Linha do tempo de compromisso da Coinapult

História em desenvolvimento.

Coinapult relatou que a carteira quente da empresa foi comprometida.

A Coinapult é bem conhecida por muitos na comunidade de criptomoedas. A empresa foi fundada por Erik Voorhees e Ira Miller em 2012 e levantou $ 750.000 dólares em uma rodada de sementes liderada por Roger Ver, FirstMark Capital e o Bitcoin Opportunity Fund. Coinapult tem sede na Cidade do Panamá.

O gerente de contas Robinson Dorion da Coinapult enviou um cronograma sobre o compromisso da Carteira Hot da Coinapult.

Às 9:27 UTC, uma retirada não autorizada de 150 BTC foi enviada da carteira quente da Coinapult para este endereço: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. O endereço a partir das 19h25 EDT contém 150 BTC no valor de aproximadamente $ 43.080,00 USD de acordo com a Winkdex e permanece não gasto e inalterado.

Os membros da equipe da Coinapult que estão trabalhando atualmente para resolver o problema são Ira, o CEO, Zach, o administrador de TI, GP, o CTO, Cindy, uma desenvolvedora e especialista forense, Justin, o COO e Robinson, um funcionário de atendimento ao cliente.

A carteira quente foi mantida em um data center de Nível 3 com apenas dois membros da equipe tendo acesso físico. Eles incluem Ira e Zach, que estão atualmente trabalhando para determinar como o acordo aconteceu, além de trabalhar para proteger a Coinapult. O acesso SSH ao servidor é limitado a quatro pessoas dentro da empresa, que incluem Ira, Zach, GP e Cindy.

A Coinapult afirma que a conexão com o servidor usando SSH requer que os usuários estejam conectados à VPN da empresa e usem chaves SSH individuais para o registro apropriado. Cada um dos laptops dos detentores das chaves de produção foram inspecionados pelos outros para atividade de rede na janela de tempo, sem nada suspeito encontrado, no entanto, o laptop de Zach exibia um comportamento estranho que lembra um ataque MITM.

A empresa afirmou que, enquanto todos estavam usando a mesma rede local, o laptop de Zach exibia um endereço IP do Gabão, enquanto outros membros da equipe exibiam endereços IP do Panamá. Ao descobrir a discrepância, Zach desligou seu laptop e o disco rígido foi removido para análise forense.

A empresa relatou que no dia 13 de março o data center onde o servidor financeiro estava hospedado passou o dia todo paralisado. A interrupção coincidiu com todos os sites do governo panamenho e outros sites e servidores de negócios locais também estando offline. O sistema telefônico no data center também estava fora do ar. Durante esta interrupção, Zach estava conectado a quase todas as máquinas do data center como parte do processo de recuperação da interrupção.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

Devido à interrupção, GP enviou um e-mail para Justin, Ira e Zach com um plano para fazer a transição de todos os serviços de TI para vários servidores fora do data center em um esforço para mitigar os riscos em vários data centers e pode ter inadvertidamente informado ao invasor que uma penetração do Os sistemas da Coinapult precisariam ser executados antes da movimentação dos servidores da Coinapult.

A empresa relatou que as últimas duas semanas foram incomumente problemáticas para problemas de sistema e estabilidade. A Coinapult teve problemas de disco rígido, problemas de CPU e outros problemas com as máquinas hospedadas no data center e, embora as causas desses problemas sejam conhecidas, pode ter sido o mascaramento de atividades maliciosas.

A empresa iniciou uma análise de todos os sistemas e encontrou várias pistas sobre o compromisso.

O arquivo /var/log/auth.log foi modificado. O arquivo contém uma linha em branco adicional e o arquivo auth.log.1 foi esvaziado. Antes do comprometimento, o arquivo auth.log.1 estaria cheio de dados dos últimos dias.

O arquivo /root/.bash_history também foi modificado e mostra alguns problemas de acesso à máquina.

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

As últimas quatro entradas desse arquivo são:

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

A empresa descobriu que isso está fora do uso padrão da Coinapult e provavelmente é executado pelo invasor com a intenção de corrigir os arquivos após deixar o sistema. A equipe da Coinapult acredita que um root kit poderia ter sido usado e espera que uma análise forense do disco rígido ajude a determinar se esse é o caso.

A Coinapult forneceu o seguinte cronograma em relação aos eventos. Todos os horários listados são UTC -5.

1:49 – Ira solicita recarga de carteira quente com 100 BTC da Bitfinex.

2:36 – Ira faz login na VPN (de acordo com seu syslog)

2:36 – Ira faz login no servidor Financeiro (de acordo com o registro do servidor)

2:37 – Ira executa sendmany para dividir as saídas para desempenho de envio ideal durante a noite. Isso era desnecessário, pois o 100 BTC ainda não havia aparecido, mas Ira não percebeu que.

3:55 – Bitfinex envia 100 retiradas BTC

4:15 – notifica Robinson sobre transações canceladas indevidamente

4:27 – A retirada pelo hacker é feita

4:54 – Robinson envia um e-mail sobre transações paralisadas e carteira quente sendo suspeitamente baixa

4:58 – Robinson liga para Zach e Zach começa a tentar se conectar à VPN (de acordo com seu syslog)

5:17 – Zach efetua login com sucesso na VPN (de acordo com seu syslog)

5:22 – Zach efetua login no servidor Financeiro (de acordo com o log do servidor)

5:31 – Zach envia e-mail dizendo que os processos estão em execução, mas não consegue avaliar a carteira quente por conta própria

8:42 – Ira fez investigações suficientes para identificar que 150 BTC foram retirados para um endereço desconhecido. Envia esta informação por e-mail para os outros na empresa.

9:12 A maioria dos fundos é retirada da carteira quente. Os clientes (ou seja,) são notificados e um aviso público é colocado em nosso site. A equipe investiga e identifica o conteúdo deste relatório.

A equipe da Coinapult desligou e isolou todo o hardware do data center. Eles estão trabalhando para desmontar e executar análises forenses no disco rígido para ver se podem recuperar dados dos logs manipulados ou de outro lugar. Zach também começou a desmontar seu laptop para executar análises forenses nele e todo o hardware está sendo retirado do data center.

A empresa está solicitando que o data center forneça todos os registros de acesso e filmagens de vigilância relevantes para a situação e está buscando reunir mais informações sobre a interrupção ocorrida em 13 de março.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map