Tag Archives: Trojan.Klovbot

?????????? Bitcoin ?????????

      No Comments on ?????????? Bitcoin ?????????

Bitcoin Woes 1.png

仮想通貨 Bitcoin は、この数週間というもの激しい動乱の時期を迎えています。Bitcoin のソフトウェアで新たに公表された脆弱性が攻撃者に集中的に狙われ、莫大な額が引き出されてしまったからです。これにより、かつて世界最大の Bitcoin 取引所だった Mt Gox は破綻に追い込まれ、多くの投資家がその預金を失いました。この盗難により Bitcoin の価値はいったん暴落しましたが、その後は大幅に回復しており、リスクがあるにもかかわらず投資家が依然として貪欲であることを示唆しています。とはいえ、ひとたび弱点が見つかれば攻撃者は徹底的にそこに群がり、根こそぎにしようとするということが、今回の一連の事件で明らかになったのは間違いありません。

事件の最初の兆候があったのは、Mt Gox が預金引き出しの停止を発表した 2 月 7 日のことです。Mt Gox は日本に拠点を置く交換所で、Bitcoin のソフトウェアに存在するバグの修正に取り組み中であり、預金引き出しのフローがその作業の支障になるためと説明していました。この時点では、何らかの問題があると思わせる要素はありませんでしたが、Mt Gox からの発表が Bitcoin の価値暴落の引き金になりました。これ以前には 800 ドル以上で取り引きされていた Bitcoin が、約 650 ドルにまで下落したのです。

このとき突かれたのは、「トランザクション展性」と呼ばれるバグです。攻撃者は、これを利用して取引情報を書き換え、実際には発生していた Bitcoin ウォレットへの送金を、なかったように見せかけることができます。トランザクションが正常に処理されなかったように見えるため、送金者を欺けば、Bitcoin を再送金させることも可能です。

それから数日のうちに、この問題は拡散します。脆弱性の悪用を狙った攻撃者が分散サービス拒否攻撃(DDoS)を仕掛けたため、さらに 2 カ所の Bitcoin 取引所が預金の引き出し停止を余儀なくされました。スロベニアに拠点を置く Bitstamp と、ブルガリアで営業している BTC-e の 2 つの取引所がともに攻撃を受け、どちらにもシステム全体の混乱を狙った不正なトランザクションが殺到しました。

Bitstamp と BTC-e は数日以内に平常営業に戻りましたが、Mt Gox はそうはいきませんでした。Mt Gox の預金の引き出し停止状態は 2 月 24 日まで続き、同日、取引が突然閉鎖されたのです。漏えいした社内文書によると、Mt Gox は大規模な窃盗の被害に遭い、数億ドル相当の通貨が盗み出されたものと思われます。

その 3 日後、Mt Gox は破産を申請し、5 億米ドル相当の通貨がシステムから盗み出されことを正式に認めました。同社の申し立てによると、Bitcoin のソフトウェアに存在するバグを悪用した攻撃者によって、顧客から預かっていた約 75 万枚、同社保有の 10 万枚の Bitcoin が盗まれたということです。

閉鎖後も、Mt Gox は依然として攻撃の標的になっていました。たとえば、利用者が盗まれた Bitcoin を同社が返金すると称する詐欺メールが早くも出回りました。この詐欺メールには、Bitcoin の返金請求方法についてのお知らせと称する動画へのリンクがあります。このリンクをクリックしたユーザーは、動画の再生に必要だとして Adobe Flash Player のインストールを促す Web サイトにリダイレクトされます。そこでインストールボタンをクリックすると、マルウェアが含まれている .rar 形式の圧縮ファイルがダウンロードされます。シマンテックは、このマルウェアを Trojan.Klovbot として検出します。

このフィッシング攻撃は、ある対象がいったん注目を集めたが最後、あたかも血の匂いに群がるサメのように攻撃者はあらゆる角度から悪用の可能性を検討して、実際に悪用しようとすることを示す格好の例です。

