Информационная безопасность / Взломаны cервера на Linode, украдено около 50K BTC ($250K)

в 0:39, , рубрики: bitcoin, Linode, взлом, метки: , ,

Первый день весны ознаменовался крупной кражей биткоинов. Злоумышленники избрали своими жертвами владельцев биткоинов, хранивших свои кошельки в облачном хостинге Linode.com (http://www.linode.com/)

Первым заметил следы атаки владелец одного из старейших майнинг-пулов (http://mining.bitcoin.cz/) Marek Palatinus, известный также под ником slush. Как он пишет в своем блоге (http://bitcoinmedia.com/compromised-linode-coins-stolen-from-slush-faucet-and-others/), рано утром он получил SMS о том, что баланс кошелька, используемого его пулом для выплаты намайненных монет, опустился ниже установленного порога. Став разбираться в чем дело, он увидел, что 3094 монеты были переведены на некий кошелек (здесь можно увидеть эту транзакцию. http://blockexplorer.com/tx/34b84108a142ad7b6c36f0f3549a3e83dcdbb60e0ba0df96cd48f852da0b1acb). Быстрая проверка сервисов пула не выявила никаких следов взлома. Однако затем он обнаружил, что два из его серверов на Linode были перезагружены и на них изменен рутовый пароль. (На одной из этих виртуалок и хранился bitcoin кошелек.) Сделано это было из админки (Linode Manager), Slush тут же обратился в поддержку Linode, которая поначалу никак не могла объяснить произошедшее, кроме как компрометацией пароля от админки. Но slush был уверен в сложности и уникальности своего пароля, к тому же записи о смене пароля и перезагрузке в логе выполненных задач есть, а следов входа в админку во время взлома нет.

После эскалации проблемы и более тщательного расследования специалисты Linode подтвердили факт взлома и сообщили, что злоумышленник воспользовался веб-интерфейсом для персонала поддержки. Скомпрометированные учетки были заблокированы, все пострадавшие уведомлены. Все жертвы были так или инача связаны с Bitcoin, то есть атака была целенаправленной и спланированной. Всего жертв оказалось восемь, самой крупной оказалась биржа Bitcoinica, потерявшая 43 554 BTC или приблизительно 200 тысяч долларов по текущему курсу.

Linode опубликовал короткое сообщение (http://status.linode.com/2012/03/manager-security-incident.html) об инциденте (более развернутое официальное заявление ожидается). В нем заверяется, что другие пользователи сервиса, кроме этих восьми, никак не пострадали; ни пароли пользователей к Linode Manager, ни информация о кредитных картах не были скомпрометированы.

Автор: ComodoHacker

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js