Nieuws
image

Bitcoinbeurs Bitstamp gehackt via Word-document

zaterdag 4 juli 2015, 10:57 door Redactie, 6 reacties
Laatst bijgewerkt: 04-07-2015, 12:54

Begin dit jaar wisten aanvallers de Bitcoinbeurs Bitstamp te hacken, waarbij zo'n 19.000 bitcoins werden gestolen. Omgerekend met de wisselkoers van dat moment ging het om 4,3 miljoen euro. Een vertrouwelijk onderzoeksdocument naar de oorzaak van de hack is gelekt en bevat details over de aanval.

De aanvaller bleek in november en december een gerichte phishingaanval op werknemers van het bedrijf te hebben uitgevoerd. Zo werd de CTO van Bitstamp via Skype benaderd, waarbij hij gratis tickets voor een punkrockfestival kreeg aangeboden. De CTO is een fervent fan van punkrock en heeft in een band gespeeld, iets wat de aanvaller had achterhaald. De tickets werden in de vorm van een doc-document via Skype verstuurd.

In werkelijkheid bleek het document een kwaadaardig VBA-script te bevatten dat malware op het systeem moest installeren. Hoewel de CTO het document opende, lijkt het script niet te hebben gewerkt. Bij de andere werknemers had de aanvaller meer succes. Zo verstuurde hij een cv en een vragenlijst en deed hij zich voor als journalist. Op 9 december verstuurde de aanvaller een phishingmail naar het Gmail-account van de systeembeheerder. Deze systeembeheerder had toegang tot de "hot wallet" van Bitstamp, waarin de bitcoins waren opgeslagen.

In de e-mail stelde de aanvaller dat de systeembeheerder voor het Upsilon Pi Epsilon (UPE) genootschap was uitgenodigd. De systeembeheerder opende het document dat vervolgens succesvol het VBA-script uitvoerde en malware op de computer plaatste. Een aantal dagen later nam de aanvaller via Skype contact op om de gesprekken voort te zetten. Uiteindelijk logde de aanvaller via de laptop van de systeembeheerder in op de servers van Bitstamp, om zo het bestand wallet.dat te benaderen. Het digitale bestand met daarin de duizenden bitcoins.

In totaal bleek dat zes werknemers het doelwit van de phishingaanvallen waren, waarbij er in vier gevallen kwaadaardige bijlagen waren verstuurd. De onderzoekers laten in het rapport, dat in februari verscheen, weten dat het onderzoek nog loopt, maar ze mogelijk een van de aanvallers hebben geïdentificeerd. Het plan was vervolgens om de aanvaller naar Groot-Brittannië te lokken om hem te kunnen aanhouden, zo meldt Business Insider. Voor zover bekend is er echter nog niemand in verband met de hack van Bitstamp aangehouden.

Reacties (6)
04-07-2015, 12:59 door Anoniem
Kijk dat is pas is goed verdienen met Word :-).
04-07-2015, 15:16 door Briolet
Dat is inderdaad een leuk jaarinkomen. Zelfs als je er met een paar personen een jaar aan gewerkt hebt. En nog belastingvrij ook!
04-07-2015, 22:59 door karma4
Een systeem beheerder waar kennelijk de scheiding tussen admin functies en beperkte user rechten niet op orde Is. Hij was de enige waar de rechten voldoende open stond om de aanval een succes te laten zijn.

Sorry maar dat Is gewoon onvoldoende scheiding van functies. Als het ware constant onder het root account werken omdat het voor de admin functies zo makkelijk Is. Een ander vaak gebruikt argument is dat een persoon maar 1 account mag hebben. Die redenatie Is fout het is dat de acties onder een account herleidbaar moeten zijn tot 1 persoon.
05-07-2015, 00:06 door Joep Lunaar
Door karma4: Een systeem beheerder waar kennelijk de scheiding tussen admin functies en beperkte user rechten niet op orde Is. Hij was de enige waar de rechten voldoende open stond om de aanval een succes te laten zijn.

Sorry maar dat Is gewoon onvoldoende scheiding van functies. Als het ware constant onder het root account werken omdat het voor de admin functies zo makkelijk Is. Een ander vaak gebruikt argument is dat een persoon maar 1 account mag hebben. Die redenatie Is fout het is dat de acties onder een account herleidbaar moeten zijn tot 1 persoon.

Juist !
05-07-2015, 10:35 door Anoniem
Het zijn allemaal prutsers die exchanges. google die oprichters maar eens, men blijkt niet door te hebben dat de qualificaties van een 'web development bedrijfje' onvoldoende zijn in deze business.
05-07-2015, 14:14 door Anoniem
Yourrrrr fired!!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search