Les détails du piratage de Bitstamp à 5 millions de dollars révélés

Six employés de Bitstamp ont été ciblés lors d'une tentative de phishing qui a duré plusieurs semaines et qui a conduit au vol d'environ 5 millions de dollars en Bitcoin en janvier, selon un rapport d'incident non confirmé qui aurait été rédigé en interne par la bourse Bitcoin .

Le document confidentiel, publié surReddit par un compte à but unique, offre un aperçu approfondi de ce que l'on croit être l'histoire interne du piratage, qui a entraîné la perte deun peu moins de 19 000 BTC plus tôt cette année. Depuis lors, la société a fourni peu de détails sur ce qui s'est passé dans les coulisses, invoquant la confidentialité concernant l'enquête sur les fonds perdus.

Les conclusions du rapport sont remarquables car elles illustrent les risques auxquels sont confrontés les échanges de Bitcoin , notamment les attaques d'ingénierie sociale dans lesquelles des informations personnelles sont utilisées pour inciter les victimes à fournir un moyen d'accès à des documents sensibles.

Dans le cas de Bitstamp, les auteurs de l’attaque ont utilisé Skype et le courrier électronique pour communiquer avec les employés et tenter de distribuer des fichiers contenant des logiciels malveillants en faisant appel à leurs antécédents et intérêts personnels. Le système de Bitstamp a été compromis après que l’administrateur système Luka Kodric a téléchargé un fichier qu’il pensait avoir été envoyé par un représentant d’une organisation qui cherchait à devenir membre.

Le rapport, attribué au conseiller juridique général de Bitstamp, George Frost, explique :

Le 11 décembre, dans le cadre de cette offre, l'attaquant a envoyé plusieurs pièces jointes. ONEune d'elles, UPE_application_form.doc, contenait un script VBA malveillant et obscurci. Une fois ouvert, ce script s'est exécuté automatiquement et a récupéré un fichier malveillant depuis l'adresse IP 185.31.209.145, compromettant ainsi la machine.

Finalement, les attaquants ont pu accéder à deux serveurs contenant le fichier wallet.dat du portefeuille HOT de Bitstamp et la phrase secrète de ce fichier.

Les informations contenues dans le rapport proviendraient d'une enquête menée par un tiers par une société de criminalistique numérique.Stroz Friedberg, ainsi que des enquêteurs travaillant pour les services Secret américains, le Federal Bureau of Investigation et les autorités britanniques de lutte contre la cybercriminalité.

Au moment de la rédaction du rapport, l'enquête sur le piratage était toujours en cours, mais une arrestation était attendue NEAR . Le rapport évoque une tentative des enquêteurs de créer un « piège à miel » pour attirer [l'attaquant] au Royaume-Uni et procéder à son arrestation.

Contacté, Bitstamp a refusé de commenter l'authenticité du rapport. Aucun représentant de Stroz Friedberg n'était disponible dans l'immédiat pour commenter.

Tentative d'hameçonnage prolongée

Selon le rapport, la première tentative de phishing a eu lieu le 4 novembre, lorsqu'un des attaquants a contacté le directeur Technologies de Bitstamp, Damian Merlak, pour lui proposer des billets gratuits pour un festival de punk rock.

Miha Grcar, directeur des opérations, a été contacté par Skype mi-novembre par une personne se faisant passer pour un journaliste. Lors de cet échange, l'individu a cité des articles rédigés par Grcar lorsqu'il était lui-même journaliste en Grèce.

Le rapport note :

Le 26 novembre, dans le cadre de cet échange hors ligne (un fichier Word, par exemple), ivan.foreignpolicy a tenté d'envoyer un document Word contenant un article récent, sous prétexte d'obtenir les commentaires de M. Grcar. Ce dernier a refusé de l'accepter.

Deux jours auparavant, le responsable du support de Bitstamp, Anzej Simicak, avait également été contacté via Skype, et dans ce cas, l'attaquant s'est fait passer pour quelqu'un cherchant plus d'informations sur RippleWise, un projet pour lequel Simicak agit en tant que COO.

Début décembre, plusieurs autres employés de Bitstamp ont été contactés, dont Kodric, dont le compte a finalement été compromis. L'ordinateur de Miha Hrast a ensuite été compromis après avoir reçu un message sur Skype, alors qu'il ne disposait pas des droits d'accès aux serveurs.

