Coinapult Kompromiss Timeline

Developing Story.

Coinapult berichtet, dass die heiße Brieftasche des Unternehmens kompromittiert wurde.

Coinapult ist für viele in der Cryptocurrency Gemeinschaft bekannt. Das Unternehmen wurde von Erik Voorhees und Ira Miller im Jahr 2012 gegründet und erhöhte $ 750, 000 USD in einer Samenrunde unter der Leitung von Roger Ver, FirstMark Capital und dem Bitcoin Opportunity Fund. Coinapult befindet sich in Panama City.

Account Manager Robinson Dorion bei Coinapult hat einen Zeitplan über den Coinapult Hot Wallet Kompromiss geschickt.

Um 9: 27 UTC wurde ein unberechtigter Rücktritt für 150 BTC von Coinapults heißer Brieftasche an diese Adresse geschickt: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Die Adresse ab 7: 25PM EDT enthält 150 BTC im Wert von ca. $ 43, 080. 00 USD nach Winkdex und bleibt unversorgt und unbewegt.

Coinapult Teammitglieder, die derzeit arbeiten, um das Problem zu lösen sind Ira der CEO, Zach der IT-Admin, GP der CTO, Cindy ein Entwickler und Forensik-Experte, Justin der COO und Robinson ein Kundenservice Mitarbeiter .

Die heiße Brieftasche wurde in einem Tier 3 Rechenzentrum mit nur zwei Teammitgliedern mit physischem Zugang gehalten. Sie gehören Ira und Zach beide, die derzeit arbeiten, um festzustellen, wie der Kompromiss passiert zusätzlich zu arbeiten, um Coinapult zu sichern. SSH-Zugriff auf den Server ist auf vier Personen innerhalb des Unternehmens, die Ira, Zach, GP und Cindy gehören begrenzt.

Coinapult besagt, dass die Verbindung zum Server mit SSH erfordert, dass Benutzer in das Unternehmen VPN angemeldet sind und einzelne SSH-Schlüssel für die entsprechende Protokollierung verwenden. Jeder der Laptops der Produktion Schlüsselhalter wurde von den anderen für Netzwerk-Aktivität aus dem Zeitfenster mit nichts verdächtig gefunden, aber Zach's Laptop zeigte seltsame Verhalten erinnert an einen MITM-Angriff.

Das Unternehmen stellte fest, dass, während alle das gleiche lokale Netzwerk benutzten, dass Zachs Laptop eine Gabun-basierte IP-Adresse zeigte, während andere Teammitglieder Panama IP-Adressen zeigen. Nach der Entdeckung der Diskrepanz zog Zach seinen Laptop herunter und die Festplatte wurde für die forensische Analyse entfernt.

Das Unternehmen berichtete, dass am 13. März das Rechenzentrum, in dem der Finanzserver gehostet wurde, einen ganztägigen Ausfall erlebt hat. Der Ausfall fiel mit allen panamaischen Regierungs-Websites und anderen lokalen Business-Sites und Servern auch offline. Das Telefonsystem am Rechenzentrum war auch unten. Während dieses Ausfalls wurde Zach bei nahezu jeder Maschine im Rechenzentrum als Teil des Wiederherstellungsprozesses aus dem Ausfall angemeldet.

Wegen des Ausfalls GP Emailed Justin, Ira und Zach einen Plan, um alle IT-Services auf verschiedene Server außerhalb des Rechenzentrums umzugehen, um die Risiken in verschiedenen Rechenzentren zu verringern und möglicherweise versehentlich vom Angreifer gekippt zu haben, dass a Die Durchdringung der Coinapult-Systeme müsste vor dem Umzug der Coinapult-Server erfolgen.

Das Unternehmen berichtete über die letzten zwei Wochen waren ungewöhnlich problematisch für Systemfragen und Stabilität. Coinapult hat Probleme mit der Festplatte, CPU-Probleme und andere Probleme mit den im Rechenzentrum gehosteten Maschinen erlebt und während die Ursachen dieser Probleme bekannt sind, dass es die Maskierung von bösartigen Aktivitäten gewesen sein könnte.

Das Unternehmen hat eine Analyse aller Systeme begonnen und einige Hinweise auf den Kompromiss gefunden.

Das / var / log / auth. Protokolldatei wurde geändert. Die Datei enthält eine zusätzliche Leerzeile und die Auth. Log. 1 Datei wurde geleert. Vor dem Kompromiss der auth. Log. 1 Datei wäre aus den vergangenen Tagen voll von Daten gewesen.

Die / root /. bash_history Datei wurde auch geändert und zeigt einige beunruhigenden Zugriff auf die Maschine.

Die letzten vier Einträge dieser Datei sind:

  • nano auth. log
  • nano syslog
  • nano ufw. log
  • ls

Das Unternehmen hat festgestellt, dass dies außerhalb der Standard-Coinapult-Nutzung und wahrscheinlich von dem Angreifer mit der Absicht, die Dateien nach dem Verlassen des Systems zu behandeln. Das Coinapult-Team glaubt, dass ein Root-Kit verwendet werden könnte und ist hoffnungsvoll, dass eine forensische Analyse der Festplatte dazu beitragen würde, festzustellen, ob das der Fall ist.

Coinapult hat die folgenden Zeitpläne für Ereignisse gegeben. Alle Zeiten sind UTC -5.

1: 49 - Ira fordert heiße Brieftasche mit 100 BTC von Bitfinex ab.

2: 36 - Ira meldet sich in VPN an (nach seinem Syslog)

2: 36 - Ira loggt sich in den Finanzserver ein (nach Serverprotokoll)

2: 37 - Ira läuft sendmany, um Ausgaben zu teilen für optimale Sendung Leistung in der Nacht. Das war unnötig, da die 100 BTC noch nicht aufgetreten war, aber Ira hat das nicht bemerkt.

3: 55 - Bitfinex sendet 100 BTC-Abhebung

4: 15 - benachrichtigt Robinson über nicht ordnungsgemäß abgebrochene Transaktionen

4: 27 - Rückzug durch Hacker wird gemacht

4: 54 - Robinson sendet E-Mails über Transaktionen aus (995> 5: 17 - Zach setzt sich erfolgreich an VPN (nach seinem Syslog)

5: 17 - )

5: 22 - Zach meldet sich an den Finanzserver an (nach Serverprotokoll)

5: 31 - Zach sendet E-Mails, die Prozesse laufen lassen, aber keine heiße Brieftasche auf eigene Faust beurteilen können

8: 42 - Ira hat genug untersucht, um zu erkennen, dass es 150 BTC zu einer unbekannten Adresse zurückgezogen wurde. E-Mails diese Informationen an die anderen in der Firma.

9: 12 Die Mehrheit der Mittel wird aus der heißen Brieftasche zurückgezogen. Kunden (i. E.) Werden benachrichtigt und die Bekanntmachung erfolgt auf unserer Website. Team untersucht und identifiziert den Inhalt dieses Berichts.

Das Coinapult-Team hat alle Hardware im Rechenzentrum heruntergefahren und isoliert. Sie arbeiten, um zu zerlegen und laufen Forensik auf der Festplatte zu sehen, ob sie Daten aus den manipulierten Protokolle oder anderswo wiederherstellen können. Zach hat auch damit begonnen, seinen Laptop zu zerlegen, um Forensik zu laufen, und alle Hardware wird aus dem Rechenzentrum verschoben.

Das Unternehmen fordert das Rechenzentrum an, alle Zugangsprotokolle und Überwachungsmaterialien zu liefern, die für die Situation relevant sind, und sucht, um mehr Informationen über den 13. März zu erhalten, der erlebt wird.