Se revelan detalles del hackeo de 5 millones de dólares a Bitstamp

Seis empleados de Bitstamp fueron blanco de un intento de phishing que duró varias semanas y que condujo al robo de aproximadamente 5 millones de dólares en Bitcoin en enero, según un informe de incidente no confirmado que se dice fue redactado internamente por el exchange de Bitcoin .

El documento confidencial, enviado aReddit mediante un relato de un solo propósito, ofrece una mirada en profundidad a lo que se cree que es la historia interna del ataque, que resultó en la pérdida depoco menos de 19.000 BTCA principios de este año, la compañía ha ofrecido escasos detalles sobre lo ocurrido tras bastidores, alegando confidencialidad en la investigación de los fondos perdidos.

Los hallazgos del informe son notables porque ilustran los riesgos que enfrentan los intercambios de Bitcoin , incluidos los ataques de ingeniería social en los que se utiliza información personal para engañar a las víctimas y que proporcionen un medio de acceso a materiales confidenciales.

En el caso de Bitstamp, los responsables del ataque utilizaron Skype y el correo electrónico para comunicarse con los empleados e intentar distribuir archivos con malware, aprovechándose de sus historiales e intereses personales. El sistema de Bitstamp se vio comprometido después de que el administrador de sistemas Luka Kodric descargara un archivo que creía haber sido enviado por un representante de una organización que buscaba su membresía.

El informe, atribuido al asesor general de Bitstamp, George Frost, explicó:

El 11 de diciembre, como parte de esta oferta, el atacante envió varios archivos adjuntos. ONE de ellos, UPE_application_form.doc, contenía un script VBA malicioso ofuscado. Al abrirlo, este script se ejecutaba automáticamente y descargaba un archivo malicioso desde la dirección IP 185.31.209.145, comprometiendo así el equipo.

Finalmente, los atacantes pudieron acceder a dos servidores que contenían el archivo wallet.dat de la billetera HOT de Bitstamp y la frase de contraseña de ese archivo.

Se dice que la información contenida en el informe proviene de una investigación de terceros realizada por una empresa de análisis forense digital.Stroz Friedberg, así como de investigadores que trabajan para el Servicio Secret de Estados Unidos, la Oficina Federal de Investigaciones y las autoridades de delitos cibernéticos con sede en el Reino Unido.

Al momento de redactarse el informe, la investigación del hackeo seguía en curso, pero se esperaba un arresto NEAR . El informe alude a un intento de los investigadores de crear una "trampa de miel" para atraer al atacante al Reino Unido y así arrestarlo.

Bitstamp se negó a comentar sobre la autenticidad del informe cuando se le contactó. Un representante de Stroz Friedberg no estuvo inmediatamente disponible para hacer comentarios.

Intento de phishing extendido

Según el informe, el primer intento de phishing tuvo lugar el 4 de noviembre, cuando ONE de los atacantes se puso en contacto con el director de Tecnología de Bitstamp, Damian Merlak, y le ofreció entradas gratuitas para un festival de punk rock.

El director de operaciones, Miha Grcar, fue contactado por Skype a mediados de noviembre por alguien que se hizo pasar por reportero. En ese intercambio, citó artículos anteriores escritos por Grcar cuando él mismo era reportero y cubría noticias en Grecia.

El informe señala:

El 26 de noviembre, como parte de este intercambio de archivos sin conexión (como un documento de Word), ivan.foreignpolicy intentó enviar un documento de Word de un artículo reciente, aparentemente buscando comentarios del Sr. Grcar. El Sr. Grcar se negó a aceptar el documento.

Dos días antes, el gerente de soporte de Bitstamp, Anzej Simicak, también fue contactado por Skype, y en esa instancia el atacante se hizo pasar por alguien que buscaba más información sobre RippleWise, un proyecto en el que Simicak actúa como director de operaciones.

A principios de diciembre, se contactó a varios empleados más de Bitstamp, incluyendo a Kodric, cuya cuenta finalmente se vio comprometida. El ordenador del empleado Miha Hrast también se vio comprometido tras recibir un mensaje por Skype, aunque no tenía acceso a los servidores.

