Πώς πήραν οι Feds το Bitcoin των χάκερ Pipeline; Εδώ είναι η καλύτερη θεωρία

Το Υπουργείο Δικαιοσύνης των ΗΠΑ σημείωσε μια σπάνια νίκη ενάντια σε εγκληματίες ransomware αυτή την εβδομάδα, ανάκτηση τα περισσότερα από τα Bitcoin οι απατεώνες εκβίασε μετά από επίθεση υψηλού προφίλ στον αγωγό Colonial.

Καθώς η New York Times αφηγήθηκε, η νίκη των ομοσπονδιών εναντίον των χάκερ δείχνει πώς μπορεί να εντοπιστεί το Bitcoin στο κοινό του blockchain δίκτυο—ένα γεγονός πολύ γνωστό σε όσους γνωρίζουν την κρυπτογράφηση, αλλά λιγότερο στο ευρύ κοινό. Αλλά τι το Φορές και άλλοι δεν εξήγησαν πώς το Υπουργείο Δικαιοσύνης πήρε στα χέρια του το Bitcoin εξαρχής.

Το μυστήριο είναι ιδιαίτερα αινιγματικό αφού η επίθεση της συμμορίας ransomware ήταν αρκετά περίπλοκη ώστε να ακρωτηριάσει την παροχή ενέργειας στην ανατολική ακτή. Αν η συμμορία μπορούσε να τραβήξει ότι μακριά, πώς θα μπορούσαν να είναι τόσο χαζοί ώστε να βάλουν τα λύτρα Bitcoin σε ένα ψηφιακό πορτοφόλι που βρισκόταν στην εμβέλεια των αμερικανικών αρχών επιβολής του νόμου;

Σε μια τυπική επίθεση ransomware, τα θύματα δεν μπορούν να ανακτήσουν το Bitcoin επειδή οι δράστες και το πορτοφόλι τους βρίσκονται στο εξωτερικό. Σίγουρα, είναι δυνατό να εντοπιστούν οι πληρωμές στο δημόσιο blockchain. Αλλά οι απατεώνες συνήθως χτυπούν τα Bitcoin σε τα λεγόμενα mixers -υπηρεσίες που αναμειγνύουν τα Bitcoin με άλλα κεφάλαια ή τα μετατρέπουν σε άλλα κρυπτονομίσματα- και τα διασκορπίζουν σε άλλα πορτοφόλια, καθιστώντας τα κεφάλαια αδύνατο να κατασχεθούν. Τι συνέβη λοιπόν με τα λύτρα του Colonial Pipeline;

Ντμίτρι Σμιλιάνετς έχει μια πολύ καλή ιδέα. Αναλυτής πληροφοριών απειλών στην εταιρεία κυβερνοασφάλειας Record Future, ο Smilyanets είναι ειδικός σε ransomware και κρυπτονομίσματα και είπε Αποκρυπτογράφηση πιστεύει ότι οι απατεώνες του αγωγού είναι απλοί ερασιτέχνες που διεξήγαγαν μια επιχείρηση franchise υπό τους πραγματικούς εγκέφαλους.

Τα στοιχεία που λέει είναι ότι το Υπουργείο Δικαιοσύνης ανέκτησε μόνο 63.7 από τα 75 Bitcoin που πληρώθηκαν ως λύτρα. Τα 11.3 Bitcoins που λείπουν ανέρχονται στο 15% των λύτρων—ένα ποσοστό που είναι η συνήθης προμήθεια για τη χρήση του ransomware, το οποίο δημιουργείται από μια σκιώδη ομάδα που ονομάζεται DarkSide. Η ομάδα νοικιάζει τα εργαλεία της σε άλλους χάκερ που τα έχουν χρησιμοποιήσει για εκβιασμό περισσότερα από $ 90 εκατομμύρια συνολικά.

Το αποτέλεσμα είναι ότι το μη ανακτημένο μέρος των λύτρων του αγωγού πήγε σε ένα πορτοφόλι που ελέγχεται από το DarkSide, το οποίο το Υπουργείο Δικαιοσύνης δεν μπόρεσε να πάρει στα χέρια του. Αυτό, φυσικά, δεν εξηγεί πώς οι ομοσπονδιακοί — ποιοι λένε «δεν θέλουν να εγκαταλείψουν το επάγγελμά μας» - άρπαξαν τα υπόλοιπα.

Η απάντηση, λέει ο Smilyanets, είναι ότι οι ερασιτέχνες έκαναν ένα βασικό λάθος στην σκληρή κωδικοποίηση του ιδιωτικού κλειδιού στο πορτοφόλι τους Bitcoin στο μεγαλύτερο πακέτο ransomware που ανέπτυξαν. Έκαναν ένα άλλο λάθος, λέει, όταν νοίκιασαν έναν διακομιστή στις Ηνωμένες Πολιτείες που διευθύνεται από έναν πάροχο cloud που ονομάζεται Digital Ocean.

