По неподтвержденным данным биткоин-биржа Bitstamp потеряла $5 миллионов из-за взлома

Шесть сотрудников Bitstamp в течение нескольких недель были мишенями попыток фишинга, которые привели к краже около 5 миллионов долларов в биткоинах в январе.

Об этом сообщается в отчёте, который, по некоторым данным, был недавно составлен в первой редакции для внутреннего использования на бирже. Конфиденциальный документ запостили на Reddit с одноразового аккаунта. В нём можно обнаружить внутренний взгляд на взлом, который повлёк за собой потерю чуть менее 19000 биткоинов. С тех пор компания весьма неохотно сообщала подробности, ссылаясь на конфиденциальность расследования. Данные отчёта весьма интересны, поскольку иллюстрируют риски для биткоин-бирж, в том числе социальную инженерию.

В случае Bitstamp взломщики пользовались скайпом и электронной почтой для связи с сотрудниками и передачи им заражённых файлов, обращаясь к их личной истории и интересам. Система Bitstamp оказалась под угрозой после того, как сисадмин Люка Кодрич скачал файл, который, как он полагал, ему отправил представитель организации, желающей принять его в свои члены.

В отчёте, авторство которого приписывается генеральному советнику биржи Джорджу Фросту, утверждается: «11 декабря в рамках этого предложения атакующий отправил ряд вложений. Одно из них, UPE_application_form.doc, содержало скрытый вредоносный VBA-скрипт, который при открытии автоматически запускался и скачивал вирус с IP-адреса 185.31.209.145, таким образом, заражая компьютер».

В итоге хакеры смогли получить доступ к двум серверам с файлом wallet.dat для горячего кошелька Bitstamp и фразу-пароль для этого файла. Согласно отчёту, эти сведения получены в результате сторонних расследований фирмы Stroz Friedberg, Секретной Службы США, ФБР и британских органов борьбы с киберпреступностью. Расследование взлома по-прежнему продолжается, и в ближайшем будущем можно ожидать первых арестов. В отчёте говорится о том, что следователи организовали ловушку для взломщика в Великобритании. Сама биржа отказалась комментировать подлинность этого отчёта.

Согласно его данным, первая попытка фишинга зафиксирована 4 ноября, когда один из преступников связался с техническим директором биржи Дэмианом Мерлаком с предложением бесплатных билетов на панк-рок фестиваль. С операционным директором Михаем Грцаром в середине ноября по скайпу связался некто, утверждавший, что он журналист. В беседе он цитировал статьи, ранее написанные Грцаром во время работы журналистом в Греции.

В отчёте говорится:

За два дня до этого менеджер поддержки биржи Анджей Симичак также получил запрос в скайпе от кого-то, кто утверждал, что ищет больше сведений о RippleWise, проекте, на котором Симичак работает операционным директором. В начале декабря взломщики связались с ещё несколькими работниками Bitstamp — среди них был и Кодрич, чей аккаунт и был в итоге взломан.

После того, как преступники получили доступ к компьютеру Кодрича, были созданы и другие вредоносные файлы (между 17 и 22 декабря). 23 декабря аккаунт Кодрича был использован для логина на сервере с файлом wallet.dat. 29 декабря взломщики с помощью этого компьютера получили доступ к серверам с файлом wallet.dat и его фразой-паролем.

Биржа быстро оценила и смягчила урон — о краже стало известно вечером 4 января после проверки серверов из-за передачи данных 29 декабря. Фирма Stroz Friedberg начала расследование 8 января из словенского офиса. В отчёте говорится:

Всего Bitstamp потеряла 18866 биткоинов с горячего кошелька — что по ценам на тот момент составляет 5 263 614 долларов (примерно 279 долларов за биткоин). Однако ущерб вышел далеко за рамки одних только биткоинов. В отчёте говорится: «Bitstamp потеряла клиентов, среди которых были крупные игроки, занятые предоставлением торговых услуг за биткоины, и понесла заметный репутационный урон, который на данный момент можно оценить в 2 миллиона долларов». В сопутствующий ущерб включён гонорар Stroz Friedberg (250 000 долларов), оплата реконструкции системы разработчикам (250 000 долларов), а также консультации (150 000 долларов).

В результате этой кражи биржа стала использовать мультисигнатурный доступ к кошельку и наняла Xapo для управления холодным хранилищем. Несмотря на урон и репутационные потери компания считает этот случай уроком: