Șase angajați ai Bitstamp au fost ținta unei încercări de phishing de câteva săptămâni, care a dus la furtul a aproximativ 5 milioane de dolari în bitcoin în luna ianuarie, conform unui raport al incidentului care nu a fost confirmat oficial. Raportul se pare că ar fi fost trimis intern de către schimbul de bitcoin.
Documentul confidențial postat pe Reddit de pe un cont creat se pare doar pentru acest scop, a oferit o vedere mai în profunzime asupra a ceea ce se crede a fi o poveste din interior a hack-ului, care a rezultat în pierderea a aproape 19 000 de bitcoin la începutul anului. De atunci și până acum, compania a venit cu detalii destul de vagi despre evenimentele care au avut loc în spatele cortinei, folosindu-se de dreptul la confidențialitate în ceea ce privește investigarea fondurilor pierdute. .
Rezultatele raportului sunt importante pentru că ilustrează riscul cu care se confruntă schimburile de bitcoin, inclusiv atacuri de tip social engineering în care informațiile personale sunt folosite pentru a păcăli victimele să le dea uneltele pentru a accesa materiale sensibile.
În cazul Bitstamp, cei din spatele atacului au folosit Skype-ul și e-mail-ul pentru a comunica cu angajații și a încerca să distribuie fișiere care conțin malware. Sistemul Bitstamp a fost compromis după ce administratorul de sistem Luka Kodric a descărcat un fișier despre care credea că a fost trimis de către un reprezentativ al unei organizații care vroia să devină membru.
Raportul, atribuit consilierului general Bitstamp George Frost, explica:
”Pe 11 decembrie, ca parte a acestei oferte, atacatorul a trimis un număr de fișiere atașate. Unul dintre acestea, UPE_application_form.doc conținea script VBA malicious. Când a fost deschis, acest script a rulat automat și a extras un fișier malițios din adresa de IP 185.31.209.145, compromițând astfel aparatul.”
În cele din urmă, atacatorii au reușit să acceseze două servere conținând fișierul wallet.dat pentru portofelul hot Bitstamp și parola pentru acel fișier.
Informația conținută în raport se pare că ar fi fost sursă a unei investigații terțe conduse de firma de criminalistică digitală Stroz Friedberg, dar și de investigatori care lucrează pentru serviciul secret american, Biroul Federal de Investigații și autoritățile de prevenire a crimelor în mediul digital din Marea Britanie.
Odată cu redactarea raportului, investigația asupra hack-ingului era deja în derulare, dar se aștepta să se facă și un arest în viitorul apropiat. Raportul face referire la eforturile investigatorilor pentru a crea un ”honey trap” pentru a atrage atacatorul în Marea Britanie și a face arestul.
Cei de la Bitstamp a refuzat să comenteze autenticitatea raportului atunci când au fost contactați. Nici reprezentanții de la Stroz Friedberg nu au fost disponibili pentru a face comentarii.
Încercare de phishing
Conform raportului, prima încercare de phishing a avut loc pe 4 noiembrie, atunci când unul dintre atacatori l-a contactat pe directorul de tehnologie Bitstamp Damian Merlak, oferindu-i bilete gratuite la un festival de punk-rock.
Directorul operativ Miha Grcar a fost contactat pe Skype la mijlocul lunii noiembrie de o persoană care poza ca fiind reporter. În acel schimb de conversații, individul a citat articole din trecut scrise de Grcar, din perioda în care el însuși era reporter în Grecia.
După datele din raport ”pe 26 noiembrie, ca parte din această acțiune într-un fișier offline (de genul documentelor Word) ivan.foreignpolicy a încercat să trimită un document în format word a unui articol recent, căutând să îl contacteze pe dl. Grcar. Acesta a refuzat să accepte documentul.
Cu două zile în urmă, managerul de suport de la Bitstamp, Anzej Simicak, a fost la rândul său contactat pe Skype, iar în acel moment atacatorul a pozat într-o persoană care caută mai multe informații despre RippleWise, un proiect la care Simicak era director.
La începutul lui decembrei, mai mulți membrii ai staff-ului Bitstamp au fost contactați, inclusiv Kodric, al cărui cont a fost în cele din urmă compromis. Angajatul Miha Hrast a avut și el contul compromis în urma unui mesaj de pe Skype, dar acesta nu avea privilegii asupra serverului.
Server compromis
După ce s-au infiltrat pe calculatorul lui Kodric, conform raportului, alte fișiere au fost create în perioada 17-22 decembrie. Pe 23 decembrie, contul lui Kodric a fost folosit pentru a se loga la serverul care deținea fișierul wallet.dat.
O săptămână mai târziu, atacatorii au folosit calculatorul lui Kodric pentru a accesa serverele conținând fișierul wallet.dat și parola portofelului.
”Credem că atacatorul a copiat fișierul de portofel bitcoin și passphrase-ul în acest moment, datorită unei corelații dintre dimensiunea fișierului și dimensiunea transferului de date observat în registre. Cu toate astea conținutul efectiv al trasferului nu poate fi confirmat din registrele disponibile.”
După încă o săptămână, portofelul a fost golit.
”Pe 4 ianuaire, atacatorul a golit portofelul Bitstamp, așa cum arată blockchain-ul. Deși conținutul maxim al acestora era de 5000 de bitcoin, atacatorul a reușit să fure 18 000 de bitcoin de-a lungul zilei, pe măsură ce alte depozite au fost făcute de clienți.”
Răspuns rapid
Bitstamp s-a autosesizat rapid pentru a măsura și controla răul făcut, după datele din raport lansând o alertă în cadrul companiei și creând o echipă de răspuns pentru incident. Cei de la Bitstamp și-au dat seama de furt în după-amiaza zilei de 4 ianuarie, iar după ce au făcut un audit al serverelor au descoperit intrarea din 29 decembrie și transferul de date.
Stroz Friedberg și-a început investigațiile în data de 8 ianuarie, desfâșurându-și operațiunile în afara birourilor companiei din Slovenia.
”La scurt timp după ce au descoperit atacul, cei de la Bitstamp au luat o decizie costisitoare dar necesară de a reconstrui întreaga platformă și sistemele auxiliare de la zero, mai degrabă decât să încerce să rebooteze vechiul sistem. Am făcut acest lucru de pe un backup asigurat care a fost menținut (conform procedurilor de recuperare în caz de dezastru)într-un mediu ”antiseptic””
Raportul a adăugat și faptul că Bitstamp ”a decis să lanseze rețeaua noastră de distribuție folosind servere de insfrastructură în cloud de la Amazon localizate în Europa” pe toată acea perioadă.
Daunele
Bitstamp a pierdu 18 866 de bitcoin de pe portofel, valorând peste 5 milioane de dolari americani la acel moment, în care prețul bitcoin-ului era de 279 de dolari.
Cu toate astea, daunele sunt mai mari decât cele făcute portofelului bitcoin. ”Bitstamp a pierdut clienți, inclusiv clienți mari implicați în oferirea serviciilor comerciale în bitcoin, și a suferit daune de nemăsurat pentru reputație, care nici nu pot fi cuantificate exact în acest moment dar despre care credem că sunt mai mari de 2 milioane de dolari. ”
Costurile adiționale includ 250 000$ plătiți echipei Stroz Friedberg, 250 000$ plătiți dezvoltatorilor care au reconstruit platforma și 150 000$ în taxe de consultanță. Costurile, inclusiv acelea plătite către Stroz Friedberg, încă sunt în desfășurare, conform raportului.
În urma atacului, schimbul utilizează acum portofele multi-sig și a contractat firma Xapo pentru a se ocupa de stocarea la rece a portofelelor.
În ciuda pierderilor și a daunelor făcute reputației, compania a vorbit despre invident ca despre o experiență din care au învățat, concluzionând:
”Aceasta a fost o pierdere majoră pentru Bitstamp și aruncă o umbră de îndoială asupra siguranței și integrității ecosistemului bitcoin. Cu toate astea, ar fi putut fi mult mai rău și suntem hotărâți să ne folosim de această experiență pentru a învăța și ca pe o bază pentru a face îmbunătățiri în tehnologia noastră, în protocoalele de securitate și în planul de răspuns la incidente de acest fel pe mai departe.”