Hvordan fikk Feds Pipeline Hackers 'Bitcoin? Her er den beste teorien

Det amerikanske justisdepartementet fikk en sjelden seier mot kriminelle mot løsepenger denne uken, utvinne det meste av Bitcoin skurkene utpresset etter et høyt profilert angrep på Colonial Pipeline.

Som New York Times fortalteviser feds seier mot hackerne hvordan Bitcoin kan spores på publikum blockchain nettverk - et faktum som er kjent for de som er kjent med krypto, men i mindre grad for allmennheten. Men hva Ganger og andre ikke forklarte, er bare hvordan justisdepartementet i første omgang fikk tak i Bitcoin.

Mysteriet er spesielt forvirrende siden ransomware-gjengens angrep var sofistikert nok til å ødelegge østkystens energiforsyning. Hvis gjengen kunne trekke Det av, hvordan kunne de være så dumme at de satte Bitcoin-løsepenger i et digitalt lommebok som ligger innenfor rekkevidde for amerikansk rettshåndhevelse?

I et typisk ransomware-angrep kan ofrene ikke gjenopprette Bitcoin fordi gjerningsmennene og lommeboken deres befinner seg i utlandet. Visst, det er mulig å spore betalingene på den offentlige blockchain. Men skurkerne pisker vanligvis Bitcoins inn i såkalte miksere - tjenester som blander Bitcoins med andre fond eller konverterer dem til andre kryptovalutaer - og spre dem i andre lommebøker, noe som gjør midlene nesten umulige å gripe. Så hva skjedde med løsepenger fra Colonial Pipeline?

Dmitry Smilyanets har en ganske god idé. En trusselinformasjonsanalytiker hos cybersecurityfirmaet Record Future, Smilyanets er ekspert på ransomware og kryptovaluta, og fortalte dekryptere han mener rørledningsskurkerne bare er amatører som drev en franchiseoperasjon under de virkelige hjernen.

Bevisene han sier er at justisdepartementet bare gjenopprettet 63.7 av de 75 Bitcoins som ble betalt i løsepenger. De manglende 11.3 Bitcoins utgjør 15% av løsepenger - et tall som er vanlig kommisjon for å bruke løsepenger, som er laget av en skyggefull gruppe kalt DarkSide. Gruppen leier ut verktøyene sine til andre hackere som har brukt dem til å presse ut mer enn $ 90 millioner totalt.

Resultatet er at den gjenopprettede delen av løsningen på rørledningen gikk til en lommebok kontrollert av DarkSide, som justisdepartementet ikke kunne få tak i. Det forklarer selvfølgelig ikke hvordan feds-hvem sier de "ønsker ikke å gi opp håndverket vårt" - benyttet resten av det.

Svaret, sier Smilyanets, er at amatørene gjorde en nøkkelfeil når de kodet den private nøkkelen til Bitcoin-lommeboken deres hardt inn i den større ransomwarepakken de distribuerte. De gjorde en annen feil, sier han, da de leide en server i USA drevet av en skyleverandør som heter Digital Ocean.

Ransomwareskurkerne leide den serveren, sier Smilyanets, for å få fortgang i prosessen med å exfiltrere dataene de stjal fra ledningsoperatøren til et annet land. Mengden data er enorm, så bruk av en mellommann som Digital Ocean for å midlertidig lagre og videreformidle dataene utenlands gjør ransomware-operasjonen mer effektiv.

Men som Smilyanets forklarte, ser det ut til at kjeltringene også inkluderte den private nøkkelen til Bitcoin-lommeboken deres blant de andre dataene de sendte til Digital Ocean.

Utformingen av Bitcoins krypteringssystem gjør det enkelt å tyde den offentlige nøkkelen til en Bitcoin-lommebok hvis du kjenner den private (men ikke omvendt). Hvis justisdepartementet skaffet seg både de private og offentlige nøklene, ville det vært lett å ta tak i Bitcoin - effektivt rane hackerne som hadde presset ut rørledningsoperatøren.

Smilyanets sier at alt dette peker på en slurvet operasjon fra hackerne, som han mistenker er unge menn som, beruset av suksessen til sin utpressingsplan, trakk føttene for å stenge serveren og flytte Bitcoin til et trygt sted.

I mellomtiden sier Smilyanets at alvorlighetsgraden av rørledningsangrepet utløste en uvanlig rask og effektiv respons fra justisdepartementet og andre.

"Det innebar raskt samarbeid mellom politimyndigheter og private trusler og etterretningsselskaper," sa han.

Alt dette antyder at ransomware-gjerningsmennene var slurvete, men også uheldig å trekke av rørledningen i en tid med nye mottiltak fra amerikansk politi - mottiltak som inkluderer å stå opp en ny Ransomware og Digital Extortion Task Force.

Det er selvfølgelig andre teorier om hvordan amerikansk rettshåndhevelse gjenopprettet de fleste Bitcoins betalt av Colonial Pipeline. En mulighet, svevet av Ganger, er at feds plantet en menneskelig spion inne i DarkSide-nettverket og hacket datamaskinene sine - men dette virker usannsynlig gitt at DarkSide fremdeles fikk sitt kutt på 15% og at spionen ikke advarte Colonial Pipeline i utgangspunktet. I mellomtiden foreslo noen at den amerikanske regjeringen hadde grepet løsepengen ved å bryte Bitcoins kryptering - et forslag som helt klart er galt, men som likevel fikk prisen på Bitcoin til å krasje. Det har den siden gjenvunnet.

Foreløpig er Smilyanets teori - om at rørledningshackerne var amatører som ble slurvete ved å legge igjen en privat nøkkel der den kunne bli funnet på en amerikansk server - den sterkeste. Og den sterkeste teorien er vanligvis den riktige.

Kilde: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory