proceso de recuperación de la interrupción..
Debido a la interrupción, GP envió un correo electrónico a Justin, Ira y Zach con un plan para transferir todos los servicios de TI a varios servidores fuera del centro de datos en un esfuerzo por mitigar los riesgos en varios centros de datos y puede haber avisado inadvertidamente al atacante de que una penetración del Los sistemas de Coinapult deberían tener lugar antes del traslado de los servidores de Coinapult.
La compañía informó que las últimas dos semanas han sido inusualmente problemáticas por problemas de sistema y estabilidad. Coinapult ha experimentado problemas con el disco duro, problemas con la CPU y otros problemas con las máquinas alojadas en el centro de datos y, aunque se conocen las causas de estos problemas, podría haber sido el enmascaramiento de actividades maliciosas..
La empresa ha comenzado un análisis de todos los sistemas y ha encontrado varias pistas sobre el compromiso..
Se ha modificado el archivo /var/log/auth.log. El archivo contiene una línea en blanco adicional y el archivo auth.log.1 se ha vaciado. Antes del compromiso, el archivo auth.log.1 habría estado lleno de datos de los últimos días..
El archivo /root/.bash_history también se modificó y muestra algunos problemas de acceso a la máquina.
Las últimas cuatro entradas de ese archivo son:
- nano auth.log
- nano syslog
- nano ufw.log
- ls
La compañía ha descubierto que esto está fuera del uso estándar de Coinapult y que probablemente lo ejecute el atacante con la intención de revisar los archivos después de salir del sistema. El equipo de Coinapult cree que podría haberse utilizado un kit raíz y espera que un análisis forense del disco duro ayude a determinar si ese es el caso..
Coinapult ha proporcionado la siguiente línea de tiempo con respecto a los eventos. Todas las horas indicadas son UTC -5.
1:49 – Ira solicita la billetera caliente con 100 BTC de Bitfinex.
2:36 – Ira inicia sesión en VPN (según su syslog)
2:36 – Ira inicia sesión en el servidor de Finanzas (según el registro del servidor)
2:37 – Ira ejecuta sendmany para dividir las salidas para un rendimiento de envío óptimo durante la noche. Esto era innecesario ya que los 100 BTC aún no habían aparecido, pero Ira no se dio cuenta de que.
3:55 – Bitfinex envía retiro de 100 BTC
4:15 – notifica a Robinson sobre transacciones canceladas incorrectamente
4:27 – Se realiza el retiro por parte del hacker
4:54 – Robinson envía un correo electrónico sobre transacciones que se estancan y que la billetera caliente está sospechosamente baja
4:58 – Robinson llama a Zach y Zach comienza a intentar conectarse a la VPN (según su registro del sistema)
5:17 – Zach inicia sesión con éxito en VPN (según su registro del sistema)
5:22 – Zach inicia sesión en el servidor de Finanzas (según el registro del servidor)
5:31 – Zach envía un correo electrónico diciendo que los procesos se están ejecutando pero que no puede evaluar Hot Wallet por su cuenta
8:42 – Ira ha investigado lo suficiente para identificar que se han retirado 150 BTC a una dirección desconocida. Envía esta información por correo electrónico a los demás en la empresa.
9:12 La mayoría de los fondos se retiran de Hot Wallet. Los clientes (es decir) son notificados y se coloca un aviso público en nuestro sitio web. El equipo investiga e identifica el contenido de este informe.
El equipo de Coinapult apagó y aisló todo el hardware del centro de datos. Están trabajando para desmontar y ejecutar análisis forenses en el disco duro para ver si pueden recuperar datos de los registros manipulados o de otro lugar. Zach también ha comenzado a desmontar su computadora portátil para ejecutar análisis forenses en ella y todo el hardware se está moviendo fuera del centro de datos..
La compañía solicita al centro de datos que proporcione todos los registros de acceso y las imágenes de vigilancia relevantes a la situación y busca recopilar más información sobre la interrupción experimentada el 13 de marzo.
