Интересно [Анализ] Monero - false privacy? История взлома.

Admin

Administrator
Регистрация
19.08.2015
Сообщения
1 544
Оценка реакций
483
Без названия.jpg
Abstract
Целью данной проверки было установить, что пользователь с ником kretin (далее - Пользователь) участвовал во взломе официальных ресурсов криптовалюты monero. Было установлено, что он имеет доступ к управлению гейтом, который действительно использовался во время атаки на официальные ресурсы криптовалюты monero. Также было установлено то, что Пользователь имел возможность создать PE-файл, использовавшийся в атаке. Было предоставлено более чем достаточно доказательств, чтобы вынести заключение о том, что Пользователь действительно участвовал в атаке.

Methods
Были проанализированы открытые источники информации, PE-файлы, предоставленные Пользователем: файл, использовавшийся во время атаки, скомпилированный файл с адресом гейта равным "localhost", видео с компиляцией и демонстрацией хэш-сумм скомпилированных файлов и демонстрацией атаки.

Results
Пользователь на сайте exploit утверждает, что произвёл взлом официального сайта криптовалюты monero (

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

).

Был произведён взлом и об этом есть официальное утверждение разработчиков monero (2).

В сторонних источниках (4) был анализ бинарных файлов от исследователей, из которых можно выяснить, что кошелёк действительно был подменён злоумышленниками и seed-ключи отправлялись на node.hashmonero.com (далее - гейт).

На момент проверки (21.11.2019) IP-адресом домена "node.hashmonero.com" являлся "45.9.148.65".

В качестве доказательства аутентичности, Пользователь привёл (

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

) размещенное на гейте сообщение, на данный момент доступное по адресу:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


IP-адрес гейта, указанным Пользователем (

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

) совпадает с адресом, указанным сторонними исследователями (4), а также совпадает с IP-адресом, указанным в других источниках (3, 8).

По хэшу, указанному исследователем в твиттере (4), можно найти файл на virustotal (

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

), SHA-256 hash-сумма которого будет:
7ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31

Что совпадает с одним из хэшей, указанным в issue на github (7) (ссылка на issue приведена в официальном сообщении от разработчиков (2)).
issue и файл были опубликованы 18.11.2019
Из чего можно вынести, что исследователи изучали файл действительно использовавшийся в произведённой атаке. Из файла они смогли извлечь адрес гейта, который совпадает с адресом, на котором Пользователь разместил доказательство в виде сообщения (скриншот от стороннего пользователя форума имеется в теме пользователя (

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

)).

После чего, мы запросили у пользователя 2 PE-файла: файл, использовавшийся в атаке (файл-1), файл с адресом гейта изменённым на localhost (файл-2); видео с компиляцией и демонстрацией хэш-сумм скомпилированных файлов.

После предоставления файлов и видео, были сверены хэш-суммы. Хэш-сумма первого файла совпадает с хэш-суммой файла, использовавшегося во время атаки (6). Хэш-сумма второго файла совпадает с хэш-суммой скомпилированного файла на видео.

При сравнении файла-2 и файла-1, можно было вынести то, что файл-2 не является отредактированной в HEX-редакторе версией файла-1, а является отдельно скомпилированной версией кошелька, что позволяет утверждать то, что Пользователь действительно имел возможность скомпилировать PE-файл, использовавшийся в атаке.



Conclusion
Пользователь имел или имеет доступ к управлению гейтом, на который отсылались seed-ключи криптовалюты monero. Более того - были предоставлены PE-файлы, которые позволяют утверждать то, что Пользователь имел возможность скомпилировать PE-файл, использовавшийся в атаке. Из всего вышеперечисленного, следует, что Пользователь имеет явное отношение к произведённой атаке и привёл более чем достаточно доказательств для подтверждения этого.




Sources:
1.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


2.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


3.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


4. 5.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


6.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


7.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


8.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


9.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
  • Like
Реакции: ev0117434 и CMDfromBAT

ev0117434

Member
Регистрация
16.11.2019
Сообщения
33
Оценка реакций
13
Вот ты постарался )
Столько инфы