Abstract
Целью данной проверки было установить, что пользователь с ником kretin (далее - Пользователь) участвовал во взломе официальных ресурсов криптовалюты monero. Было установлено, что он имеет доступ к управлению гейтом, который действительно использовался во время атаки на официальные ресурсы криптовалюты monero. Также было установлено то, что Пользователь имел возможность создать PE-файл, использовавшийся в атаке. Было предоставлено более чем достаточно доказательств, чтобы вынести заключение о том, что Пользователь действительно участвовал в атаке.
Methods
Были проанализированы открытые источники информации, PE-файлы, предоставленные Пользователем: файл, использовавшийся во время атаки, скомпилированный файл с адресом гейта равным "localhost", видео с компиляцией и демонстрацией хэш-сумм скомпилированных файлов и демонстрацией атаки.
Results
Пользователь на сайте exploit утверждает, что произвёл взлом официального сайта криптовалюты monero ().
Был произведён взлом и об этом есть официальное утверждение разработчиков monero (2).
В сторонних источниках (4) был анализ бинарных файлов от исследователей, из которых можно выяснить, что кошелёк действительно был подменён злоумышленниками и seed-ключи отправлялись на node.hashmonero.com (далее - гейт).
На момент проверки (21.11.2019) IP-адресом домена "node.hashmonero.com" являлся "45.9.148.65".
В качестве доказательства аутентичности, Пользователь привёл () размещенное на гейте сообщение, на данный момент доступное по адресу:
IP-адрес гейта, указанным Пользователем () совпадает с адресом, указанным сторонними исследователями (4), а также совпадает с IP-адресом, указанным в других источниках (3, 8).
По хэшу, указанному исследователем в твиттере (4), можно найти файл на virustotal (), SHA-256 hash-сумма которого будет:
7ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31
Что совпадает с одним из хэшей, указанным в issue на github (7) (ссылка на issue приведена в официальном сообщении от разработчиков (2)).
issue и файл были опубликованы 18.11.2019
Из чего можно вынести, что исследователи изучали файл действительно использовавшийся в произведённой атаке. Из файла они смогли извлечь адрес гейта, который совпадает с адресом, на котором Пользователь разместил доказательство в виде сообщения (скриншот от стороннего пользователя форума имеется в теме пользователя ()).
После чего, мы запросили у пользователя 2 PE-файла: файл, использовавшийся в атаке (файл-1), файл с адресом гейта изменённым на localhost (файл-2); видео с компиляцией и демонстрацией хэш-сумм скомпилированных файлов.
После предоставления файлов и видео, были сверены хэш-суммы. Хэш-сумма первого файла совпадает с хэш-суммой файла, использовавшегося во время атаки (6). Хэш-сумма второго файла совпадает с хэш-суммой скомпилированного файла на видео.
При сравнении файла-2 и файла-1, можно было вынести то, что файл-2 не является отредактированной в HEX-редакторе версией файла-1, а является отдельно скомпилированной версией кошелька, что позволяет утверждать то, что Пользователь действительно имел возможность скомпилировать PE-файл, использовавшийся в атаке.
Conclusion
Пользователь имел или имеет доступ к управлению гейтом, на который отсылались seed-ключи криптовалюты monero. Более того - были предоставлены PE-файлы, которые позволяют утверждать то, что Пользователь имел возможность скомпилировать PE-файл, использовавшийся в атаке. Из всего вышеперечисленного, следует, что Пользователь имеет явное отношение к произведённой атаке и привёл более чем достаточно доказательств для подтверждения этого.
Sources:
1.
2.
3.
4. 5.
6.
7.
8.
9.
