Hoe hebben de FBI de Bitcoin van de Pipeline Hackers gekregen? Hier is de beste theorie

Het Amerikaanse ministerie van Justitie behaalde deze week een zeldzame overwinning op ransomware-criminelen, herstellende meeste Bitcoin de boeven afgeperst na een spraakmakende aanval op de koloniale pijpleiding.

Aangezien de New York Times verhaalde, de overwinning van de FBI op de hackers laat zien hoe Bitcoin kan worden getraceerd op zijn publiek blockchain netwerk - een feit dat bekend is bij degenen die thuis zijn in crypto, maar minder bij het grote publiek. Maar wat de Times en anderen hebben niet uitgelegd hoe het ministerie van Justitie in de eerste plaats de Bitcoin in handen kreeg.

Het mysterie is vooral raadselachtig omdat de aanval van de ransomware-bende zo geavanceerd was om de energievoorziening van de oostkust te verlammen. Als de bende kon trekken dat off, hoe kunnen ze zo dom zijn om het losgeld van Bitcoin in een digitale versie te zetten? portemonnee die binnen het bereik van de Amerikaanse wetshandhaving lagen?

Bij een typische ransomware-aanval kunnen de slachtoffers de Bitcoin niet herstellen omdat de daders en hun portemonnee zich in het buitenland bevinden. Natuurlijk is het mogelijk om de betalingen op de openbare blockchain te traceren. Maar de oplichters slaan de Bitcoins meestal in zogenaamde mixers - diensten die de Bitcoins vermengen met andere fondsen of ze omzetten in andere cryptocurrencies - en ze verspreiden in andere portefeuilles, waardoor het geld bijna onmogelijk te grijpen is. Dus wat gebeurde er met het losgeld van de koloniale pijpleiding?

Dmitri Smilyanets heeft een heel goed idee. Smilyanets, een analist voor bedreigingsinformatie bij het cyberbeveiligingsbedrijf Record Future, is een expert in ransomware en cryptocurrency, en vertelde: decoderen hij gelooft dat de pijplijnboeven slechts amateurs zijn die een franchise-operatie leidden onder de echte meesterbreinen.

Het bewijs dat hij zegt, is dat het ministerie van Justitie slechts 63.7 van de 75 Bitcoins heeft teruggekregen die als losgeld zijn betaald. De ontbrekende 11.3 Bitcoins bedragen 15% van het losgeld - een cijfer dat de gebruikelijke commissie is om de ransomware te gebruiken, die wordt gemaakt door een schimmige groep genaamd DarkSide. De groep verhuurt zijn tools aan andere hackers die ze hebben gebruikt om af te persen meer dan $ 90 miljoen in totaal.

Het resultaat is dat het niet-teruggevonden deel van het losgeld van de pijplijn naar een portemonnee ging die werd beheerd door DarkSide, die het ministerie van Justitie niet in handen kon krijgen. Dat verklaart natuurlijk niet hoe de FBI – wie? ervaren ze "willen ons ambacht niet opgeven" - namen de rest ervan in beslag.

Het antwoord, zegt Smilyanets, is dat de amateurs een belangrijke fout hebben gemaakt door de privésleutel van hun Bitcoin-portemonnee hard te coderen in het grotere ransomware-pakket dat ze hebben ingezet. Ze maakten nog een fout, zegt hij, toen ze een server huurden in de Verenigde Staten die gerund werd door een cloudprovider genaamd Digital Ocean.

De ransomwareboeven huurden die server, zegt Smilyanets, om het proces van het exfiltreren van de gegevens die ze van de pijpleidingbeheerder hebben gestolen, naar een ander land te versnellen. De hoeveelheid gegevens is enorm, dus het gebruik van een tussenpersoon zoals Digital Ocean om de gegevens tijdelijk op te slaan en naar het buitenland door te sturen, maakt de ransomware-operatie efficiënter.

Maar zoals Smilyanets uitlegde, lijkt het erop dat de boeven ook de privésleutel van hun Bitcoin-portemonnee hebben opgenomen te midden van de andere gegevens die ze naar Digital Ocean hebben doorgesluisd.

Het ontwerp van het coderingssysteem van Bitcoin maakt het gemakkelijk om de openbare sleutel van een Bitcoin-portemonnee te ontcijferen als u de privé-portemonnee kent (maar niet andersom). Als het ministerie van Justitie zowel de privé- als de openbare sleutels had verkregen, zou het gemakkelijk zijn geweest om de Bitcoin in beslag te nemen - en daarmee de hackers te beroven die de pijpleidingbeheerder hadden afgeperst.

Smilyanets zegt dat dit alles wijst op een slordige operatie van de hackers, waarvan hij vermoedt dat het jonge mannen zijn die, dronken van het succes van hun afpersingsplan, hun voeten sleepten om de server te sluiten en de Bitcoin naar een veilige locatie te verplaatsen.

Ondertussen zegt Smilyanets dat de ernst van de pijpleidingaanval een ongewoon snelle en efficiënte reactie van het ministerie van Justitie en anderen teweegbracht.

"Het ging om een ​​snelle samenwerking tussen wetshandhavers en particuliere bedrijven voor bedreigingsinformatie en gegevens", zei hij.

Dit alles suggereert dat de daders van de ransomware slordig waren, maar ook pech hadden om de pijplijnkapper af te werken in een tijd van nieuwe tegenmaatregelen door de Amerikaanse wetshandhavers – tegenmaatregelen zoals het oprichten van een nieuwe Ransomware en Digital Extortion Task Force.

Er zijn natuurlijk andere theorieën over hoe de Amerikaanse wetshandhavers de meeste door Colonial Pipeline betaalde Bitcoins hebben teruggekregen. Een mogelijkheid, gedreven door de Times, is dat de FBI een menselijke spion in het DarkSide-netwerk heeft geplant en de computers heeft gehackt - maar dit lijkt onwaarschijnlijk aangezien DarkSide nog steeds 15% korting kreeg en de spion Colonial Pipeline in de eerste plaats niet waarschuwde. Ondertussen suggereerden sommigen dat de Amerikaanse regering het losgeld had gegrepen door de codering van Bitcoin te doorbreken - een suggestie die duidelijk verkeerd is, maar die er niettemin voor zorgde dat de prijs van Bitcoin crashte. Het is sindsdien hersteld.

Voorlopig is de theorie van Smilyanets - dat de pijplijnhackers amateurs waren die slordig werden door een privésleutel achter te laten waar deze op een Amerikaanse server te vinden was - de sterkste. En de sterkste theorie is meestal de juiste.

Bron: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory