Un documento filtrado enmarca el robo de BitStamp en un ataque de phishing

Share this…

Un documento filtrado titulado “Informe del Incidente de BitStamp” revela los detalles de la investigación interna sobre el robo de 19.000 bitcoins (5 millones de dólares entonces) que sufrió la casa de cambio Bitcoin BitStamp en enero de este año y lo enmarca dentro de un ataque de phishing sufrido por los empleados del exchange durante las semanas previas al robo.

El informe, fechado el 20 de febrero 2015, y que aún no ha sido confirmado por BitStamp, ha sido eliminado de la web de intercambio de archivos Scribd donde fue publicado, y revela los detalles de lo que realmente ocurrió. El autor del informe es el consejero general de BitStamp, George Frost, y es el resultado de una investigación llevada a cabo por varias agencias policiales, entre las que se incluye el FBI, el Servicio Secreto de Estados Unidos y autoridades de cibercrimen de Reino Unido, así como la empresa privada de investigación, Stroz Friedberg.

bitstamp

El documento confidencial revela cómo seis empleados de BitStamp fueron atacados en un intento de phishing por email y Skype durante las semanas previas al robo. Finalmente fue el administrador de sistemas del exchange, Luka Kodric, el que descargó el archivo Word que contenía código malicioso en un correo electrónico y finalmente los atacantes fueron capaces de acceder a dos servidores que contienen el archivo wallet.dat de la cartera caliente de BitStamp y la frase de la contraseña para ese archivo.

“El 11 de diciembre, como parte de esta oferta, el atacante envía un número de archivos adjuntos. Una de ellos, UPE_application_form.doc, contenía código malicioso VBA. Cuando se abrió, este código se ejecutó de forma automática y se bajó un archivo malicioso desde la dirección IP 185.31.209.145, comprometiendo con ello la máquina”.

Los intentos de los atacantes de contactar con más empleados continuaron. El 23 de diciembre, la cuenta del Kodric se utiliza para iniciar una sesión en el servidor que contenía el archivo wallet.dat y el 29 de diciembre, los atacantes aprovechan ordenador del Kodric para acceder a los servidores que contienen el archivo wallet.dat y la contraseña:

“Sospechamos que el atacante copió el archivo de la cartera Bitcoin y la frase de contraseña en esta etapa, debido a la correlación entre el tamaño de estos archivos y el tamaño de la transferencia de datos que se ve en los registros”, señala el informe. “Aunque el contenido real de las transferencias no se puede confirmar a partir de los registros disponibles.”

Y menos de una semana después, continúa el informe, la cartera se vació: “El 4 de enero, el atacante vació la cartera de BitStamp, como se evidencia en la blockchain. Aunque el contenido máximo de esta cartera era 5000 bitcoins en el momento dado, el atacante fue capaz de robar más de 18.000 bitcoins durante todo el día cuando otros depósitos fueron hechos por los clientes”.

La compañía se dio cuenta del robo en la noche del 4 de enero, y después de la auditoría de los servidores descubrió la entrada el 29 de diciembre y la transferencia de datos. Stroz Friedberg comenzó su investigación el 8 de enero. El informe señala que “poco después del descubrimiento del ataque, BitStamp tomó una decisión costosa pero necesaria para reconstruir toda nuestra plataforma de negociación y los sistemas auxiliares desde el principio, en lugar de intentar reiniciar nuestro antiguo sistema. Hicimos esto desde una copia de seguridad segura que se mantuvo (de acuerdo con los procedimientos de recuperación de desastres) en un entorno de ‘sala limpia’”.

En el robo, Bitstamp perdió 18.866 BTC de su cartera caliente. Sin embargo, el daño fue más allá de esa cantidad como explica el informe: “Bitstamp ha perdido clientes, incluyendo grandes clientes que participan en la prestación de servicios comerciales en bitcoin, y ha sufrido un daño significativo en su reputación, que no somos capaces de cuantificar exactamente en este punto, pero que creemos que supera los 2 millones de dólares”.

Además de los costos adicionales que incluyen 250.000 dólares pagados al equipo de Stroz Friedberg; 250.000 dólares pagados a los desarrolladores para reconstruir la plataforma y 150.000 dólares en honorarios de consultoría y asesoramiento. Los costos, incluidos los pagados a Stroz Friedberg, “continúan acumulándose”, según el informe.

A raíz del ataque, la casa de cambio utiliza ahora el acceso a cartera multifirma (multi-sig) y ha contratado a Xapo para manejar su cartera de almacenamiento en frío.

A pesar de las pérdidas y el supuesto daño a la reputación, la compañía enmarca el incidente como una experiencia de aprendizaje, concluyendo:

“Ha sido una pérdida significativa para BitStamp, y ha puesto más dudas sobre la seguridad y la integridad del ecosistema Bitcoin. Sin embargo, podría haber sido mucho peor, y estamos decididos a utilizar esto como una herramienta de aprendizaje, y como base para hacer mejoras en nuestra tecnología, los protocolos de seguridad, la planificación de respuesta a incidentes y así sucesivamente”.

Fuente:https://www.oroyfinanzas.com