Chronologie du compromis Coinapult

Développement de l’histoire.

Coinapult a signalé que le portefeuille actif de l’entreprise avait été compromis.

Coinapult est bien connu de la communauté des crypto-monnaies. La société a été fondée par Erik Voorhees et Ira Miller en 2012 et a levé 750000 USD dans le cadre d’un tour de table dirigé par Roger Ver, FirstMark Capital et le Bitcoin Opportunity Fund. Coinapult est basé à Panama City.

Le responsable de compte Robinson Dorion chez Coinapult a envoyé une chronologie concernant le compromis Coinapult Hot Wallet.

À 9 h 27 UTC, un retrait non autorisé de 150 BTC a été envoyé du portefeuille actif de Coinapult à cette adresse: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. L’adresse à 19h25 HAE contient 150 BTC d’une valeur d’environ 43080,00 USD selon Winkdex et reste inutilisée et non déplacée.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

Les membres de l’équipe Coinapult qui travaillent actuellement pour résoudre le problème sont Ira le PDG, Zach l’administrateur informatique, GP le CTO, Cindy un développeur et expert en criminalistique, Justin le COO et Robinson un employé du service client..

Le portefeuille actif était conservé dans un centre de données de niveau 3 avec seulement deux membres de l’équipe ayant un accès physique. Ils incluent Ira et Zach, qui travaillent actuellement pour déterminer comment le compromis s’est produit en plus de travailler pour sécuriser Coinapult. L’accès SSH au serveur est limité à quatre personnes au sein de l’entreprise, dont Ira, Zach, GP et Cindy.

Coinapult déclare que la connexion au serveur à l’aide de SSH nécessite que les utilisateurs soient connectés au VPN de l’entreprise et utilisent des clés SSH individuelles pour une journalisation appropriée. Chacun des ordinateurs portables des détenteurs de clés de production a été inspecté par les autres pour l’activité réseau à partir de la fenêtre de temps sans rien de suspect trouvé, mais l’ordinateur portable de Zach présentait un comportement étrange rappelant une attaque MITM.

La société a déclaré que bien que tout le monde utilisait le même réseau local, l’ordinateur portable de Zach montrait une adresse IP basée au Gabon tandis que d’autres membres de l’équipe affichaient des adresses IP au Panama. Lors de la découverte de la différence, Zach a éteint son ordinateur portable et le disque dur a été retiré pour une analyse médico-légale..

La société a signalé que le 13 mars, le centre de données où était hébergé le serveur financier avait subi une panne d’une journée. La panne a coïncidé avec la mise hors ligne de tous les sites Web du gouvernement panaméen et d’autres sites et serveurs d’entreprises locales. Le système téléphonique du centre de données était également en panne. Pendant cette panne, Zach était connecté à presque toutes les machines du centre de données dans le cadre du processus de récupération après la panne..

En raison de la panne, GP a envoyé par courrier électronique à Justin, Ira et Zach un plan de transition de tous les services informatiques vers divers serveurs en dehors du centre de données dans le but d’atténuer les risques dans divers centres de données et peut avoir par inadvertance averti l’attaquant qu’une pénétration du Les systèmes Coinapult devraient avoir lieu avant le déplacement des serveurs de Coinapult.

La société a rapporté que les deux dernières semaines avaient été inhabituellement problématiques pour les problèmes de système et la stabilité. Coinapult a rencontré des problèmes de disque dur, des problèmes de processeur et d’autres problèmes avec les machines hébergées dans le centre de données et, bien que les causes de ces problèmes soient connues, cela pourrait avoir été le masquage d’activités malveillantes..

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

L’entreprise a commencé une analyse de tous les systèmes et a trouvé plusieurs indices concernant le compromis.

Le fichier /var/log/auth.log a été modifié. Le fichier contient une ligne vierge supplémentaire et le fichier auth.log.1 a été vidé. Avant le compromis, le fichier auth.log.1 aurait été plein de données des derniers jours.

Le fichier /root/.bash_history a également été modifié et montre un accès problématique à la machine.

Les quatre dernières entrées de ce fichier sont:

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

La société a constaté que cela ne faisait pas partie de l’utilisation standard de Coinapult et était probablement géré par l’attaquant avec l’intention de traiter les fichiers après avoir quitté le système. L’équipe Coinapult pense qu’un kit racine aurait pu être utilisé et espère qu’une analyse médico-légale du disque dur aidera à déterminer si tel est le cas..

Coinapult a fourni le calendrier suivant concernant les événements. Toutes les heures indiquées sont UTC -5.

1:49 – Ira demande un complément de portefeuille chaud avec 100 BTC de Bitfinex.

2:36 – Ira se connecte au VPN (selon son syslog)

2:36 – Ira se connecte au serveur Finance (selon le journal du serveur)

2:37 – Ira exécute sendmany vers les sorties séparées pour des performances d’envoi optimales pendant la nuit. Ce n’était pas nécessaire car le 100 BTC n’était pas encore apparu, mais Ira n’a pas remarqué que.

3:55 – Bitfinex envoie 100 retraits BTC

4:15 – informe Robinson des transactions incorrectement annulées

4:27 – Le retrait par hacker est effectué

4:54 – Robinson envoie un e-mail indiquant que les transactions sont bloquées et que le portefeuille actif est étrangement bas

4:58 – Robinson appelle Zach et Zach commence à essayer de se connecter au VPN (selon son syslog)

5:17 – Zach se connecte avec succès au VPN (selon son syslog)

5:22 – Zach se connecte au serveur Finance (selon le journal du serveur)

5:31 – Zach envoie un e-mail indiquant que les processus sont en cours d’exécution, mais ne peut pas évaluer seul le portefeuille actif

8h42 – Ira a fait suffisamment d’enquête pour identifier qu’il y a eu 150 BTC retirés à une adresse inconnue. Envoie cette information aux autres membres de l’entreprise.

9:12 La majorité des fonds sont retirés du portefeuille chaud. Les clients (c’est-à-dire) sont informés et un avis public est placé sur notre site Web. L’équipe enquête et identifie le contenu de ce rapport.

L’équipe Coinapult a mis hors tension et isolé tout le matériel du centre de données. Ils s’efforcent de démonter et d’exécuter des analyses sur le disque dur pour voir s’ils peuvent récupérer des données à partir des journaux manipulés ou ailleurs. Zach a également commencé à démonter son ordinateur portable pour y exécuter des analyses judiciaires et tout le matériel est déplacé hors du centre de données..

La société demande au centre de données de fournir tous les journaux d’accès et les images de surveillance pertinents à la situation et cherche à recueillir plus d’informations sur la panne du 13 mars..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map