Historia polskiego tropu w ogromnych kradzieżach BTC

dodał 26 lutego 2014 o 16:38 w kategorii Info  z tagami:
Historia polskiego tropu w ogromnych kradzieżach BTC

(źródło: btckeychain)

Często słyszymy o cyberprzestępcach zza naszej wschodniej granicy, ale mało kto wie, że pierwszy koń trojański, kradnący bitcoiny, był najprawdopodobniej polskiego pochodzenia. Co więcej, pojawił się w momencie, kiedy właściciela zmieniało wiele portfeli.

Wczoraj opisaliśmy historię włamania do giełdy MtGox, w którym według jednej z teorii wykorzystano dostęp do komputera byłego właściciela serwisu. W tych samych dniach, kiedy doszło do włamania, wśród osób, zajmujących się rynkiem BTC, krążyło złośliwe oprogramowanie, stworzone prawdopodobnie przez naszego rodaka.

Pechowy czerwiec

13 czerwca, a zatem tego samego dnia, kiedy na forum bitcointalk.org pojawił się pierwszy wpis użytkownika, którego konto na MtGox zostało okradzione, uwagę całej społeczności przykuł inny wpis. Użytkownik allinvain opisał w nim, jak ktoś ukradł z jego domowego komputera 25 000 BTC. Do kradzieży doszło krótko po włamaniu na jego konto w kopalni Slusha. W jaki sposób monety zniknęły z portfela? Tego nie udało się do końca wyjaśnić, chociaż wiadomo, że allinvain szyfrował swoje dane.

Wpis poszkodowanego

Wpis poszkodowanego

Zaledwie 2 dni później na forum bitcointalk pojawiły się ostrzeżenia przed atakiem złośliwego oprogramowania. Na forum zostało założone konto o nazwie bardzo zbliżonej do nazwy administratora (MoonShadow- zamiast MoonShadow), z którego rozsyłane były wiadomości prywatne o rzekomym naruszeniu regulaminu. Wiadomość wyglądała tak:

Link prowadził do folderu o takiej właśnie nazwie, w którym znajdował się plik DSC00054.SCR. Plik z kolei, jak możecie się domyślać, zawierał złośliwe oprogramowanie. Nazwane przez Symanteca Infostealer.Coinbit, zostało opisane przez samego Kevin Poulsena z serwisu Wired jako pierwszy program, kradnący portfele z bitcoinami.

Polskie tropy

Jedną z funkcji programu było wyszukanie pliku

oraz przesłanie go za pomocą poczty elektronicznej. Co ciekawe, program, napisany w Delphi, używał do wysyłki emaili serwera smtp.wp.pl z zaszytymi w kodzie loginem i hasłem. Wiadomości wysyłane były z adresu gaehrthsrth@wp.pl a odbiorcą było konto blundcoder@hotmail.com. Hasło do skrzynki na WP zostało szybko przez kogoś zmienione, zatem program utracił możliwość wysyłania plików.

Poszukiwanie użytkownika blundcoder pokazuje, że w roku 2008 był związany z grupą Devil Team, w 2005 roku pomagał w pisaniu „kursu tworzenia trojanów”  a w 2006 był autorem konia trojańskiego NastyXP (używał wtedy adresu blundcoder@wp.pl i pseudonimu BBOYMARIO).

Opis konia trojańskiego

Opis konia trojańskiego

Wpisanie jednego z adresów email w serwisie społecznościowym wskazuje na osobę Mariusza S., jednak przed wyciąganiem jakichkolwiek wniosków pamiętajmy, że adres email w koniu trojańskim mógł należeć do kogokolwiek, a zakładając konto w różnych serwisach nie zawsze trzeba było potwierdzać adres email.

Po co komu zaszyfrowany plik wallet.dat?

Być może zastanawialiście się, po co komuś plik wallet.dat, skoro każdy przytomny posiadacz BTC na pewno zaszyfrował swój portfel. Otóż mamy tutaj kolejny ciekawy zbieg okoliczności – w czerwcu 2011 portfele nie były jeszcze szyfrowane, a dokładnie 13 czerwca główny twórca klienta BTC ogłosił wydanie kolejnej wersji oprogramowania, informując, że priorytetem następnej wersji będzie właśnie szyfrowanie portfela (które zostało wprowadzone dopiero we wrześniu).

Ogłoszenie nowej wersji klienta BTC

Ogłoszenie nowej wersji klienta BTC

Trzeci tydzień czerwca był jednym z ciekawszych okresów w historii bitcoina. Jaki wkład w rozwój wydarzeń miał polski autor koni trojańskich? Kto włamał się na komputery użytkownika allinvain oraz byłego właściciela MtGox? Może kiedyś sprawca napisze pamiętniki, dzięki którym poznamy szczegóły tych wydarzeń.