Včeraj zvečer je direktor družbe Marko Kobal v videu, ki ga je objavil na facebooku, potrdil, da so jim hekerji v organiziranem napadu v sredo ukradli okrog 4700 bitcoinov. Uporabnikom je zagotovil, da so vse večje menjalnice obvestili o ukradenih bitcoinih, a da bo za razrešitev zadeve potreben čas. Zato tudi še ne more povedati, kako in ali če bodo ti vrnjeni.
Poleg Kobala se je v videu pojavil tudi Matjaž Škorjanc, ki ga je Kobal predstavil kot avtorja sistema NiceHasha in direktorja tehnološkega razvoja podjetja. Matjaž Škorjanc je sicer bolj znan kot heker Iserdo, ki ga je slovensko sodišče pred leti obsodilo na 4 leta in deset mesecev zapora, aretirali pa so ga s pomočjo ameriškega FBI. Iserdo je več let izdeloval in prodajal zlonamerno kodo, med drugim tudi kodo, ki je bila uporabljena za botnet Mariposa.
Kobal je dejal, da je v podjetje vložil zadnja štiri leta življenja, družba pa da je doslej pridobila okrog 750.000 uporabnikov, ki so jim, kot je dejal, doslej izplačali že več kot milijardo dolarjev.
Hekerji vdrli z geslom enega od inženirjev
Kobal je uporabnike naprosil, da jim pomagajo z morebitnimi informacijami o vdoru. »Nekdo nas je res želel uničiti,« je dejal. »Zavedamo se vaših skrbi in nismo vas zapustili. Trenutno sodelujemo z domačimi in tujimi preiskovalci in strokovnjaki, da bi ugotovili, kaj se je zgodilo,« je pojasnil Kobal. Doslej so po njegovih besedah v forenzični preiskavi ugotovili, da so hekerji v njihov sistem vdrli v sredo, malo čez eno uro zjutraj po srednjeevropskem času. Prvi neuspešni poskus vdora je izviral z IP naslova izven EU. Kakšnih dvajset minut kasneje so napadalci s pomočjo uporabniškega imena in gesla enega od inženirjev podjetja naposled vdrli v sistem. Kako so do inženirjevih podatkov prispeli, pa še ni znano.
V naslednji uri so napadalci preučili plačilni sistem podjetja, nekaj čez tretjo uro zjutraj pa so izvedli tudi že prve transakcije iz NiceHashove denarnice, je še razkril direktor NiceHasha.
Po več urah molka potrdili, da so bili tarča napada
Govorice, da se na spletni strani podjetja NiceHash, ki ga kot direktor vodi Marko Kobal, sedež pa ima v ljubljanskem Tehnološkem parku, dogaja nekaj nenavadnega, so se začele širiti, ko je bila stran v sredo občasno nedosegljiva. Zaradi napovedanih vzdrževalnih del je bila stran nekaj časa nedostopna že 2. decembra, glede na obvestilo na njihovem profilu na twitterju pa naj bi bila končana še isti dan.
Zaradi nenapovedanih vzdrževalnih del je bila stran nekaj časa nedostopna tudi naslednje dni. Ko je zadnji izpad trajal več ur, podjetje pa ni ponudilo nobenih novih obvestil, so se pod njihovo objavo o poteku vzdrževalnih del začele pojavljati pritožbe.
Dear NiceHash user, our service is currently under maintenance.
— NiceHash (@NiceHashMining) December 6, 2017
We are sorry for the inconvenience and please stay tuned for updates.
Thank you for your understanding.
Nekateri so se jezili zaradi izpada dohodka, ker niso mogli rudariti. Drugi so se bolj šaljivo pritoževali, da naprave za rudarjenje uporabljajo za gretje stanovanja in da jih zaradi njihovega »počivanja« že pošteno zebe. Največ skrbi pa so začele vzbujati objave uporabnikov, ki so trdili, da so iz evidenc izginili podatki o njihovem narudarjenem deležu bitcoinov, ki so jih imeli shranjene pri NiceHashu. Pri podjetju so se na skrbi sprva odzvali z opravičilom, da še vedno odpravljajo težave na strežniku in da so te obsežnejše, kot so menili.
Dear NiceHash users,
— NiceHash (@NiceHashMining) December 6, 2017
we are very sorry for the inconvenience caused. Our team is working hard to resolve the issues on the service, it might take longer than expected. We'll keep you updated!
Kasneje pa so le objavili izjavo, v kateri so potrdili, da so bili tarča hekerskega napada in da preiskujejo, kaj se je zgodilo. Zaradi tega so napovedali tudi 24-urno prekinitev delovanja strani in njihovih storitev. Razkrili so tudi, da so jim ukradli vsebino digitalne denarnice, kjer je bil shranjen denar uporabnikov.
Uradnega podatka o količini ukradenih kriptovalut podjetje v izjavi ni podalo, vodja marketinga pri podjetju Andrej P. Škraba pa je za Reuters povedal, da je bilo izgubljenih okoli 4700 bitcoinov, ki so bili tedaj vredni okoli 56 milijonov evrov. To je skoraj dvakrat toliko, kolikor so leta 2005 roparji ukradli iz sefov SKB. To je bil doslej največji rop v zgodovini Slovenije, skupna vrednost ukradenih predmetov pa je takrat znašala 32 milijonov evrov.
Napad že preiskuje policija
»Preiskovalna dejanja ta trenutek potekajo zelo intenzivno, zato ne moremo govoriti o podrobnostih, lahko pa povem, da se s primerom ukvarjajo za to ustrezno strokovno usposobljeni kriminalisti z različnih področij kriminalitete,« je na včerajšnji tiskovni konferenci povedal pomočnik direktorja uprave kriminalistične policije Boštjan Lindav. Slovenski kriminalisti pri tem sodelujejo tudi z nekaterimi drugimi državami. Lindav sicer ni želel pojasniti, za katere države gre, saj bi s tem po njegovih besedah lahko prišlo do uničenja dokazov.
