Garis Masa Kompromi Coinapult
Mengembangkan Cerita.
Coinapult melaporkan bahawa dompet panas syarikat telah dikompromikan.
Coinapult terkenal di kalangan masyarakat cryptocurrency. Syarikat ini ditubuhkan oleh Erik Voorhees dan Ira Miller pada tahun 2012, dan mengumpulkan $ 750,000 USD dalam pusingan benih yang diketuai oleh Roger Ver, FirstMark Capital, dan Bitcoin Opportunity Fund. Coinapult berpusat di Panama City.
Pengurus akaun Robinson Dorion di Coinapult telah menghantar garis masa mengenai kompromi Coinapult Hot Wallet.
Pada pukul 9:27 UTC, pengeluaran tanpa izin untuk 150 BTC telah dihantar dari dompet panas Coinapult ke alamat ini: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Alamat pada 7:25 PM EDT mengandungi 150 BTC bernilai kira-kira $ 43,080.00 USD menurut Winkdex dan tetap tidak dibelanjakan dan tidak dipindahkan.
Anggota pasukan Coinapult yang kini berusaha untuk menyelesaikan masalah tersebut adalah Ira CEO, Zach the IT Admin, GP the CTO, Cindy seorang pembangun dan pakar forensik, Justin the COO dan Robinson seorang pegawai perkhidmatan pelanggan.
Dompet panas disimpan di pusat data Tier 3 dengan hanya dua ahli pasukan yang mempunyai akses fizikal. Mereka termasuk Ira dan Zach yang keduanya sedang berusaha untuk menentukan bagaimana kompromi itu berlaku selain berusaha untuk mendapatkan Coinapult. Akses SSH ke pelayan terhad kepada empat individu di dalam syarikat yang merangkumi Ira, Zach, GP dan Cindy.
Coinapult menyatakan bahawa menyambung ke pelayan menggunakan SSH memerlukan pengguna masuk ke VPN syarikat dan menggunakan kunci SSH individu untuk pembalakan yang sesuai. Setiap komputer riba pemegang kunci pengeluaran diperiksa oleh yang lain untuk melakukan aktiviti rangkaian dari jendela waktu dengan tidak ada yang mencurigakan, namun komputer riba Zach menunjukkan tingkah laku pelik yang mengingatkan pada serangan MITM.
Syarikat itu menyatakan bahawa sementara semua orang menggunakan rangkaian tempatan yang sama dengan komputer riba Zach menunjukkan alamat IP berasaskan Gabon sementara anggota pasukan lain menunjukkan alamat IP Panama. Setelah mengetahui perbezaan Zach mematikan komputer ribanya dan cakera keras dikeluarkan untuk analisis forensik.
Syarikat melaporkan bahawa pada 13 Mac pusat data tempat pelayan kewangan dihoskan mengalami gangguan sepanjang hari. Pemadaman itu bertepatan dengan semua laman web pemerintah Panaman dan laman web perniagaan serta pelayan tempatan yang lain juga di luar talian. Sistem telefon di pusat data juga tidak berfungsi. Semasa gangguan ini, Zach dilog masuk ke hampir setiap mesin di pusat data sebagai sebahagian daripada proses pemulihan dari pemadaman.
Oleh kerana pemadaman GP menghantar e-mel kepada Justin, Ira dan Zach rancangan untuk mengalihkan semua perkhidmatan IT ke pelbagai pelayan di luar pusat data dalam usaha mengurangkan risiko di pelbagai pusat data dan mungkin secara tidak sengaja memberi tahu penyerang bahawa penembusan Sistem Coinapult perlu dilakukan sebelum pemindahan server Coinapult.
Syarikat itu melaporkan dua minggu kebelakangan ini sangat bermasalah untuk masalah dan kestabilan sistem. Coinapult telah mengalami masalah cakera keras, masalah CPU dan masalah lain dengan mesin yang dihoskan di pusat data dan sementara penyebab masalah ini diketahui ia mungkin merupakan penyamaran aktiviti jahat.
Syarikat telah memulakan analisis semua sistem dan menemui beberapa petunjuk mengenai kompromi tersebut.
Fail /var/log/auth.log telah diubah suai. Fail mengandungi baris kosong tambahan dan fail auth.log.1 telah dikosongkan. Sebelum berkompromi, file auth.log.1 akan penuh dengan data dari beberapa hari terakhir.
Fail /root/.bash_history juga diubah suai dan menunjukkan beberapa akses yang mengganggu ke mesin.
Empat entri terakhir fail tersebut adalah:
- nano auth.log
- syslog nano
- nano ufw.log
- ls
Syarikat mendapati ini tidak sesuai dengan penggunaan Coinapult standard dan kemungkinan dijalankan oleh penyerang dengan niat untuk memeriksakan fail setelah keluar dari sistem. Pasukan Coinapult percaya root kit mungkin telah digunakan dan berharap analisis forensik cakera keras dapat membantu menentukan apakah itu masalahnya.
Coinapult telah menyediakan garis masa berikut mengenai acara. Semua masa yang disenaraikan adalah UTC -5.
1:49 – Ira meminta dompet panas dengan 100 BTC dari Bitfinex.
2:36 – Ira masuk ke VPN (mengikut syslognya)
2:36 – Ira log masuk ke pelayan Kewangan (mengikut log pelayan)
2:37 – Ira menjalankan banyak untuk membagi output untuk prestasi penghantaran yang optimum pada waktu malam. Ini tidak perlu kerana 100 BTC belum muncul, tetapi Ira tidak menyedarinya.
3:55 – Bitfinex menghantar 100 pengeluaran BTC
4:15 – memberitahu Robinson mengenai transaksi yang dibatalkan dengan tidak betul
4:27 – Pengeluaran oleh penggodam dibuat
4:54 – Robinson menghantar e-mel mengenai transaksi yang terhenti dan dompet panas disyaki rendah
4:58 – Robinson memanggil Zach dan Zach mula cuba menyambung ke VPN (mengikut syslognya)
5:17 – Zach berjaya masuk ke VPN (mengikut syslognya)
5:22 – Zach log masuk ke pelayan Kewangan (mengikut log pelayan)
5:31 – Zach menghantar e-mel mengatakan bahawa proses sedang berjalan tetapi tidak dapat menilai sendiri dompet panas
8:42 – Ira telah melakukan penyiasatan yang cukup untuk mengenal pasti bahawa terdapat 150 BTC yang ditarik ke alamat yang tidak diketahui. E-mel maklumat ini kepada orang lain dalam syarikat.
9:12 Sebilangan besar dana dikeluarkan dari hot wallet. Pelanggan (iaitu) diberitahu dan notis awam diletakkan di laman web kami. Pasukan menyiasat dan mengenal pasti kandungan laporan ini.
Pasukan Coinapult telah mematikan dan mengasingkan semua perkakasan di pusat data. Mereka berusaha untuk membongkar dan menjalankan forensik pada cakera keras untuk melihat apakah mereka dapat memulihkan data dari log yang dimanipulasi atau di tempat lain. Zach juga mula membongkar komputer riba untuk menjalankan forensik dan semua perkakasan dipindahkan dari pusat data.
Syarikat meminta pusat data menyediakan semua log akses dan rakaman pengawasan yang relevan dengan keadaan dan berusaha mengumpulkan lebih banyak maklumat mengenai gangguan 13 Mac yang dialami.