Servidor comprometido

Tras la infiltración en el ordenador de Kodric, según el informe, se crearon archivos maliciosos adicionales entre el 17 y el 22 de diciembre. El 23 de diciembre, se utilizó la cuenta de Kodric para iniciar sesión en el servidor que albergaba el archivo wallet.dat.

El 29 de diciembre, los atacantes aprovecharon la computadora de Kodric para acceder a los servidores que contenían el archivo wallet.dat y la frase de contraseña de la billetera.

“Sospechamos que el atacante copió el archivo y la contraseña de la billetera de Bitcoin en esta etapa, debido a la correlación entre el tamaño de estos archivos y el tamaño de la transferencia de datos que se observa en los registros”, señala el informe. “Aunque el contenido real de las transferencias no puede confirmarse a partir de los registros disponibles”.

Menos de una semana después, continúa el informe, la billetera fue vaciada, señalando:

El 4 de enero, el atacante vació la billetera Bitstamp, como se evidencia en la blockchain. Aunque el contenido máximo de esta billetera era de 5000 bitcoins en ONE momento, el atacante logró robar más de 18 000 bitcoins a lo largo del día a medida que los clientes realizaban nuevos depósitos.

Respuesta QUICK

Bitstamp actuó con rapidez para evaluar y mitigar los daños, según el informe, emitiendo una alerta a nivel de toda la empresa y estableciendo un equipo de respuesta a incidentes. La empresa tuvo conocimiento del robo la noche del 4 de enero y, tras auditar los servidores, descubrió la entrada del 29 de diciembre y la transferencia de datos.

Stroz Friedberg inició su investigación el 8 de enero, operando desde la oficina eslovena de la empresa.

El informe señala:

Poco después de Explora el ataque, Bitstamp tomó la costosa pero necesaria decisión de reconstruir toda nuestra plataforma de trading y sistemas auxiliares desde cero, en lugar de intentar reiniciar nuestro sistema antiguo. Lo hicimos desde una copia de seguridad segura que se mantenía (según los procedimientos de recuperación ante desastres) en un entorno de "sala limpia".

El informe agregó que Bitstamp “decidió implementar nuestra red de distribución utilizando servidores de infraestructura en la nube de Amazon ubicados en Europa” durante ese tiempo.

Daños evaluados

Bitstamp perdió 18,866 BTC de su billetera HOT , por un valor aproximado de $ 5,263,614 en un momento en que el precio de Bitcoin promediaba $ 279.

Sin embargo, el daño fue más allá de los bitcoins en la billetera HOT , explicó el informe, señalando:

“Bitstamp ha perdido clientes, incluidos importantes clientes dedicados a proporcionar servicios comerciales en Bitcoin, y ha sufrido un daño significativo a su reputación, que no podemos cuantificar con exactitud en este momento, pero que creemos que supera los $2 millones”.

Los costos adicionales incluyen $250,000 pagados al equipo de Stroz Friedberg, $250,000 pagados a los desarrolladores para reconstruir la plataforma y $150,000 en honorarios de consultoría y asesoría. Los costos, incluidos los pagados a Stroz Friedberg, "siguen acumulándose", según el informe.

Tras el ataque, el exchange ahora utiliza acceso a billeteras multifirma y ha contratado a Xapo para manejar el almacenamiento de su billetera fría.

A pesar de las pérdidas y el supuesto daño a la reputación, la empresa presentó el incidente como una experiencia de aprendizaje y concluyó:

Esta fue una pérdida significativa para Bitstamp y arrojó aún más dudas sobre la seguridad e integridad del ecosistema de Bitcoin . Sin embargo, podría haber sido mucho peor, y estamos decididos a utilizar esto como herramienta de aprendizaje y como base para mejorar nuestra Tecnología, protocolos de seguridad, planificación de respuesta a incidentes, FORTH

Imagen de documentos confidencialesvía Shutterstock