Hvordan fik Feds Pipeline Hackers 'Bitcoin? Her er den bedste teori

Det amerikanske justitsministerium opnåede en sjælden sejr mod ransomware-kriminelle i denne uge, komme sig de fleste af de Bitcoin slynglerne afpresset efter et højt profileret angreb på Colonial Pipeline.

Som New York Times berettede, Fed's sejr mod hackerne viser, hvordan Bitcoin kan spores på sin offentlighed blockchain netværk - en kendsgerning, som er velkendt for dem, der er fortrolige med krypto, men mindre for offentligheden. Men hvad den Times og andre ikke forklarede, er, hvordan justitsministeriet i første omgang fik fat i Bitcoin.

Mysteriet er især underligt, da ransomware-bandenes angreb var sofistikeret nok til at lamme østkystens energiforsyning. Hvis banden kunne trække at off, hvordan kunne de være så stumme at sætte Bitcoin-løsepenge i en digital pung der ligger inden for rækkevidde af amerikansk retshåndhævelse?

I et typisk ransomware-angreb kan ofrene ikke gendanne Bitcoin, fordi gerningsmændene og deres tegnebog er placeret i udlandet. Sikker på, det er muligt at spore betalingerne på den offentlige blockchain. Men skurkerne pisker normalt Bitcoins i såkaldte mixere - tjenester, der blander Bitcoins med andre fonde 'eller konverterer dem til andre kryptovalutaer - og spreder dem i andre tegnebøger, hvilket gør midlerne næsten umulige at gribe. Så hvad skete der med løsepenge for Colonial Pipeline?

Dmitry Smilyanets har en ret god idé. En trusselsefterretningsanalytiker hos cybersikkerhedsfirmaet Record Future, Smilyanets er ekspert i ransomware og cryptocurrency, og fortalte Dekryptér han mener, at rørledningsskurkerne kun er amatører, der kørte en franchise-operation under de virkelige hjerner.

Beviset, han siger, er, at justitsministeriet kun inddrev 63.7 af de 75 Bitcoins, der blev betalt i løsesum. De manglende 11.3 Bitcoins udgør 15% af løsesummen - et tal, der er den sædvanlige kommission for at bruge løsepengewaren, som er lavet af en skyggefuld gruppe kaldet DarkSide. Gruppen udlejer sine værktøjer til andre hackere, der har brugt dem til at afpresse mere end $ 90 millioner i alt.

Resultatet er, at den uindvundne del af pipeline-løsesummen gik til en tegnebog kontrolleret af DarkSide, som justitsministeriet ikke kunne få fingrene i. Det forklarer selvfølgelig ikke, hvordan de føderale myndigheder – hvem siger de "ønsker ikke at opgive vores håndværk" - greb resten af ​​det.

Svaret, siger Smilyanets, er, at amatører lavede en nøglefejl ved hårdkodning af den private nøgle til deres Bitcoin-tegnebog i den større ransomwarepakke, de implementerede. De lavede endnu en fejl, siger han, da de lejede en server i USA, der blev drevet af en skyudbyder kaldet Digital Ocean.

Ransomwareskurkerne lejede den server, siger Smilyanets, for at fremskynde processen med at exfiltrere de data, de stjal fra rørledningsoperatøren til et andet land. Mængden af ​​data er enorm, så brug af en formidler som Digital Ocean til midlertidigt at gemme og videresende dataene i udlandet gør ransomware-operationen mere effektiv.

Men som Smilyanets forklarede, ser det ud til, at skurkerne også inkluderede den private nøgle til deres Bitcoin-tegnebog midt i de andre data, de trak til Digital Ocean.

Designet af Bitcoins krypteringssystem gør det nemt at dechiffrere den offentlige nøgle til en Bitcoin-tegnebog, hvis du kender den private (dog ikke omvendt). Hvis justitsministeriet skaffede både de private og de offentlige nøgler, ville det have været let at gribe over Bitcoin - hvilket effektivt røvede hackerne, der havde afpresset rørledningsoperatøren.

Smilyanets siger, at alt dette peger på en sjusket operation fra hackerne, som han mistænker for at være unge mænd, der beruset af succesen med deres afpresningsplan trak deres fødder i at lukke serveren og flytte Bitcoin til et sikkert sted.

I mellemtiden siger Smilyanets, at sværhedsgraden af ​​rørledningsangrebet udløste et usædvanligt hurtigt og effektivt svar fra justitsministeriet og andre.

”Det involverede hurtigt samarbejde mellem retshåndhævelse og private trusler og efterretningsvirksomheder,” sagde han.

Alt dette tyder på, at gerningsmændene til ransomware var sjusket, men også uheldige med at trække rørledningen ud på et tidspunkt med nye modforanstaltninger fra amerikansk retshåndhævelse - modforanstaltninger, der inkluderer at stå op for en ny Ransomware og Digital Extortion Task Force.

Der er selvfølgelig andre teorier om, hvordan amerikansk retshåndhævelse gendannede de fleste af de Bitcoins, der blev betalt af Colonial Pipeline. En mulighed, svævet af Times, er, at Feds plantede en menneskelig spion inde i DarkSide-netværket og hackede dets computere - men dette virker usandsynligt, da DarkSide stadig fik sine 15% skåret, og at spionen ikke advarede Colonial Pipeline i første omgang. I mellemtiden foreslog nogle, at den amerikanske regering havde beslaglagt løsesummen ved at bryde Bitcoins kryptering – et forslag, der klart er forkert, men som ikke desto mindre fik prisen på Bitcoin til at styrte. Det har den siden inddrives.

For nu er Smilyanets 'teori - at pipeline-hackere var amatører, der blev sjusket ved at efterlade en privat nøgle, hvor den kunne findes på en amerikansk server - den stærkeste. Og den stærkeste teori er normalt den rigtige.

Kilde: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory