Detalhes do hack de US$ 5 milhões do Bitstamp revelados

Seis funcionários da Bitstamp foram alvos de uma tentativa de phishing que durou semanas e resultou no roubo de aproximadamente US$ 5 milhões em Bitcoin em janeiro, de acordo com um relatório de incidente não confirmado, que teria sido elaborado internamente pela corretora de Bitcoin .

O documento confidencial, publicado emRedditpor um único propósito, oferece uma visão aprofundada do que se acredita ser a história interna do hack, que resultou na perda depouco menos de 19.000 BTCno início deste ano. Desde então, a empresa ofereceu poucos detalhes sobre o que aconteceu nos bastidores, citando confidencialidade em relação à investigação dos fundos perdidos.

As descobertas do relatório são notáveis, pois ilustram os riscos enfrentados pelas bolsas de Bitcoin , incluindo ataques de engenharia social nos quais informações pessoais são usadas para enganar as vítimas e fazê-las fornecer um meio de acesso a materiais confidenciais.

No caso da Bitstamp, os responsáveis pelo ataque usaram o Skype e o e-mail para se comunicar com os funcionários e tentar distribuir arquivos contendo malware apelando para seus históricos e interesses pessoais. O sistema da Bitstamp foi comprometido depois que o administrador de sistemas Luka Kodric baixou um arquivo que ele acreditava ter sido enviado por um representante de uma organização que estava buscando sua filiação.

O relatório, atribuído ao conselheiro geral da Bitstamp, George Frost, explicou:

“Em 11 de dezembro, como parte desta oferta, o invasor enviou uma série de anexos. Um deles, UPE_application_form.doc, continha um script VBA malicioso ofuscado. Quando aberto, este script foi executado automaticamente e puxou um arquivo malicioso do endereço IP 185.31.209.145, comprometendo assim a máquina.”

Por fim, os invasores conseguiram acessar dois servidores contendo o arquivo wallet.dat da carteira HOT da Bitstamp e a senha desse arquivo.

As informações contidas no relatório teriam sido obtidas de uma investigação de terceiros conduzida por uma empresa de perícia digitalStroz Friedberg, bem como de investigadores que trabalham para o Serviço Secret dos EUA, o Federal Bureau of Investigation e autoridades de crimes cibernéticos do Reino Unido.

No momento da elaboração do relatório, a investigação sobre o hack ainda estava em andamento, mas uma prisão era esperada para um futuro NEAR . O relatório faz alusão a um esforço dos investigadores para criar "uma 'armadilha de mel' para atrair [o invasor] para o Reino Unido a fim de efetuar uma prisão".

A Bitstamp se recusou a comentar sobre a autenticidade do relatório quando contatada. Um representante de Stroz Friedberg não estava imediatamente disponível para comentar.

Tentativa de phishing estendida

De acordo com o relatório, a primeira tentativa de phishing ocorreu em 4 de novembro, quando um dos invasores contatou o diretor de Tecnologia da Bitstamp, Damian Merlak, oferecendo ingressos grátis para um festival de punk rock.

O diretor de operações Miha Grcar foi contatado pelo Skype em meados de novembro por alguém se passando por repórter. Nessa troca, o indivíduo citou artigos anteriores escritos por Grcar quando ele próprio era repórter cobrindo notícias na Grécia.

O relatório observa:

“Em 26 de novembro, como parte desta troca de dentro de um arquivo offline (como um documento do Word), ivan.foreignpolicy tentou enviar um documento do Word de um artigo recente, aparentemente buscando comentários do Sr. Grcar. O Sr. Grcar se recusou a aceitar o documento.”

Dois dias antes, o gerente de suporte da Bitstamp, Anzej Simicak, também foi contatado via Skype e, naquele caso, o invasor se passou por alguém que buscava mais informações sobre o RippleWise, um projeto do qual Simicak atua como COO.

No início de dezembro, vários outros membros da equipe da Bitstamp foram contatados, incluindo Kodric, cuja conta foi finalmente comprometida. O computador do funcionário Miha Hrast foi então comprometido após receber uma mensagem no Skype, embora ele não tivesse privilégios de acesso aos servidores.