Serveur compromis

Selon le rapport, après l'infiltration de l'ordinateur de Kodric, d'autres fichiers malveillants ont été créés entre le 17 et le 22 décembre. Le 23 décembre, le compte de Kodric a été utilisé pour se connecter au serveur hébergeant le fichier wallet.dat.

Le 29 décembre, les attaquants ont exploité l’ordinateur de Kodric pour accéder aux serveurs contenant le fichier wallet.dat et la phrase secrète du portefeuille.

« Nous soupçonnons que l'attaquant a copié le fichier et la phrase secrète du portefeuille Bitcoin à ce stade, en raison de la corrélation entre la taille de ces fichiers et celle du transfert de données constaté dans les journaux », indique le rapport. « Cependant, le contenu réel des transferts ne peut être confirmé à partir des journaux disponibles. »

Moins d'une semaine plus tard, poursuit le rapport, le portefeuille a été vidé, notant :

Le 4 janvier, l'attaquant a vidé le portefeuille Bitstamp, comme le montre la blockchain. Bien que le contenu maximal de ce portefeuille soit de 5 000 bitcoins à la ONE , l'attaquant a pu voler plus de 18 000 bitcoins au cours de la journée, grâce aux dépôts supplémentaires effectués par les clients.

Réponse QUICK

Selon le rapport, Bitstamp a réagi rapidement pour évaluer et limiter les dégâts, en lançant une alerte à l'échelle de l'entreprise et en mettant en place une équipe d'intervention. L'entreprise a pris connaissance du vol le soir du 4 janvier et, après avoir audité les serveurs, a découvert l'entrée du 29 décembre et le transfert de données.

Stroz Friedberg a commencé son enquête le 8 janvier, à partir du bureau slovène de la société.

Le rapport note :

Peu après À découvrir de l'attaque, Bitstamp a pris la décision coûteuse mais nécessaire de reconstruire entièrement notre plateforme de trading et ses systèmes auxiliaires, plutôt que de tenter de redémarrer notre ancien système. Nous avons procédé à cette opération à partir d'une sauvegarde sécurisée, conservée (conformément aux procédures de reprise après sinistre) dans un environnement propre.

Le rapport ajoute que Bitstamp « a décidé de déployer notre réseau de distribution en utilisant les serveurs d'infrastructure cloud d'Amazon situés en Europe » pendant cette période.

Dommages évalués

Bitstamp a perdu 18 866 BTC de son portefeuille HOT , d'une valeur d'environ 5 263 614 $ à un moment où le prix du Bitcoin était en moyenne de 279 $.

Mais les dégâts sont allés au-delà des bitcoins dans le portefeuille HOT , explique le rapport, notant :

« Bitstamp a perdu des clients, y compris des clients importants engagés dans la fourniture de services marchands en Bitcoin, et a subi des dommages importants à sa réputation, que nous ne sommes pas en mesure de quantifier exactement à ce stade, mais qui, selon nous, dépassent les 2 millions de dollars. »

Les coûts supplémentaires comprennent 250 000 $ versés à l'équipe de Stroz Friedberg, 250 000 $ versés aux développeurs pour la refonte de la plateforme et 150 000 $ en honoraires de conseil et de consultation. Ces coûts, y compris ceux versés à Stroz Friedberg, « continuent de s'accumuler », selon le rapport.

À la suite de l'attaque, l'échange utilise désormais un accès au portefeuille multi-signatures et a engagé Xapo pour gérer le stockage de son portefeuille froid.

Malgré les pertes et les prétendues atteintes à la réputation, l’entreprise a présenté l’incident comme une expérience d’apprentissage, concluant :

« Il s'agit d'une perte importante pour Bitstamp, qui a jeté un doute supplémentaire sur la sécurité et l'intégrité de l'écosystème Bitcoin . Cependant, la situation aurait pu être bien pire, et nous sommes déterminés à en tirer des enseignements et à nous appuyer sur ces données pour améliorer notre Technologies, nos protocoles de sécurité, notre planification des interventions en cas d'incident, FORTH»

Image de documents confidentielsvia Shutterstock