Coinmarkt

Coinapult Kompromiss Timeline

Sich Entwickelnde Geschichte.

Coinapult berichtet, dass die Firma hot wallet kompromittiert wurde.

Coinapult ist gut bekannt, dass viele in die kryptogeld-community. Gegründet wurde das Unternehmen von Erik Voorhees und Ira Miller im Jahr 2012, und hob $750.000 USD in einer seed-Runde, geführt von Roger Ver, FirstMark Capital und der Bitcoin Opportunity Fund. Coinapult mit Sitz in Panama City.

Account manager Robinson Dorion bei Coinapult geschickt hat, über eine Zeitleiste, über die Coinapult Hot Wallet Kompromiss.

Bei 9:27 UTC ein unberechtigter Abzug für 150 BTC gesendet wurde, Coinapult hot wallet an diese Adresse: 12LszeXACdj9bdETzv8BkXyWeabZ1151aa. Die Adresse von von 7:25PM EDT enthält 150 BTC im Wert von etwa $43,080.00 USD nach Winkdex und bleibt unverbraucht und unberührt.

Coinapult team-Mitglieder, die derzeit arbeiten, um das Problem zu beheben sind Ira, der CEO Zach der IT-Admin, GP CTO, Cindy Entwickler und Forensik-Experte Justin den COO und Robinson ein Mitarbeiter im Kundenservice.

Die hot-wallet aufbewahrt wurde, in ein Tier-3 Rechenzentrum mit nur zwei team-Mitglieder, die physischen Zugriff. Sie gehören Ira und Zach beide, die derzeit arbeiten, um zu bestimmen, wie der Kompromiss geschah neben der Arbeit zu sichern Coinapult. SSH-Zugang zum server ist begrenzt auf vier Personen innerhalb der Firma, die gehören Ira, Zach, GP und Cindy.

Coinapult besagt, dass die Verbindung zum server über SSH müssen Sie als Nutzer angemeldet sein, um das Unternehmen VPN und die Nutzung einzelner SSH-Schlüssel für entsprechende Protokollierung. Jedes der Produktion-key-Halter „laptops geprüft wurden von den anderen für Netzwerk-Aktivität von der Zeit, die Fenster mit nichts verdächtiges gefunden, aber Zach‘ s laptop wurde die Ausstellung seltsames Verhalten erinnert an einen MITM-Angriff.

Das Unternehmen erklärte, dass während jeder war mit dem gleichen lokalen Netzwerk, dass Zach ‚ s laptop zeigte eine Gabun-basierten IP-Adresse, während die anderen team-Mitglieder zeigen, die Panama-IP-Adressen. Nach der Entdeckung der Diskrepanz Zach ausgeschaltet sein laptop und die Festplatte wurde entfernt, die für die forensische Analyse.

Das Unternehmen berichtete, dass am 13. März das Rechenzentrum, wo die server finanzieren zu Gast war, erlebten einen ganzen Tag Ausfall. Der Ausfall fiel mit allen Panamaischen Regierung websites und andere lokale business-Websites und-Server auch offline. Das Telefon-system in data center war auch nach unten. Während dieser Ausfall Zach angemeldet war, zu fast jeder Maschine im Rechenzentrum als Teil der recovery-Prozess von dem Ausfall.

Aufgrund des Ausfalls GP per E-Mail Justin, Ira und Zach einen plan zur Umstellung aller IT-Dienste für verschiedene Server außerhalb des Rechenzentrums, in einer Anstrengung, um Risiken abzufedern, die auf verschiedenen Daten-Centern und haben versehentlich kippte der Angreifer, dass ein eindringen der Coinapult Systeme müssten stattfinden, bevor die Bewegung der Coinapult Servern.

Das Unternehmen erzielte in den vergangenen zwei Wochen wurden ungewöhnlich problematisch für das system und die Stabilität. Coinapult erlebt hat, Festplatte Probleme, CPU-Probleme und andere Probleme mit den Maschinen, gehostet im Rechenzentrum und auch wenn die Ursachen dieser Probleme sind bekannt, es hätte die Maskierung von bösartigen Aktivitäten.