Bitcoin Woes 2.png

図 1: 攻撃後にいくぶん持ち直した Bitcoin の価値(出典: blockchain.info

こうした最近の攻撃も、Bitcoin が攻撃にさらされた初めての事件ではありません。昨年遅くには、一連の仮想銀行強盗によって、数百万ドル相当の通貨が盗まれています。しかし、Mt Gox の破綻は、これまででも最大級のセキュリティ侵害です。にもかかわらず、Bitcoin を求める投資家の熱は冷めていません。Mt Gox の取引中止が報じられた時点で、Bitcoin は 2 月 6 日時点の 800 ドルから、2 月 26 日には 528 ドルへと暴落しましたが、その後は復調し、現在では 630 ドル前後で取り引きされています。わずか 1 年前には 42 ドルで取り引きされていたことを考えると、Bitcoin に対する一定の熱は、今回の攻撃にもかかわらずまだ続きそうです。こうした楽観的な展望が、保証の限りでないことは言うまでもありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blood in the Water: Bitcoin Woes Cause Attackers to Converge

Bitcoin Woes 1.png

Virtual currency Bitcoin has experienced some turbulent times in recent weeks as attackers focused their attention on a newly publicized weakness in Bitcoin’s software in an attempt to siphon off huge sums. The instability has already claimed the scalp of Mt Gox, which was once the world’s largest Bitcoin exchange and thousands of investors have lost their deposits.  The thefts caused the currency’s value to plunge but it has since recovered significantly, indicating that investors still have an appetite despite the risks. Nevertheless, this spate of incidents perfectly illustrates how attackers can swarm around a particular area once a weakness is found and attempt to pick it clean.

The first sign of trouble came on February 7, when Mt Gox announced that it had suspended withdrawals. The exchange, which is based in Japan, said that it was working to fix a bug in Bitcoin’s software and the flow of withdrawals was hindering its progress. At the time, there was no hint that anything else was awry. Nevertheless, the announcement triggered a plunge in Bitcoin’s value. Having traded at above US$800 prior to the incident, the currency fell to approximately $650.

The bug, known as “transaction malleability” makes it possible for attackers to alter transaction details to make it seem like a transfer of funds to a Bitcoin wallet did not occur when in fact it did. Since the transaction appears as if it has not proceeded correctly, the sender could be duped into sending more Bitcoins.

Within days, the problems spread. Two more major Bitcoin exchanges were forced to suspend withdrawals as attackers mounted Distributed Denial of Service (DDoS) attacks against them in a bid to exploit the vulnerability. Bitstamp, which is based in Slovenia and BTC-e, which operates from Bulgaria, were both hit by the attacks, which flooded the exchanges with malformed transactions designed to create confusion across their systems.

While Bitstamp and BTC-e were back trading normally within days, the same could not be said for Mt Gox. The company’s bar on withdrawals remained in place until February 24, when the exchange suddenly went offline. Leaked internal documents suggested that the company had been the victim of a massive theft, in which hundreds of millions of dollars’ worth of the currency had been stolen.

Three days later, Mt Gox filed for bankruptcy, confirming that nearly US $500 million worth of the currency had been stolen from its systems. The company claimed that a bug in Bitcoin’s software had allowed attackers steal approximately 750,000 Bitcoin deposited by customers and 100,000 Bitcoin owned by the company.

Even after its closure, Mt Gox remained a focus for attackers. For example, scammers were quick in circulating an email that claimed the company will be returning Bitcoins stolen from its users. The scam email contained a link to a video that is described as containing news on how people can get their Bitcoin back. When the recipient clicks on the link, they are directed to a website that prompts them to install “Adobe Flash Player” in order to play the video. Clicking on the install button will download a compressed .rar file containing malware. Symantec detects this malware as Trojan.Klovbot.

The phishing campaign is a perfect example of how once a sector falls into the spotlight, attackers can smell blood in the water and will attempt to exploit every conceivable angle before moving on.

Bitcoin Woes 2.png

Figure 1: Bitcoin’s value has recovered somewhat in the aftermath of the attacks. (Source: blockchain.info)

These recent attacks are not the first time Bitcoin has come under pressure. Late last year, a series of virtual bank robberies resulted in millions of dollars’ worth of the currency being stolen. However, the collapse of Mt Gox is one of the most significant security breaches to date. Despite this, investor demand for Bitcoin has remained strong. The currency plunged when news broke of Mt Gox’s suspension, dropping from $800 on February 6 to a low of $528 on February 26. However, since then it has rallied and it is now trading at around $630. Considering that Bitcoin was trading at $42 only a year ago, it is clear that there is still a considerable degree of enthusiasm for the currency despite the attacks. Whether this optimism is warranted remains to be seen.