Οι απατεώνες του ransomware νοίκιασαν αυτόν τον διακομιστή, λέει ο Smilyanets, προκειμένου να επιταχύνουν τη διαδικασία διείσδυσης των δεδομένων που έκλεψαν από τον χειριστή του αγωγού σε άλλη χώρα. Ο όγκος των δεδομένων είναι τεράστιος, επομένως η χρήση ενός μεσάζοντα όπως η Digital Ocean για την προσωρινή αποθήκευση και αναμετάδοση των δεδομένων στο εξωτερικό καθιστά τη λειτουργία ransomware πιο αποτελεσματική.

Όμως, όπως εξήγησε ο Smilyanets, φαίνεται ότι οι απατεώνες περιέλαβαν επίσης το ιδιωτικό κλειδί στο πορτοφόλι τους Bitcoin ανάμεσα στα άλλα δεδομένα που διοχέτευαν στο Digital Ocean.

Ο σχεδιασμός του συστήματος κρυπτογράφησης του Bitcoin διευκολύνει την αποκρυπτογράφηση του δημόσιου κλειδιού ενός πορτοφολιού Bitcoin, εάν γνωρίζετε το ιδιωτικό (αν και όχι το αντίστροφο). Εάν το Υπουργείο Δικαιοσύνης αποκτούσε τόσο το ιδιωτικό όσο και το δημόσιο κλειδί, θα ήταν εύκολο να κατασχεθεί το Bitcoin - ληστεύοντας ουσιαστικά τους χάκερ που είχαν εκβιάσει τον χειριστή του αγωγού.

Ο Smilyanets λέει ότι όλα αυτά δείχνουν μια ατημέλητη επιχείρηση από τους χάκερ, τους οποίους υποπτεύεται ότι είναι νεαροί άνδρες που, μεθυσμένοι από την επιτυχία του σχεδίου εκβιασμού τους, έσυραν τα πόδια τους για να κλείσουν τον διακομιστή και να μεταφέρουν το Bitcoin σε μια ασφαλή τοποθεσία.

Εν τω μεταξύ, ο Smilyanets λέει ότι η σοβαρότητα της επίθεσης στον αγωγό προκάλεσε μια ασυνήθιστα γρήγορη και αποτελεσματική απάντηση από το Υπουργείο Δικαιοσύνης και άλλους.

«Περιλάμβανε ταχεία συνεργασία μεταξύ των υπηρεσιών επιβολής του νόμου και των ιδιωτικών εταιρειών πληροφοριών και δεδομένων απειλών», είπε.

Όλα αυτά υποδηλώνουν ότι οι δράστες του ransomware ήταν ατημέλητοι αλλά και άτυχοι να αποχωρήσουν από την κάπαρη του αγωγού σε μια εποχή νέων αντίμετρων από τις αρχές επιβολής του νόμου των ΗΠΑ—αντίμετρα που περιλαμβάνουν την ίδρυση μιας νέας Task Force Ransomware και Digital Extortion.

Υπάρχουν και άλλες θεωρίες, φυσικά, σχετικά με τον τρόπο με τον οποίο οι αρχές επιβολής του νόμου των ΗΠΑ ανέκτησαν τα περισσότερα από τα Bitcoin που πλήρωσε η Colonial Pipeline. Μια πιθανότητα, που επιπλέει από το Φορές, είναι ότι οι ομοσπονδίες φύτεψαν έναν άνθρωπο κατάσκοπο μέσα στο δίκτυο DarkSide και χάκαραν τους υπολογιστές του—αλλά αυτό φαίνεται απίθανο δεδομένου ότι το DarkSide εξακολουθούσε να έχει περικοπεί κατά 15% και ότι ο κατάσκοπος δεν προειδοποίησε εξαρχής την Colonial Pipeline. Εν τω μεταξύ, ορισμένοι πρότειναν ότι η κυβέρνηση των ΗΠΑ είχε κατασχέσει τα λύτρα σπάζοντας την κρυπτογράφηση του Bitcoin - μια πρόταση που είναι σαφώς λανθασμένη, αλλά παρόλα αυτά προκάλεσε την πτώση της τιμής του Bitcoin. Έχει από τότε ανακτηθεί.

Προς το παρόν, η θεωρία του Smilyanets - ότι οι χάκερ του αγωγού ήταν ερασιτέχνες που έγιναν απρόσεκτοι αφήνοντας ένα ιδιωτικό κλειδί όπου θα μπορούσε να βρεθεί σε έναν διακομιστή των ΗΠΑ - είναι η ισχυρότερη. Και η ισχυρότερη θεωρία είναι συνήθως η σωστή.

Πηγή: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory