20.04.2016 | 19:31

Adam Haertle

Jak na skutek nieudolnego śledztwa zostać ponownie ofiarą włamania

Czy można dać się okraść trzy razy pod rząd w ciągu jednego miesiąca? W świecie kryptowaluty nic nie jest niemożliwe, co udowodniła nam właśnie platforma wymiany ShapeShift. Zapraszamy do lektury opisu przebiegu włamań.

Prezes firmy ShapeShift podzielił się wczoraj historią ostatnich kilkunastu dni pełnych niespodziewanych zwrotów akcji. Warto zapoznać się z jego relacją by zobaczyć, jak nie powinno się reagować na incydenty i jakie mogą być skutki nieudolnego śledztwa.

Znikające bitcoiny

Mało jest serwisów atakowanych tak często jak te, które handlują kryptowalutą. Są to także – a przynajmniej powinny być – serwisy najlepiej przygotowane na różne ataki. Mimo tego jeden z nich został okradziony trzykrotnie w krótkich odstępach czasu. Czy to świadczy o nim źle? W naszej ocenie to raczej powód do dumy – w końcu został zaprojektowany tak, że nawet po drugiej kradzieży ciągle było coś do zabrania, czego nie można powiedzieć o większość jego dawno już upadłej konkurencji.

Strona serwisu ShapeShift

Strona serwisu ShapeShift

ShapeShift to serwis umożliwiający łatwą i prostą wymianę pomiędzy dwoma kryptowalutami. Serwis nie przechowuje środków klientów (poza samym momentem dokonywania wymiany), musi jednak dysponować odpowiednim saldem środków własnych dla zapewnienia płynności. Cała historia zaczęła się 14 marca tego roku, kiedy to z gorącego portfela bitcoina zniknęło 315 BTC. Szef firmy dowiedział się o problemie z samego rana i natychmiast wezwał wszystkich pracowników do biura. Wszyscy przybyli bez zwłoki, spóźnił się jedynie szef IT, występujący w tej historii pod pseudonimem Bob. Bob pojawił się w biurze o 11:30 i nie wydawał się być specjalnie zaniepokojony rozwojem wydarzeń. Bob zatrudniony był pod koniec 2015, kiedy firma osiągnęła stadium wymagające poważnego podejścia do infrastruktury ze względu na regularnie rosnące obroty. Miał długie doświadczenie w świecie kryptowalut, lecz podobno od początku nie wydawał się tytanem pracy.

Bob poinformowany o incydencie zaczął wymyślać dziwne wyjaśnienia. Najpierw zasugerował, ze pewnie zhakowana została jedna z giełd, z którymi współpracowała firma – jednak konta giełdowe były nietknięte. Potem wskazał na adres IP, który figurował w opisie transakcji złodzieja, lecz jak wiedzą użytkownicy BTC adres ten jedynie wskazuje węzeł sieci który przekazywał informacje o przelewie i nie ma najczęściej nic wspólnego ze złodziejem. W tym czasie administratorzy analizujący logi znaleźli informację wskazującą, że użytkownik kluczy należących do Boba zalogował się do kluczowego serwera godzinę przed kradzieżą i wylogował się dwie minuty po niej. Logowanie nastąpiło z użyciem firmowego VPNa. Nie było w tym jeszcze żadnej rewelacji, ponieważ Bob był jednym z administratorów i mógł to być zbieg okoliczności.

Znikający Bob

Ciąg dalszy analizy polegał na zebraniu od wszystkich odcisków kluczy SSH i dopasowywaniu ich do wpisów w logu. Bob także przekazał odcisk swoich kluczy, jednak nie było po nich w logach żadnego śladu. Zanim zagadka została wyjaśniona Bob wyszedł na godzinny lunch – jak przystało na szefa IT w trakcie najgorszego incydentu w historii firmy. Po powrocie spakował swoje rzeczy, zabrał psa (który akurat był w biurze) i oznajmił, że wróci za kolejną godzinę, bo musi zawieźć matkę do szpitala. To był ostatni raz, kiedy pracownicy firmy ShapeShift widzieli Boba…

Pozostali w firmie administratorzy szybko ustalili, że tego ranka Bob skasował z serwera oba swoje klucze, których ślady był w logach i wygenerował nowe, które przekazał jako swoje do analizy. Po wielu próbach udało się dodzwonić do Boba, który zapytany o to, dlaczego skasował swoje klucze, odpowiedział, że nie uznał ich za istotne. Dodatkowo wszelkie podejrzenia o udział w kradzieży odrzucił i uznał je za rasistowskie. Firma wystosowała do niego oficjalną prośbę o zwrot skradzionych środków a gdy nie zareagował przygotowała pozew cywilny oraz zgłosiła podejrzenie popełnienia przestępstwa. Doręczenie pozwu się nie powiodło, ponieważ Bob zniknął ze swojego mieszkania (zostawiając jedynie psa pod opieką sąsiada). To jednak nie koniec historii.

Znikające kryptowaluty po raz drugi

Firma słusznie przyjęła założenie, że trudno będzie zaufać dotychczasowej infrastrukturze IT skoro jej główny administrator okazał się być złodziejem i odbudowała od zera infrastrukturę u dostawcy chmurowego. Przy okazji zmieniła wszystkie klucze SSH (a przynajmniej tak sądziła) oraz hasła. 7 kwietnia przygotowania do uruchomienia platformy na nowej infrastrukturze były już w zaawansowanej fazie, gdy znienacka z serwerów w chmurze zniknęła zawartość gorących portfeli BTC, LTC oraz Ethereum. Po paru godzinach bezowocnej analizy zdarzeń pracownicy zaczęli podejrzewać, że kradzież mogła być skutkiem włamania do hostingu. Logi z serwera zostały usunięte, zatem ustalenie przebiegu wydarzeń było trudne. Udało się jednak prześledzić skradzione fundusze i trafić na konto na jednej z giełd, należące – przynajmniej wg podanych przez użytkownika danych – do pewnego Rosjanina.

Prezes ShapeShift postanowił chwycić się ostatniej szansy i przesłał Rosjaninowi jedno pytanie: Jak to zrobiłeś? Po paru dniach nadeszła odpowiedź o treści Bob. Z tej odpowiedzi nikt jednak nie wyciągnął żadnych sensownych wniosków.

Znikające kryptowaluty po raz trzeci

Po dobie firma uruchomiła kolejną nową infrastrukturę w kolejnej nowej chmurze i jak pewnie już się domyślacie po raz kolejny została okradziona z zawartości gorących portfeli. Tym razem firma zareagowała w końcu trochę inaczej, kupując profesjonalną usługę analizy powłamaniowej. Prezes wrócił także do rozmowy z nowym złodziejem i za 2 BTC dowiedział się, że Bob przekazał mu adres IP serwera oraz działający klucz SSH wykradziony z komputera innego pracownika. Tymczasem firma prowadząca analizę znalazła tylną furtkę (napisaną w Go i z poprawionymi znacznikami czasowymi by wskazywały na moment instalacji serwera) obecną na serwerach produkcyjnych firmy oraz odzyskała część skasowanych logów. Jednocześnie dzięki współpracy z giełdami udało się zablokować część skradzionych środków i drugi włamywacz zrobił się bardziej skory do negocjacji.

Prezes zawarł z nim umowę odkupu skradzionych kryptowalut po atrakcyjnej cenie w zamian za pełne informacje o przebiegu włamania. Okazało się, że do logowania na nowe serwery został użyty klucz SSH drugiego firmowego administratora. Problem polegał jednak na tym, że był to klucz wygenerowany już po odejściu Boba z pracy. Macie już koncepcję jak do tego doszło? Odpowiedź czeka w następnym paragrafie.

Rosjanin wyjawił, że za 50 BTC kupił od Boba adres IP i dostęp do firmowego rutera, adres IP serwera z którego można było ukraść kryptowaluty oraz dostęp po RDP do pulpitu administratora, który konfigurował nową infrastrukturę. Wszystkie wysiłki skierowane w stronę zabezpieczenia nowych serwerów musiały spalić na panewce, skoro włamywacz kontrolował komputer firmowego administratora…

Lekcje do zapamiętania

Historia ta pozwala na wyciągnięcie kilku istotnych wniosków. Po pierwsze po incydencie warto przeprowadzić solidną analizę, wyjaśniająca każdy aspekt tego jak doszło do nieautoryzowanego dostępu. Szczególnie należy zrobić to po drugim incydencie tego samego typu w ciągu kilku dni. Po drugie po ucieczce głównego administratora warto przeinstalować nie tylko serwery ale także stacje robocze kluczowych pracowników. Po trzecie trzeba założyć, że do włamania i tak dojdzie i być przygotowanym do jego wykrycia i ograniczenia skutków. Po czwarte prowadzenie serwisów związanych z kryptowalutami jest trudne. Powodzenia!

Powrót

Komentarze

  • 2016.04.20 20:14 M4k5

    Właśnie ostatnio się zastanawiałem, czemu shapeshift nie działa… Ładna historia.

    Odpowiedz
  • 2016.04.20 20:28 lol

    Z tekstu można wywnioskować, że Bob był murzynem – tylko oni rzucają hasłami o rasizmie kiedy się do nich przyczepisz. ;)

    Odpowiedz
    • 2016.04.21 00:15 Bob

      Sam jestes murzynem!!!

      Odpowiedz
    • 2016.04.21 07:15 hecsec

      Dokladnie tylko czarni tak sie zachowuja co wiecej krzycza na potege by zamknac nam usta takie przypadki w UK zdarzaly sie ale od kilku lat nich ich nie toleruja – widze w angielskich zachowaniach wiecej nienawisci do nich, przepraszam za odejscie od tematu ale mnie to sie zdarzylao – jedno jest wazne nie dac sie sprowokowac spokojnie dosniesc na to co robia anglik chetnie poswiadczy! Jeden z nich powiedzial do mnie ,we owning you, hahaha! Co za prostak!

      Odpowiedz
  • 2016.04.20 21:40 pacraf

    nie znam się na cyberbezpieczeństwie, lubię tylko poczytać co potrafią fachowcy…
    kiedy jednak przeczytałem jak poległa infrastruktura hacking team, nie mam złudzeń że nie ma czegoś takiego jak bezpieczna sieć.
    Zatem ktyptogiełdy to trochę jak kurczaki spacerujące po placu nad którym latają jastrzębie… tylko czekają aż któryś będzie wystarczająco tłusty i ciach ;)

    Odpowiedz
  • 2016.04.20 21:51 Monter

    Łeeee, a gdzie link do powiązanego z tematem Szkolenia? ;-P

    Odpowiedz
    • 2016.04.21 08:40 Ninja

      Nie ta strona ;p

      Odpowiedz
  • 2016.04.20 22:18 dziadek

    Bob rozwalił system!

    Odpowiedz
  • 2016.04.21 08:26 Fasola

    Bob Budowniczy – zawsze da radę!

    Odpowiedz
  • 2016.04.21 10:04 Edie

    Idioci… Wystarczyło włączyć uwierzytelnianie dwuetapowe dla SSH, a logi to się wysyła do do zdalnej maszyny… Można też zezwolić na dostęp tylko z zaufanych adresów IP do RDP i do SSH. Kto trzyma niezabezpieczone klucze SSH do serwerów na dysku? Wystarczy zabezpieczyć je hasłem, albo umieścić w kontenerze VeraCrypta.

    Odpowiedz
  • 2016.04.21 11:17 Krzysztof Kozłowski

    No dobra ale co z Bobem i jego psem?

    Odpowiedz
    • 2016.04.21 19:11 B&B

      Ciekawe czy okaże się że Bob w ogóle był faktycznie Bobem. Wynika z tekstu że zawinął 315 + 50 BTC. Ciekawe czemu samodzielnie nie wyjmował tych walut potem tylko zdecydował się na sprzedaż dostępu. Nie miał czasu bo ucieczkę organizował? Nie jest to jakoś wybitnie szatański plan jeśli użył swojej tożsamości.

      Odpowiedz
  • 2016.04.21 11:36 P

    Tylko psa szkoda.

    Odpowiedz
  • 2016.04.21 12:25 imię

    kleptowaluta

    Odpowiedz

Zostaw odpowiedź do dziadek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak na skutek nieudolnego śledztwa zostać ponownie ofiarą włamania

Komentarze