Na splet pricurljale podrobnosti januarskega vdora v Bitstamp

Matej Huš

2. jul 2015 ob 13:22:18

Januarja je slovenska bitcoinska borza Bitstamp, ki sodi med najbolj spoštovane v svetu in največje evropske, za šest dni prenehala obratovati. Razlog je bil vdor, saj so napadalci uspeli odtujiti skoraj 19.000 bitcoinov oziroma slabih pet milijonov evrov. Bitstamp je vse izgube pokril iz lastnega žepa, celoten sistem pa povsem od začetka postavil na novi strojni opremi na drugi lokaciji. Na splet je pricurljalo interno poročilo, kaj je šlo narobe.

Ugotovili so, da so napadalci datoteko z denarnico (wallet.dat) ukradli že 29. decembra, dejanska nakazila pa so izvedli 4. januarja. Sam vdor pa je potekal od novembra, ko so s ciljanimi sporočili prek Skypa in elektronske pošte poizkusili pretentati nekaj zaposlenih v Bitstampu. Neznani napadalci so stopili v kontakt z vsakim s posebej prilagojeno zgodbo, ki je igrala na prave strune, da so nekateri odprli zlonamerno datoteko. Običajno je šlo za Wordov dokument, ki je imel škodljiv VBS-makro.

Usoden je bil napad na Luko Kodriča, ki je glavni administrator za Bitstamp. Ko so napadalci uspeli okužiti njegov računalnik, so se lahko prijavili neposredno v strežnika, ki sta imela denarnico s povezavo na internet (hot storage) in geslom zanjo. Prvikrat so se na strežnika povezali 23. decembra, krajo pa so izvedli 29. decembra, ko se je zgodil nepooblaščen prenos 3 GB velike datoteke - ravno toliko meri wallet.dat. Dejanska tatvina pa se je zgodila 4. januarja in zanjo niso potrebovali več povezave v Bitstamp, saj so imeli kopijo denarnice. Čeprav slednja ni nikoli imela več kot 5000 bitcoinov hkrati, so jo sproti praznili, prav tisti dan pa so komitenti naložili nadpovprečno veliko bitcoinov. Ko so napad odkrili, je bilo že prepozno.

Bitstamp je bliskovito reagiral, ugasnil stran, stranke obvestil o odpovedi nadaljnjih pologov, stopil v stik z organi pregona in najel podjetje za forenzično preiskavo. Celotna škoda je presegla šest milijonov evrov, saj je več kot le ukradeni bitcoini. Tu so še izgubljeni prihodki, vsi stroški s postavitvijo novega sistema, plačilo zasebnih preiskovalcev itd. Račun še vedno raste.

V vsaki stvari je nekaj dobrega in Bitstamp se je vrnil še močnejši. Dobil je dodatne varnostne funkcije (npr. multi-sig: obvezno podpisovanje transakcij s strani več ljudi), prav tako pa sedaj teče na drugih strežnikih. Škoda je velika, a so jo uspeli sanirati in večino strank so tudi obdržali. Primer pa je poučen, ker kaže, da so napadalci res zelo iznajdljivi (preberite celotno poročilo, da boste videli kakšne zgodbe in pretveze so uporabljali) ter jih ne smemo nikoli podcenjevati.