Das Unternehmen hat damit begonnen, eine Analyse aller Systeme und fand mehrere Hinweise auf den Kompromiss.

Die /var/log/auth.log-Datei wurde geändert. Die Datei enthält eine zusätzliche leere Zeile, und der auth.log.1 Datei wurde geleert. Vor dem Kompromiss der auth.log.1 Datei wäre voll gewesen von Daten aus den vergangenen Tagen.

Die /root/.ein.bash_history-Datei wurde auch geändert und zeigt einige beunruhigende Zugriff auf die Maschine.

Die letzten vier Einträge in der Datei sind:

  • nano-auth.melden
  • nano syslog
  • nano-ufw.melden
  • ls

Das Unternehmen hat festgestellt, dass das aus dem standard-Coinapult Nutzungs-und wahrscheinlich führen Sie durch die Angreifer mit der Absicht zum Arzt, die Dateien nach dem verlassen des Systems. Die Coinapult team glaubt, dass ein root-kit benutzt worden sein könnte, und ist zuversichtlich, dass eine forensische Analyse der Festplatte würde helfen, festzustellen, ob das der Fall ist.

Coinapult hat die folgende Zeitleiste über die Ereignisse. Alle Zeiten sind UTC -5.

1:49 – Ira-Anforderungen hot wallet-top mit 100 BTC von Bitfinex.

2:36 – Ira-Protokolle in VPN (nach seinen syslog)

2:36 – Ira anmeldet Finance-server (laut server-log)

2:37 – Ira läuft sendmany split-Ausgänge zum senden optimale Leistung während der Nacht. Dies war unnötig, da die 100 BTC nicht gekommen, doch der af gar nicht bemerkt, dass.

3:55 – Bitfinex sendet 100 BTC Auszahlung

4:15 – <AUFTRAGGEBER 1> benachrichtigt Robinson über unsachgemäß abgebrochen Transaktionen

4:27 – Rücktritt durch hacker gemacht wird

4:54 – Robinson sendet eine E-Mail über <AUFTRAGGEBER 1> Transaktionen angehalten und hot-wallet als verdächtig niedrig

4:58 – Robinson fordert Zach und Zach beginnt zu versuchen, eine Verbindung zu VPN (nach seinen syslog)

5:17 – Zach meldet sich erfolgreich an, um VPN (nach seinen syslog)

5:22 – Zach anmeldet Finance-server (laut server-log)

5:31 – Zach sendet E-Mail-Sprichwort-Prozesse ausgeführt werden, kann aber nicht beurteilen, hot-wallet auf seinem eigenen

8:42 – Ira hat genug getan Untersuchung, um zu erkennen, dass es seit 150 BTC zurückgezogen, um eine unbekannte Adresse. E-Mails, diese info an die anderen in der Firma.

9:12 die Mehrheit der Mittel entzogen werden hot wallet. Kunden (d.h. <AUFTRAGGEBER 1>) mitgeteilt werden und der öffentlichen Bekanntmachung, platziert auf unserer Webseite. Team untersucht und identifiziert den Inhalt dieses Berichts.

Die Coinapult team hat abgeschaltet und isoliert alle hardware im Rechenzentrum. Sie arbeiten, zu zerlegen und zu laufen Forensik auf der Festplatte, um zu sehen, wenn Sie können wiederherstellen von Daten aus dem manipulierten logs oder sonstwo. Zach hat auch begonnen, die Demontage seinem laptop zu laufen Forensik drauf und alle hardware verschoben wird, aus dem data center.

Das Unternehmen die Daten anfordert center bieten alle access-logs und überwachung-Aufnahmen relevant für die situation und die Suche nach mehr Informationen sammeln über die 13. März Ausfall erlebt.

Author Since: Aug 23, 2018

Related Post