In che modo i federali hanno ottenuto i bitcoin degli hacker della pipeline? Ecco la migliore teoria

Questa settimana il Dipartimento di Giustizia degli Stati Uniti ha ottenuto una rara vittoria contro i criminali ransomware recupero la maggior parte del Bitcoin i truffatori estorto a seguito di un attacco di alto profilo al Colonial Pipeline.

Il New York Times raccontato, la vittoria dei federali contro gli hacker dimostra come Bitcoin possa essere rintracciato sul suo pubblico blockchain rete: un fatto ben noto a chi è esperto di criptovalute, ma meno al grande pubblico. Ma cosa di stima e altri non hanno spiegato è proprio come il Dipartimento di Giustizia abbia messo le mani sul Bitcoin.

Il mistero è particolarmente sconcertante dal momento che l'attacco del gruppo di ransomware è stato abbastanza sofisticato da paralizzare l'approvvigionamento energetico della costa orientale. Se la banda potesse tirare che fuori, come potrebbero essere così stupidi da mettere il riscatto Bitcoin in un formato digitale portafoglio che era alla portata delle forze dell’ordine statunitensi?

In un tipico attacco ransomware, le vittime non possono recuperare i Bitcoin perché gli aggressori e il loro portafoglio si trovano all'estero. Certo, è possibile tracciare i pagamenti sulla blockchain pubblica. Ma i truffatori di solito trasferiscono i Bitcoin nei cosiddetti mixer – servizi che fondono i Bitcoin con altri fondi o li convertono in altre criptovalute – e li disperdono in altri portafogli, rendendo i fondi quasi impossibili da sequestrare. Allora cosa è successo con il riscatto del Colonial Pipeline?

Dmitry Smilyanets ha una buona idea. Analista di threat intelligence presso la società di sicurezza informatica Record Future, Smilyanets è un esperto di ransomware e criptovaluta e ha detto decrypt crede che i truffatori dell'oleodotto siano semplici dilettanti che gestiscono un'operazione di franchising sotto le vere menti.

La prova, secondo lui, è che il Dipartimento di Giustizia ha recuperato solo 63.7 dei 75 Bitcoin pagati come riscatto. Gli 11.3 Bitcoin mancanti ammontano al 15% del riscatto, una cifra che corrisponde alla normale commissione per l'utilizzo del ransomware, creato da un gruppo oscuro chiamato DarkSide. Il gruppo affitta i suoi strumenti ad altri hacker che li hanno usati per estorcere denaro più di $ 90 milioni in totale.

Il risultato è che la parte non recuperata del riscatto è andata a finire in un portafoglio controllato da DarkSide, sul quale il Dipartimento di Giustizia non è riuscito a mettere le mani. Questo, ovviamente, non spiega come i federali... chi dire loro “non vogliono rinunciare alla nostra attività commerciale” – hanno sequestrato il resto.

La risposta, afferma Smilyanets, è che i dilettanti hanno commesso un errore fondamentale codificando la chiave privata del loro portafoglio Bitcoin nel pacchetto ransomware più grande che hanno distribuito. Hanno commesso un altro errore, dice, quando hanno affittato un server negli Stati Uniti gestito da un fornitore di servizi cloud chiamato Digital Ocean.

I truffatori del ransomware hanno affittato quel server, dice Smilyanets, per accelerare il processo di esfiltrazione dei dati rubati dall'operatore del gasdotto in un altro paese. La quantità di dati è enorme, quindi l’utilizzo di un intermediario come Digital Ocean per archiviare e trasmettere temporaneamente i dati all’estero rende l’operazione del ransomware più efficiente.

Ma come ha spiegato Smilyanets, sembra che i truffatori abbiano incluso anche la chiave privata del loro portafoglio Bitcoin tra gli altri dati che hanno incanalato verso Digital Ocean.

Il design del sistema di crittografia di Bitcoin rende facile decifrare la chiave pubblica di un portafoglio Bitcoin se conosci quella privata (ma non viceversa). Se il Dipartimento di Giustizia avesse ottenuto sia la chiave privata che quella pubblica, sarebbe stato facile sequestrare il Bitcoin, derubando di fatto gli hacker che avevano estorto denaro all’operatore dell’oleodotto.

Smilyanets afferma che tutto ciò indica un'operazione sciatta da parte degli hacker, che sospetta siano giovani che, ubriachi del successo del loro piano di estorsione, hanno trascinato i piedi nel chiudere il server e spostare i Bitcoin in un luogo sicuro.

Nel frattempo, Smilyanets afferma che la gravità dell’attacco all’oleodotto ha innescato una risposta insolitamente rapida ed efficiente da parte del Dipartimento di Giustizia e di altri.

“Ciò ha comportato una rapida cooperazione tra le forze dell’ordine e le società private di intelligence sulle minacce e di dati”, ha affermato.

Tutto ciò suggerisce che gli autori del ransomware sono stati negligenti ma anche sfortunati nel portare a termine l’operazione in un momento di nuove contromisure da parte delle forze dell’ordine statunitensi, contromisure che includono la creazione di una nuova task force contro ransomware ed estorsione digitale.

Esistono ovviamente altre teorie su come le forze dell’ordine statunitensi abbiano recuperato la maggior parte dei Bitcoin pagati da Colonial Pipeline. Una possibilità, lanciata dal di stima, è che i federali hanno piazzato una spia umana all'interno della rete DarkSide e ne hanno violato i computer, ma questo sembra improbabile dato che DarkSide ha comunque ottenuto una riduzione del 15% e che la spia non ha avvertito Colonial Pipeline in primo luogo. Nel frattempo, alcuni hanno suggerito che il governo degli Stati Uniti avesse sequestrato il riscatto violando la crittografia di Bitcoin: un suggerimento chiaramente sbagliato, ma che ha comunque causato il crollo del prezzo del Bitcoin. Da allora è così recuperato.

Per ora, la teoria di Smilyanets – secondo cui gli hacker del gasdotto erano dilettanti che hanno lasciato una chiave privata dove poteva essere trovata su un server americano – è la più forte. E la teoria più forte è solitamente quella corretta.

Fonte: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory