MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,924 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Все новости о платежных криптовалютах, таких как BitCoin, Ethereum, LiteCoin, Ripple и прочих подобных p2p валютах
Первый пост Опции темы
Старый 06.07.2015, 10:45
#1
Мастер
 
Имя: Виталий
Пол: Мужской
Адрес: Украина
Регистрация: 26.09.2011
Сообщений: 4,490
Благодарностей: 1,520

награды Манимейкер 
Биржа Bitstamp лишилась $5 млн из-за макроса в Word


В январе 2015 года стало известно о взломе крупной европейской биткоин-биржи Bitstamp. Тогда хакеры сумели похитить 18,977 биткоинов (4,4 млн евро или5,3 млн долларов). Зимой подробностей о взломе не последовало, но на прошлой неделе некто анонимно опубликовал на Reddit ссылку на официальный отчет, подробно рассказывающий об атаке. В частности о том, как лишиться $5 млн из-за обыкновенного макроса в Word.

Документ под названием Bitstamp Incident Report, за авторством главного юрисконсульта Bitstamp Джорджа Фроста (George Frost), датирован февралем 2015 года и содержит информацию от криминалистов из фирмы Stroz Friedberg, проводившей расследование; данные, которыми поделились ФБР и Секретная служба США; а также данные, предоставленные неким «британским кибеорподразделением», что относится либо к Национальному агентству по борьбе с преступностью, либо к лондонской полиции.

«Расследование еще ведется», — гласит отчет. «Мы надеемся, что нам удалось идентифицировать по меньшей мере одного хакера и выстроить для него ловушку, с целью выманить его в Великобританию для последующего ареста. Кроме того, нам стоит быть весьма осторожными и не просвещать других хакеров относительно того, как именно мы защищаем свои активы и информацию».

Из отчета становится ясно, что Bitstamp пострадала от серии хорошо спланированных фишинговых атак на шестерых разных сотрудников биржи. Более того, все атаки носили личный характер, указывали на отличное знание хакерами бекграунда персонала Bitstamp и умело использовали социальную инженерию. Хакеры продолжали попытки до тех пор, пока не сумели инфицировать ПК одного из системных администраторов.

Начало атак пришлось на 4 ноября 2014 года. Тогда CTO биржи Дамиану Мерлаку (Damian Merlak) по Skype предложили бесплатные билеты на панк-рок фестиваль Punk Rock Holiday 2015, прекрасная зная, что Мерлак интересуется такой музыкой и сам играет в группе. Для получения билетов ему предложили заполнить анкету участника, прислав файл Punk Rock Holiday 2015 TICKET Form1.doc. Файл содержал VBA-скрипт. Стоило открыть файл в Microsoft Word, как скрипт выполнялся, скачивая дополнительную малварь на компьютер жертвы. Хотя Мерлак не заподозрил дурного и открыл присланную «анкету», ни к каким критичным последствиям это не привело, — с его компьютера не было доступа к средствам биржи.

Злоумышленники, впрочем, на этом не сдались. Атака продолжалась в течение пяти недель, в ходе которых хакеры проявляли чудеса изобретательности и представлялись то журналистами, то хедхантерами. Каждая атака отличалась отличным знанием вкусов и увлечений каждой из жертв. Наконец злоумышленникам повезло. 11 декабря 2014 года инфицированный документ Word открыл на своей машине системный администратор Bitstamp Лука Кодрич (Luka Kodric), у которого доступ к кошельку биржи имелся. Файл пришел жертве по email, якобы от лица сотрудника Ассоциации по вычислительной технике, хотя на самом деле, как показало расследование, следы файла уводят глубоко в Tor. Хакеры не ограничились одним лишь письмом. В Skype злоумышленник, выдававший себя за сотрудника Ассоциации по вычислительной технике, убедил Кодрича, что его хотя внести в международное почетное общество, для чего нужно заполнить некоторые бумаги. Кодрич поверил.

Установив троян на компьютер Кодрича, хакеры сумели получить прямой доступ к «горячему» кошельку биржи. Логи показывают, что атакующий, из-под учетной записи Кодрича, получил доступ к серверу LNXSRVBTC, где хранился файл wallet.dat, и серверу DORNATA, где хранился пароль. Затем серверы были перенаправлены на некий IP-адрес, принадлежит одному из провайдеров Германии.

«На момент 4 января 2015 года хакеры полностью опустошили кошелек Bitstamp, о чем свидетельствуют блокчейны. Несмотря на то, что кошелек мог содержать не более 5000 BC одновременно, атакующие сумели похитить более 18 000 BC за несколько дней, по мере того как пользователи биржи вносили средства», — поясняется в отчете.

Официальных сообщений об арестах по этому делу до сих пор нет. Очевидно, задача осложняется тем, что хакеры находятся за пределами Великобритании, и следствию приходится сотрудничать с правоохранительными органами других стран.

Bitstamp вынесла из случившегося урок, значительно улучшив свою систему безопасности. На расследование инцидента и улучшение систем уже потрачено более $650 000. Теперь Bitstamp на постоянной основе сотрудничает с фирмой BitGo и является одной из немногих площадок, которая даже для «холодных» кошельков использует мультиподписи. Кроме того, согласно отчету, биржа теперь работает и с хранилищем биткоинов Xapo.

Отчет изначально был опубликован через Scribd, откуда был удален. Найти файл, тем не менее, можно на частном сайте Bitstamp Incident Report, посвященном данному инциденту.

Источник
Tigrenish вне форума
Метки
bitcoin, биткоин, горячие новости, хакер
Войдите, чтобы оставить комментарий.
Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
bitstamp верификация obmen475 Биржи криптовалют 10 07.01.2018 21:28
Крипто-биржа Bitstamp частично возобновила работу VictorSamus Новости криптовалют 0 12.01.2015 23:20
Биржа Bitstamp приостановила работу DeFree Новости криптовалют 9 10.01.2015 01:13
Биржа Bitstamp стала жертвой хакерской атаки на 5 млн. долларов pilot10 Новости криптовалют 3 07.01.2015 18:59
Takata лишилась прибыли из-за взрывающихся подушек безопасности Njord Новости в мире финансов и инвестиций 0 09.11.2014 17:22