Das vertrauliche Dokument veröffentlichte ein Unbekannter mit einem Einzweck-Account auf Reddit, der offenbar nur für diesen Zweck erstellt wurde. Dieses geheime Dokument offenbart einen tiefen Blick in die Details hinter dem Angriff und zeigt, wie es Anfang des Jahres zum Verlust der insgesamt 19.000 Bitcoins kommen konnte. Das Unternehmen gab nur sehr knappe Informationen zum Ablauf bekannt, der sich hinter der Kulisse abspielte.

Bitstamp Mitarbeiter wurden mit Malware infiziert

Der Bericht enthält genaue Informationen zur Ursache und zum Tathergang. Er zeigt ebenfalls, unter welchem Risiko Bitcoin Börsen heute stehen, die u.a.  soziale Anwendungen benutzen.

So soll es auch bei Bitstamp geschehen sein: Skype und E-Mails haben die Hacker benutzt um Kontakt zu den Mitarbeitern aufzunehmen. Mit zahlreichen gefälschten Dokumenten versuchten sie, die Mitarbeiter mit Malware zu infizieren. Die versendeten Dateien sollen sehr professionell gewesen sein, heißt es weiter. Sie waren speziell auf das Privatleben und die Interessen der Mitarbeiter ausgerichtet. Genau dies wurde dem Systemadministrator teuren Verhängnis.

Unachtsamkeit des Administrators sorgte für Infizierung

Das Bitstamp System wurde infiziert, als Systemadministrator Luka Kodric eine Datei öffnete, die – wie er dachte – von einem Sprecher einer Organisation stammte und ihn als Mitglied anwerben wollte. Mit dem ahnungslosen Download installierte er jedoch binnen kürzester Zeit die Malware des Hackers.

In dem Bericht heißt es:

“Als einen Bestandteil des “Angebots” sendete ein Angreifer am 11. Dezember zahlreiche Dokumente. Eins dieser Dokumente, UPE_application_form.doc, enthielt ein VBA Script, in dem ein kleiner bösartiger Spaghetticode enthalten war. Sobald es geöffnet wurde, begann das Script mit dem Download eines schädlichen Programms von der IP Adresse 185.31.209.145 und kompromittierte folglich unser System.”

Als Spaghetticode bezeichnet man in der Software Quellcode in einem unordentlichen und unstrukturiertem Stil, der verworrene oder teils überflüssige Kontrollstrukturen beinhaltet.

Letzten Endes gelang es den Hackern auf diese Weise, an die beiden wallet.dat Dateien für Bitstamps Hot Wallets zu kommen und diese mit ebenfalls erbeuteten Schlüssel auszuräumen.

Traut man den Informationen, setzt sich der Bericht aus Erkenntnissen der externen Firma Stroz Friedberg  für digitale Forensik, Ermittlern des US Secret Service, dem FBI und britischen Behörden für Internetkriminalität zusammen.

Phishing in großen Dimensionen

Dem Bericht zufolge gehen die Angriffe bis zum 4. November 2014 zurück, an dem einer der Angreifer den Bitstamp CTO (Chief Technology Officer) Damian Merlak kontaktierte, um ihm kostenlose Tickets für ein Punk Rock Festival anzubieten.

COO Miha Grcar wurde Mitte November von einer Person über Skype kontaktiert, die sich als Reporter ausgab. Dieser wollte Bitstamp erneut versuchen mit Malware zu infizieren, doch Grcar verweigerte die Annahme des Dokuments.

Nur zwei Tage zuvor sollte auch Bistamp Support Chef Anzej Simicak infiziert werden, als der Angreifer sich als jemand ausgab, der Informationen für ein neues Projekt suchte.

Im Dezember legten die Angreifer anschließend richtig los und führten ihre Masche serienmäßig durch: Etliche Bitstamp Mitarbeiter berichteten von Fällen, indem ähnlich versucht wurde, Mitarbeiter und Server zu infizieren.

Server wurde kompromittiert

Am 23. Dezember wurde Kodric’s infizierter Account benutzt, um sich in den Server einzuloggen, auf dem die gefüllte wallet.dat Datei gelagert wurde. Sechs Tage später, am 29.12.2014, folgte ein weiterer Serverzugriff von Kodric’s Computer, um die Passphrasen zu stehlen. Dennoch ist man sich seitens im Bericht unsicher, ob dies zum wirklichen Tathergang gehöre:

“Wir vermuten, dass der Angreifer zu diesen Zeitpunkt die Wallet Dateien und die Passphrase downloadete, da die Dateigröße mit dem Datentransfer des Server übereinstimmt, der aus den Logs hervorgeht.”

Der endgültige Zugriff

Am 4. Januar geschah die folgenschwere Tat, als der Angreifer insgesamt 18.000 Bitcoins erbeuten konnte. Ursprünglich war das Limit für die betroffene Wallet auf 5.000 Bitcoins gesetzt, das Volumen wurde allerdings aufgrund zahlreicher Einzahlungen von Kunden innerhalb kurzer Zeit weit überschritten.

Fünf Millionen Dollar Schaden

Insgesamt entgingen der Bitcoin Börse durch den Angriff 18.866 Bitcoins, die zu dem Zeitpunkt (1 BTC = 279$ ) einen umgerechneten Wert von 5.263.614$ hatten.

Trotz der schnellen Reaktion seitens Bitstamp und dem Versprechen, den Schaden zu ersetzen, sodass den Kunden keinerlei Nachteile entstünden, verlor die Börse durch den Angriff viele Kunden, die einen weiteren Schaden in Millionenhöhe verursachten. Dieser Vertrauensverlust, den man nicht genau in einem Geldwert beziffern könne, soll sich auf ca. 2 Millionen Dollar belaufen.

BTC-Echo
Englische Originalfassung von Stan Higgins via CoinDesk
Image Source: Fotolia