Hogyan szerezték meg a Fed-ek a csővezetékes hackerek bitcoinját? Itt a legjobb elmélet

Az Egyesült Államok Igazságügyi Minisztériuma ritka győzelmet aratott a ransomware bűnözők ellen ezen a héten, visszanyerésére a legtöbb Bitcoin a szélhámosok kikényszerített a Colonial Pipeline elleni nagy horderejű támadást követően.

Mivel az New York Times beszámolt, a szövetségek győzelme a hackerek ellen megmutatja, hogyan lehet nyomon követni a Bitcoint a nyilvánosságán blockchain hálózat - a kriptóban jártasak számára jól ismert tény, de a nagyközönség számára kevésbé. De mi a Times mások pedig nem magyarázták, csak azt, hogy az Igazságügyi Minisztérium miként került a kezébe a Bitcoin.

A rejtély különösen rejtélyes, mivel a ransomware banda támadása elég kifinomult volt ahhoz, hogy megbénítsa a keleti part energiaellátását. Ha a banda tudna húzni hogy ki, hogyan lehetnének olyan hülyék, hogy a Bitcoin váltságdíját egy digitálisba tegyék pénztárca hogy az amerikai bűnüldöző szervek számára elérhető?

Egy tipikus ransomware-támadás során az áldozatok nem tudják visszaszerezni a Bitcoin-ot, mert az elkövetők és pénztárcájuk a tengerentúlon található. Persze, a nyilvános blokkláncon is nyomon lehet követni a fizetéseket. De a csalók általában úgy keverik össze a Bitcoins-t, hogy úgynevezett keverőkké válnak - olyan szolgáltatások, amelyek a Bitcoine-kat más alapokkal keverik össze, vagy más kriptovalutákká konvertálják -, és szétszórják őket más pénztárcákba, így a pénzeszközöket csak lehetetlen lesz kihasználni. Tehát mi történt a gyarmati csővezeték váltságdíjával?

Dmitrij Smilyanets nagyon jó ötlete van. A Record Future, Smilyanets kiberbiztonsági cég fenyegetésekkel foglalkozó elemzője a ransomware és a kriptovaluta szakértője. visszafejtése úgy véli, hogy a csaló szélhámosok csupán amatőrök, akik a valódi ötletgazda alatt folytattak franchise-műveletet.

A bizonyítékok szerint az igazságügyi minisztérium a váltságdíjban kifizetett 63.7 bitcoinból csak 75-et kapott vissza. A hiányzó 11.3 Bitcoin a váltságdíj 15%-át teszi ki – ez a szám a szokásos jutalék a ransomware használatáért, amelyet a DarkSide nevű árnyékos csoport készít. A csoport bérbe adja eszközeit más hackereknek, akik zsarolásra használták őket több mint $ 90 millió összesen.

A végeredmény az, hogy a csővezeték váltságdíjának vissza nem gyűjtött része a DarkSide által ellenőrzött pénztárcához került, amelyre az Igazságügyi Minisztérium nem tudott rátenni. Ez persze nem magyarázza meg, hogy a szövetségiek – kik azt mondják „nem akarnak feladni a mesterségünket” – megragadták a többit.

A válasz - mondja Smilyanets - az, hogy az amatőrök kulcs hibát követtek el, amikor keményen kódolták a Bitcoin pénztárcájuk privát kulcsát az általuk telepített nagyobb ransomware csomagba. Újabb hibát követett el, mondja, amikor az Egyesült Államokban béreltek egy szervert, amelyet a Digital Ocean nevű felhőszolgáltató üzemeltetett.

A ransomware szélhámosai bérelték ezt a szervert - mondja Smilyanets - annak érdekében, hogy felgyorsítsák a csővezeték-üzemeltetőtől egy másik országba eltulajdonított adatok kiszűrését. Az adatmennyiség hatalmas, ezért egy olyan közvetítő használata, mint a Digital Ocean, az adatok ideiglenes tárolásához és külföldön történő továbbításához hatékonyabbá teszi a ransomware működését.

De ahogy Smilyanets elmagyarázta, úgy tűnik, hogy a bűnözők a Bitcoin-pénztárcájuk magánkulcsát is magukban foglalták a Digitális-óceán felé átvitt egyéb adatok között.

A Bitcoin titkosítási rendszerének megtervezése megkönnyíti a Bitcoin pénztárca nyilvános kulcsának megfejtését, ha ismeri a privátot (bár nem fordítva). Ha az Igazságügyi Minisztérium megszerezte mind a magán-, mind a nyilvános kulcsokat, akkor könnyű lett volna megragadni a Bitcoint - hatékonyan kirabolták azokat a hackereket, akik megcsalták a vezeték üzemeltetőjét.

Smilyanets szerint mindez a hackerek hanyag műveletére utal, akiket fiatal férfiaknak gyanít, akik zsarolási tervük sikerétől részegen megrángatták a szervert, és biztonságos helyre költöztették a Bitcoint.

Eközben Smilyanets szerint a csővezeték-támadás súlyossága szokatlanul gyors és hatékony választ váltott ki az Igazságügyi Minisztérium és mások részéről.

"Ez gyors együttműködést jelentett a bűnüldöző szervek és a magán fenyegetésekkel foglalkozó hírszerző és adatcégek között" - mondta.

Mindez azt sugallja, hogy a ransomware elkövetői hanyagak voltak, de nem szerencsések, amikor az amerikai rendfenntartó szervek új ellenintézkedéseinek idején lehúzták a csővezeték kaparóját - olyan ellenintézkedéseket, amelyek magukban foglalják az új Ransomware és Digitális Zsarolás Munkacsoport felállását.

Vannak más elméletek is arról, hogy az amerikai bűnüldöző szervek miként hozták vissza a Colonial Pipeline által fizetett bitcoinok nagy részét. Az egyik lehetőség, amelyet a Times, az az, hogy a szövetségek emberi kémet telepítettek a DarkSide hálózatba, és feltörték annak számítógépeit – de ez valószínűtlennek tűnik, tekintve, hogy a DarkSide még mindig elérte a 15%-ot, és hogy a kém eleve nem figyelmeztette a Colonial Pipeline-t. Eközben egyesek azt sugalmazták, hogy az Egyesült Államok kormánya a Bitcoin titkosításának feltörésével ragadta meg a váltságdíjat – ez a javaslat egyértelműen téves, de ennek ellenére a Bitcoin árfolyama összeomlott. Azóta van gyógyult.

Egyelőre a legerősebb Smilyanets elmélete - miszerint a csővezeték-hackerek amatőrök voltak, akik hanyagak voltak azzal, hogy otthagytak egy magánkulcsot, ahol az megtalálható egy amerikai szerveren. És a legerősebb elmélet általában a helyes.

Forrás: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory