Биржа Bitstamp лишилась $5 млн из-за макроса в Word

В январе 2015 года стало известно о взломе крупной европейской биткоин-биржи Bitstamp. Тогда хакеры сумели похитить 18,977  биткоинов (4,4 млн евро или5,3 млн долларов). Зимой подробностей о взломе не последовало, но на прошлой неделе некто анонимно опубликовал на Reddit ссылку на официальный отчет, подробно рассказывающий об атаке. В частности о том, как лишиться $5 млн из-за обыкновенного макроса в Word.

Документ под названием Bitstamp Incident Report, за авторством главного юрисконсульта Bitstamp Джорджа Фроста (George Frost), датирован февралем 2015 года и содержит информацию от криминалистов из фирмы Stroz Friedberg, проводившей расследование; данные, которыми поделились ФБР и Секретная служба США; а также данные, предоставленные неким «британским кибеорподразделением», что относится либо к Национальному агентству по борьбе с преступностью, либо к лондонской полиции, пишет xakep.ru.

«Расследование еще ведется», — гласит отчет. «Мы надеемся, что нам удалось идентифицировать по меньшей мере одного хакера и выстроить для него ловушку, с целью выманить его в Великобританию для последующего ареста. Кроме того, нам стоит быть весьма осторожными и не просвещать других хакеров относительно того, как именно мы защищаем свои активы и информацию».

Из отчета становится ясно, что Bitstamp пострадала от серии хорошо спланированных фишинговых атак на шестерых разных сотрудников биржи. Более того, все атаки носили личный характер, указывали на отличное знание хакерами бекграунда персонала Bitstamp и умело использовали социальную инженерию. Хакеры продолжали попытки до тех пор, пока не сумели инфицировать ПК одного из системных администраторов.

Начало атак пришлось на 4 ноября 2014 года. Тогда CTO биржи Дамиану Мерлаку (Damian Merlak) по Skype предложили бесплатные билеты на панк-рок фестиваль Punk Rock Holiday 2015, прекрасная зная, что Мерлак интересуется такой музыкой и сам играет в группе. Для получения билетов ему предложили заполнить анкету участника, прислав файл Punk Rock Holiday 2015 TICKET Form1.doc. Файл содержал VBA-скрипт. Стоило открыть файл в Microsoft Word, как скрипт выполнялся, скачивая дополнительную малварь на компьютер жертвы. Хотя Мерлак не заподозрил дурного и открыл присланную «анкету», ни к каким критичным последствиям это не привело, — с его компьютера не было доступа к средствам биржи.

Злоумышленники, впрочем, на этом не сдались. Атака продолжалась в течение пяти недель, в ходе которых хакеры проявляли чудеса изобретательности и представлялись то журналистами, то хедхантерами. Каждая атака отличалась отличным знанием вкусов и увлечений каждой из жертв. Наконец злоумышленникам повезло. 11 декабря 2014 года инфицированный документ Word открыл на своей машине системный администратор Bitstamp Лука Кодрич (Luka Kodric), у которого доступ к кошельку биржи имелся. Файл пришел жертве по email, якобы от лица сотрудника Ассоциации по вычислительной технике, хотя на самом деле, как показало расследование, следы файла уводят глубоко в Tor. Хакеры не ограничились одним лишь письмом. В Skype злоумышленник, выдававший себя за сотрудника Ассоциации по вычислительной технике, убедил Кодрича, что его хотя внести в международное почетное общество, для чего нужно заполнить некоторые бумаги. Кодрич поверил.

Установив троян на компьютер Кодрича, хакеры сумели получить прямой доступ к «горячему» кошельку биржи. Логи показывают, что атакующий, из-под учетной записи Кодрича, получил доступ к серверу LNXSRVBTC, где хранился файл wallet.dat, и серверу DORNATA, где хранился пароль. Затем серверы были перенаправлены на некий IP-адрес, принадлежит одному из провайдеров Германии.

«На момент 4 января 2015 года хакеры полностью опустошили кошелек Bitstamp, о чем свидетельствуют блокчейны. Несмотря на то, что кошелек мог содержать не более 5000 BC одновременно, атакующие сумели похитить более 18 000 BC за несколько дней, по мере того как пользователи биржи вносили средства», — поясняется в отчете.

Официальных сообщений об арестах по этому делу до сих пор нет. Очевидно, задача осложняется тем, что хакеры находятся за пределами Великобритании, и следствию приходится сотрудничать с правоохранительными органами других стран.

Bitstamp вынесла из случившегося урок, значительно улучшив свою систему безопасности. На расследование инцидента и улучшение систем уже потрачено более $650 000.  Теперь Bitstamp на постоянной основе сотрудничает с фирмой BitGo и является одной из немногих площадок, которая даже для «холодных» кошельков использует мультиподписи. Кроме того, согласно отчету, биржа теперь работает и с хранилищем биткоинов Xapo.

Отчет изначально был опубликован через Scribd, откуда был удален. Найти файл, тем не менее, можно на частном сайте Bitstamp Incident Report, посвященном данному инциденту.