SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
6 Июль 2015

Биржа Bitstamp лишилась $5 млн из-за макроса в Word

В январе 2015 года стало известно о взломе крупной европейской биткоин-биржи Bitstamp. Тогда хакеры сумели похитить 18,977 биткоинов (4,4 млн евро или 5,3 млн долларов).

Зимой подробностей о взломе не последовало, но на прошлой неделе некто анонимно опубликовал на Reddit ссылку на официальный отчет, подробно рассказывающий об атаке. В частности о том, как лишиться $5 млн из-за обыкновенного макроса в Word.

Документ под названием Bitstamp Incident Report, за авторством главного юрисконсульта Bitstamp Джорджа Фроста (George Frost), датирован февралем 2015 года и содержит информацию от криминалистов из фирмы Stroz Friedberg, проводившей расследование; данные, которыми поделились ФБР и Секретная служба США; а также данные, предоставленные неким «британским кибеорподразделением», что относится либо к Национальному агентству по борьбе с преступностью, либо к лондонской полиции.

«Расследование еще ведется», — гласит отчет. «Мы надеемся, что нам удалось идентифицировать по меньшей мере одного хакера и выстроить для него ловушку, с целью выманить его в Великобританию для последующего ареста. Кроме того, нам стоит быть весьма осторожными и не просвещать других хакеров относительно того, как именно осуществляется защита данных, активов и информации».

Из отчета становится ясно, что Bitstamp пострадала от серии хорошо спланированных фишинговых атак на шестерых разных сотрудников биржи. Более того, все атаки носили личный характер, указывали на отличное знание хакерами бекграунда персонала Bitstamp и умело использовали социальную инженерию. Хакеры продолжали попытки до тех пор, пока не сумели инфицировать ПК одного из системных администраторов, тогда информационная защита всех пользователей оказалась уязвимой.

Начало атак пришлось на 4 ноября 2014 года. Тогда CTO биржи Дамиану Мерлаку (Damian Merlak) по Skype предложили бесплатные билеты на панк-рок фестиваль Punk Rock Holiday 2015, прекрасная зная, что Мерлак интересуется такой музыкой и сам играет в группе. Для получения билетов ему предложили заполнить анкету участника, прислав файл Punk Rock Holiday 2015 TICKET Form1.doc. Файл содержал VBA-скрипт. Стоило открыть файл в Microsoft Word, как скрипт выполнялся, скачивая дополнительную малварь на компьютер жертвы. Хотя Мерлак не заподозрил дурного и открыл присланную «анкету», ни к каким критичным последствиям это не привело, — с его компьютера не было доступа к средствам биржи.

Злоумышленники, впрочем, на этом не сдались. Атака продолжалась в течение пяти недель, в ходе которых хакеры проявляли чудеса изобретательности и представлялись то журналистами, то хедхантерами. Каждая атака отличалась отличным знанием вкусов и увлечений каждой из жертв. Наконец злоумышленникам повезло. 11 декабря 2014 года инфицированный документ Word открыл на своей машине системный администратор Bitstamp Лука Кодрич (Luka Kodric), у которого доступ к кошельку биржи имелся.

Файл пришел жертве по email, якобы от лица сотрудника Ассоциации по вычислительной технике, хотя на самом деле, как показало расследование, следы файла уводят глубоко в Tor. Хакеры не ограничились одним лишь письмом. В Skype злоумышленник, выдававший себя за сотрудника Ассоциации по вычислительной технике, убедил Кодрича, что его хотя внести в международное почетное общество, для чего нужно заполнить некоторые бумаги. Кодрич поверил.

Установив троян на компьютер Кодрича, хакеры сумели получить прямой доступ к «горячему» кошельку биржи. Логи показывают, что атакующий, из-под учетной записи Кодрича, получил доступ к серверу LNXSRVBTC, где хранился файл wallet.dat, и серверу DORNATA, где хранился пароль. Затем серверы были перенаправлены на некий IP-адрес, принадлежит одному из провайдеров Германии.

«На момент 4 января 2015 года хакеры полностью опустошили кошелек Bitstamp, о чем свидетельствуют блокчейны. Несмотря на то, что кошелек мог содержать не более 5000 BC одновременно, атакующие сумели похитить более 18 000 BC за несколько дней, по мере того как пользователи биржи вносили средства», — поясняется в отчете. Официальных сообщений об арестах по этому делу до сих пор нет. Очевидно, задача осложняется тем, что хакеры находятся за пределами Великобритании, и следствию приходится сотрудничать с правоохранительными органами других стран.

Bitstamp вынесла из случившегося урок, значительно улучшив свою систему безопасности. На расследование инцидента и улучшение систем уже потрачено более $650 000. Теперь Bitstamp на постоянной основе сотрудничает с фирмой BitGo и является одной из немногих площадок, которая даже для «холодных» кошельков использует мультиподписи. Кроме того, согласно отчету, биржа теперь работает и с хранилищем биткоинов Xapo. Отчет изначально был опубликован через Scribd, откуда был удален. Найти файл, тем не менее, можно на частном сайте Bitstamp Incident Report, посвященном данному инциденту.

Теги:
Bitcoin утечка информации хакеры Bitstamp мошенничество фишинг
Источник:
Хакер
1934
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015