Servidor comprometido

Após o computador de Kodric ter sido infiltrado, de acordo com o relatório, arquivos maliciosos adicionais foram criados entre 17 e 22 de dezembro. Em 23 de dezembro, a conta de Kodric foi usada para fazer login no servidor que continha o arquivo wallet.dat.

Em 29 de dezembro, os invasores usaram o computador de Kodric para acessar os servidores que continham o arquivo wallet.dat e a senha da carteira.

“Suspeitamos que o invasor copiou o arquivo da carteira Bitcoin e a frase-senha neste estágio, devido à correlação entre o tamanho desses arquivos e o tamanho da transferência de dados vista nos logs”, observa o relatório. “Embora o conteúdo real das transferências não possa ser confirmado a partir dos logs disponíveis.”

Menos de uma semana depois, continua o relatório, a carteira foi esvaziada, observando:

“Em 4 de janeiro, o invasor esvaziou a carteira Bitstamp, como evidenciado no blockchain. Embora o conteúdo máximo desta carteira fosse de 5.000 bitcoins a ONE momento, o invasor conseguiu roubar mais de 18.000 bitcoins ao longo do dia, à medida que mais depósitos eram feitos pelos clientes.”

Resposta QUICK

A Bitstamp agiu rapidamente para avaliar e mitigar os danos, de acordo com o relatório, emitindo um alerta para toda a empresa e estabelecendo uma equipe de resposta a incidentes. A empresa tomou conhecimento do roubo na noite de 4 de janeiro e, após auditar os servidores, descobriu a entrada de 29 de dezembro e a transferência de dados.

A Stroz Friedberg iniciou sua investigação em 8 de janeiro, operando a partir do escritório esloveno da empresa.

O relatório observa:

“Logo após a Confira do ataque, a Bitstamp tomou uma decisão cara, mas necessária, de reconstruir toda a nossa plataforma de negociação e sistemas auxiliares do zero, em vez de tentar reiniciar nosso sistema antigo. Fizemos isso a partir de um backup seguro que foi mantido (de acordo com os procedimentos de recuperação de desastres) em um ambiente de 'sala limpa'.”

O relatório acrescentou que a Bitstamp “decidiu implantar nossa rede de distribuição usando servidores de infraestrutura de nuvem da Amazon localizados na Europa” durante esse período.

Danos avaliados

A Bitstamp perdeu 18.866 BTC de sua carteira HOT , no valor aproximado de US$ 5.263.614, em um momento em que o preço médio do Bitcoin era de US$ 279.

Mas o dano foi além dos bitcoins na carteira HOT , explicou o relatório, observando:

“A Bitstamp perdeu clientes, incluindo grandes clientes envolvidos no fornecimento de serviços comerciais em Bitcoin, e sofreu danos significativos à sua reputação, que não podemos quantificar exatamente neste momento, mas que acreditamos exceder US$ 2 milhões.”

Os custos adicionais incluem US$ 250.000 pagos à equipe Stroz Friedberg, US$ 250.000 pagos aos desenvolvedores para reconstruir a plataforma e US$ 150.000 em taxas de consultoria e assessoria. Os custos, incluindo aqueles pagos a Stroz Friedberg, "continuam a acumular", de acordo com o relatório.

Após o ataque, a exchange agora utiliza acesso à carteira multi-sig e contratou a Xapo para cuidar do armazenamento de sua carteira fria.

Apesar das perdas e dos alegados danos à reputação, a empresa enquadrou o incidente como uma experiência de aprendizagem, concluindo:

“Esta foi uma perda significativa para a Bitstamp, e lançou mais dúvidas sobre a segurança e integridade do ecossistema Bitcoin . No entanto, poderia ter sido muito pior, e estamos determinados a usar isto como uma ferramenta de aprendizado, e como uma base para fazer melhorias em nossa Tecnologia, protocolos de segurança, planejamento de resposta a incidentes e assim por FORTH.”

Imagem de documentos confidenciaisvia Shutterstock