Kazensko ovadbo zaradi suma vdora v informacijski sistem je policiji že v sredo podala pravna zastopnica ljubljanskega podjetja, za tovrstne vdore pa je v Sloveniji zagrožena zaporna kazen od treh mesecev do petih let. Kvalifikacija kaznivega dejanja se med preiskavo lahko spreminja. »V primeru kaznivih dejanj, na primer tatvine kriptovalute, te opredeljujemo kot materialno škodo oziroma protipravno premoženjsko korist. Oškodovanec posest dokazuje s potrdili, obračuna pa se po takrat veljavnem tečaju,« je pojasnila vodja sektorja za odnose z javnostmi na generalni policijski upravi Vesna Drole.
Tovrstnih napadov gre v prihodnosti pričakovati še več
»Naraščajoča vrednost kriptovalut, še zlasti bitcoina, privlači kibernetske kriminalce,« opozarja Aleksej Malanov, strokovnjak pri eni največjih svetovnih družb za spletno varnost Kaspersky Lab. »Ti uporabljajo različne metode, da bi se jih polastili, vse od poigravanja z uporabniškimi naslovi in plačilnimi podatki do vdorov v plačilni sistem. Problem kriptovalut je, da v primeru kraje denarja ne obstaja regulativni organ, kateremu bi se uporabniki lahko pritožili ali bi zavaroval njih in kriptoborzo pred tovrstnim tveganjem.«
Tadej Hren iz nacionalnega centra za obravnavo omrežnih incidentov SI-CERT prav tako opozarja, da so transakcije na bitcoin omrežju javne, ni pa razvidno, kdo je lastnik kriptodenarnic, kjer se bitcoini nahajajo. »Povsem enostavno take količine ni lahko oprati, obstajajo pa razne storitve, ki precej dobro zakrijejo sledi (tako imenovani mixerji oziroma blenderji in thumblerji). Ukradene bitcoine lahko pretvorijo v kakšno drugo kriptovaluto, ki omogoča večjo anonimnost (na primer monero), ali pa jih unovčijo za gotovino v kateri od držav, kjer ne izmenjujejo finančnih podatkov z drugimi. Načini obstajajo, profesionalnim napadalcem pa ti zagotovo niso tuji.«
Najverjetnejši odgovor, kako bodo hekerji unovčili ukradene bitcoine, je zelo dobro opisal komentator na twitterju. Opozoril je, da se tudi slon ne poje naenkrat, temveč počasi, košček za koščkom. Tudi sicer se hekerjem trenutno še ne mudi. Samo v enem dnevu od kraje so namreč z dvigom vrednosti bitcoina, ki je včeraj presegel že 14.000 evrov, (v tistem trenutku) zaslužili že blizu dodatnih 10 milijonov evrov.
Do kraje je prišlo tudi zaradi nepazljivosti
Pri Kasperskyju pravijo, da bi se tveganje takšne kraje lahko zmanjšalo z razmejitvijo NiceHashevih depozitov na »vroče« ali »hladne« denarnice. »'Vroče' denarnice bi vsebovale minimalne zneske za samodejna dnevna izplačila, 'hladne' pa bi hranile preostali denar in bile ročno upravljane, do njih pa bi bil dostop le takrat, ko 'vroče' denarnice ne bi hranile dovolj sredstev,« pojasnjuje Malanov. »Priporočljiva je tudi zaščita 'hladnih' denarnic z več podpisi, saj bi tako le hkratna prisotnost več lastnikov omogočila premik denarja.«
Pri Kasperskyju uporabnikom zaradi več podobnih kraj tudi sicer odsvetujejo shranjevanje denarja na tovrstnih platformah in predlagajo shranjevanje sredstev v lastni denarnici. Uporabniki naj poleg tega vselej preverijo tudi naslov spletne denarnice in ne sledijo povezavam internetnih bank ali spletnih denarnic. Pred pošiljanjem naj dvakrat preverijo naslov prejemnika (vsaj prve in zadnje znake v naslovu), znesek in pripadajočo višino provizije. Zapišejo naj si tudi niz besed (angl. mnemonic phrase), ki vsebuje vse informacije, potrebne za morebitno ponastavitev denarnice. Zanemariti pa ne gre niti nastavitve kakovostne protivirusne zaščite.
Vdor v NiceHash ni negativno vplival na ceno bitcoina
Čeprav sta bila vdor v NiceHash in izguba okoli 4700 bitcoinov odmevni novici tudi v tujini, dogodek očitno ni imel bistvenega vpliva na kriptomrzlico, še manj pa na ceno bitcoinov. Tudi sicer ni bilo pričakovati, da bi vrednost bitcoina utrpela udarec zaradi vdora v NiceHash, saj ne gre za varnostno ranljivost same kriptovalute. Podobno kot vlom v fizični sef ne bi vplival na zaupanje v varnost standardnih valut.
Bolj kot nezaupanje v kriptovalute gre po ropu pričakovati večjo pozornost pri varnostnih ukrepih pri shranjevanju kriptovalut. Med uporabniki pa je na udaru tudi NiceHashev poslovni model, ki je od rudarjev do določene količine zahteval hranjenje denarja pri podjetju. Poleg tistih, ki so zaupali v NiceHasheve varnostne ukrepe in so prostovoljno pri njih hranili večje vrednosti, so najbolj jezni rudarji, ki so prav v času napada pričakovali doseg minimalne vrednosti za izplačilo. To se ni zgodilo, ves njihov vložek dotlej pa je bil prav tako izgubljen.
