Биржа биткоинов Bitstamp лишилась $5 млн из-за макроса в Word
отметили
14
человека
в архиве
В январе 2015 года стало известно о взломе крупной европейской биткоин-биржи Bitstamp. Тогда хакеры сумели похитить 18,977 биткоинов (4,4 млн евро или5,3 млн долларов). Зимой подробностей о взломе не последовало, но на прошлой неделе некто анонимно опубликовал на Reddit ссылку на официальный отчет, подробно рассказывающий об атаке. В частности о том, как лишиться $5 млн из-за обыкновенного макроса в Word.
Документ под названием Bitstamp Incident Report, за авторством главного юрисконсульта Bitstamp Джорджа Фроста (George Frost), датирован февралем 2015 года и содержит информацию от криминалистов из фирмы Stroz Friedberg, проводившей расследование; данные, которыми поделились ФБР и Секретная служба США; а также данные, предоставленные неким «британским кибеорподразделением», что относится либо к Национальному агентству по борьбе с преступностью, либо к лондонской полиции.
«Расследование еще ведется», — гласит отчет. «Мы надеемся, что нам удалось идентифицировать по меньшей мере одного хакера и выстроить для него ловушку, с целью выманить его в Великобританию для последующего ареста. Кроме того, нам стоит быть весьма осторожными и не просвещать других хакеров относительно того, как именно мы защищаем свои активы и информацию».
Из отчета становится ясно, что Bitstamp пострадала от серии хорошо спланированных фишинговых атак на шестерых разных сотрудников биржи. Более того, все атаки носили личный характер, указывали на отличное знание хакерами бекграунда персонала Bitstamp и умело использовали социальную инженерию. Хакеры продолжали попытки до тех пор, пока не сумели инфицировать ПК одного из системных администраторов.
Начало атак пришлось на 4 ноября 2014 года. Тогда CTO биржи Дамиану Мерлаку (Damian Merlak) по Skype предложили бесплатные билеты на панк-рок фестиваль Punk Rock Holiday 2015, прекрасная зная, что Мерлак интересуется такой музыкой и сам играет в группе. Для получения билетов ему предложили заполнить анкету участника, прислав файл Punk Rock Holiday 2015 TICKET Form1.doc. Файл содержал VBA-скрипт. Стоило открыть файл в Microsoft Word, как скрипт выполнялся, скачивая дополнительную малварь на компьютер жертвы. Хотя Мерлак не заподозрил дурного и открыл присланную «анкету», ни к каким критичным последствиям это не привело, — с его компьютера не было доступа к средствам биржи.
Злоумышленники, впрочем, на этом не сдались. Атака продолжалась в течение пяти недель, в ходе которых хакеры проявляли чудеса изобретательности и представлялись то журналистами, то хедхантерами. Каждая атака отличалась отличным знанием вкусов и увлечений каждой из жертв. Наконец злоумышленникам повезло. 11 декабря 2014 года инфицированный документ Word открыл на своей машине системный администратор Bitstamp Лука Кодрич (Luka Kodric), у которого доступ к кошельку биржи имелся. Файл пришел жертве по email, якобы от лица сотрудника Ассоциации по вычислительной технике, хотя на самом деле, как показало расследование, следы файла уводят глубоко в Tor. Хакеры не огра
Документ под названием Bitstamp Incident Report, за авторством главного юрисконсульта Bitstamp Джорджа Фроста (George Frost), датирован февралем 2015 года и содержит информацию от криминалистов из фирмы Stroz Friedberg, проводившей расследование; данные, которыми поделились ФБР и Секретная служба США; а также данные, предоставленные неким «британским кибеорподразделением», что относится либо к Национальному агентству по борьбе с преступностью, либо к лондонской полиции.
«Расследование еще ведется», — гласит отчет. «Мы надеемся, что нам удалось идентифицировать по меньшей мере одного хакера и выстроить для него ловушку, с целью выманить его в Великобританию для последующего ареста. Кроме того, нам стоит быть весьма осторожными и не просвещать других хакеров относительно того, как именно мы защищаем свои активы и информацию».
Из отчета становится ясно, что Bitstamp пострадала от серии хорошо спланированных фишинговых атак на шестерых разных сотрудников биржи. Более того, все атаки носили личный характер, указывали на отличное знание хакерами бекграунда персонала Bitstamp и умело использовали социальную инженерию. Хакеры продолжали попытки до тех пор, пока не сумели инфицировать ПК одного из системных администраторов.
Начало атак пришлось на 4 ноября 2014 года. Тогда CTO биржи Дамиану Мерлаку (Damian Merlak) по Skype предложили бесплатные билеты на панк-рок фестиваль Punk Rock Holiday 2015, прекрасная зная, что Мерлак интересуется такой музыкой и сам играет в группе. Для получения билетов ему предложили заполнить анкету участника, прислав файл Punk Rock Holiday 2015 TICKET Form1.doc. Файл содержал VBA-скрипт. Стоило открыть файл в Microsoft Word, как скрипт выполнялся, скачивая дополнительную малварь на компьютер жертвы. Хотя Мерлак не заподозрил дурного и открыл присланную «анкету», ни к каким критичным последствиям это не привело, — с его компьютера не было доступа к средствам биржи.
Злоумышленники, впрочем, на этом не сдались. Атака продолжалась в течение пяти недель, в ходе которых хакеры проявляли чудеса изобретательности и представлялись то журналистами, то хедхантерами. Каждая атака отличалась отличным знанием вкусов и увлечений каждой из жертв. Наконец злоумышленникам повезло. 11 декабря 2014 года инфицированный документ Word открыл на своей машине системный администратор Bitstamp Лука Кодрич (Luka Kodric), у которого доступ к кошельку биржи имелся. Файл пришел жертве по email, якобы от лица сотрудника Ассоциации по вычислительной технике, хотя на самом деле, как показало расследование, следы файла уводят глубоко в Tor. Хакеры не огра
Добавил ![oleg_ws]()
oleg_ws 6 Июля 2015
oleg_ws 6 Июля 20151 комментарий
проблема (2)
Комментарии участников:
