Jak federalni zdobyli bitcoiny hakerów rurociągu? Oto najlepsza teoria

Departament Sprawiedliwości Stanów Zjednoczonych odniósł w tym tygodniu rzadkie zwycięstwo nad przestępcami wykorzystującymi oprogramowanie ransomware, odzyskiwanie Większość Bitcoin oszustów wymuszony po głośnym ataku na Colonial Pipeline.

Jak New York Times opowiadane, zwycięstwo federalnych nad hakerami pokazuje, w jaki sposób Bitcoin można wyśledzić w społeczeństwie blockchain network — fakt dobrze znany osobom znającym się na kryptografii, ale w mniejszym stopniu ogółowi społeczeństwa. Ale co Czasy a inni nie wyjaśnili, w jaki sposób Departament Sprawiedliwości w ogóle dostał się w ręce Bitcoina.

Tajemnica jest szczególnie zagadkowa, ponieważ atak gangu ransomware był na tyle wyrafinowany, że sparaliżował dostawy energii na wschodnim wybrzeżu. Gdyby gang mógł pociągnąć że off, jak mogli być tak głupi, aby umieścić okup Bitcoin w wersji cyfrowej portfel które leżały w zasięgu amerykańskich organów ścigania?

W typowym ataku ransomware ofiary nie mogą odzyskać Bitcoinów, ponieważ sprawcy i ich portfel znajdują się za granicą. Jasne, możliwe jest śledzenie płatności w publicznym blockchainie. Jednak oszuści zazwyczaj przesyłają Bitcoiny do tak zwanych mikserów – usług, które łączą Bitcoiny z innymi funduszami lub konwertują je na inne kryptowaluty – i rozprowadzają je do innych portfeli, sprawiając, że przejęcie środków jest prawie niemożliwe. Co więc stało się z okupem za Colonial Pipeline?

Dmitrij Smilyanets ma całkiem niezły pomysł. Smilyanets, analityk zagrożeń w firmie zajmującej się bezpieczeństwem cybernetycznym Record Future, jest ekspertem w dziedzinie oprogramowania ransomware i kryptowalut. Odszyfruj wierzy, że oszuści zajmujący się rurociągami to zwykli amatorzy, którzy prowadzili działalność franczyzową pod okiem prawdziwych geniuszy.

Dowody, które twierdzi, są takie, że Departament Sprawiedliwości odzyskał jedynie 63.7 z 75 Bitcoinów zapłaconych w ramach okupu. Brakujące 11.3 Bitcoinów stanowi 15% okupu – jest to zwykła prowizja za korzystanie z oprogramowania ransomware, pobierana przez tajemniczą grupę o nazwie DarkSide. Grupa wynajmuje swoje narzędzia innym hakerom, którzy używali ich do wyłudzeń ponad X XUM $ milionów razem.

W efekcie nieodzyskana część okupu z rurociągu trafiła do portfela kontrolowanego przez DarkSide, do którego Departament Sprawiedliwości nie mógł dotrzeć. To oczywiście nie wyjaśnia, w jaki sposób federalni – kto powiedzieć „nie chcą porzucić naszego rzemiosła” – zajęli resztę.

Odpowiedź, jak mówi Smilyanets, jest taka, że ​​amatorzy popełnili kluczowy błąd, zakodowując na stałe klucz prywatny do swojego portfela Bitcoin w większym wdrożonym pakiecie oprogramowania ransomware. Mówi, że popełnili kolejny błąd, wynajmując serwer w Stanach Zjednoczonych prowadzony przez dostawcę usług w chmurze o nazwie Digital Ocean.

Smilyanets twierdzi, że oszuści korzystający z oprogramowania ransomware wynajęli ten serwer, aby przyspieszyć proces wydobywania danych, które ukradli operatorowi rurociągu do innego kraju. Ilość danych jest ogromna, więc korzystanie z pośrednika takiego jak Digital Ocean w celu tymczasowego przechowywania i przekazywania danych za granicę sprawia, że ​​działanie oprogramowania ransomware jest bardziej wydajne.

Jednak, jak wyjaśnił Smilyanets, wygląda na to, że oszuści umieścili także klucz prywatny do swojego portfela Bitcoin wśród innych danych, które przesłali do Digital Ocean.

Konstrukcja systemu szyfrowania Bitcoin ułatwia odszyfrowanie klucza publicznego portfela Bitcoin, jeśli znasz klucz prywatny (choć nie odwrotnie). Gdyby Departament Sprawiedliwości uzyskał zarówno klucze prywatny, jak i publiczny, przejęcie Bitcoina byłoby łatwe, skutecznie okradając hakerów, którzy wyłudzili pieniądze od operatora rurociągu.

Smilyanets twierdzi, że wszystko to wskazuje na niechlujną operację hakerów, którzy, jak podejrzewa, to młodzi mężczyźni, którzy pijani sukcesem swojego planu wymuszenia, ociągali się z zamknięciem serwera i przeniesieniem Bitcoina w bezpieczne miejsce.

Tymczasem Smilyanets twierdzi, że powaga ataku na rurociąg spowodowała niezwykle szybką i skuteczną reakcję Departamentu Sprawiedliwości i innych osób.

„Wiązało się to z szybką współpracą między organami ścigania a prywatnymi firmami zajmującymi się zbieraniem informacji o zagrożeniach i danymi” – powiedział.

Wszystko to sugeruje, że sprawcy oprogramowania ransomware dopuścili się zaniedbania, ale też mieli pecha, że ​​dokonali przestępstwa w czasie, gdy amerykańskie organy ścigania podejmowały nowe środki zaradcze — środki zaradcze, które obejmują powołanie nowej grupy zadaniowej ds. oprogramowania ransomware i wymuszenia cyfrowego.

Istnieją oczywiście inne teorie na temat tego, jak amerykańskie organy ścigania odzyskały większość Bitcoinów zapłaconych przez Colonial Pipeline. Jedna możliwość, pływająca przez Czasy, jest to, że federalni umieścili ludzkiego szpiega w sieci DarkSide i włamali się do jej komputerów – ale wydaje się to mało prawdopodobne, biorąc pod uwagę, że DarkSide nadal otrzymało 15% obniżkę i że szpieg w ogóle nie ostrzegł Colonial Pipeline. Tymczasem niektórzy sugerowali, że rząd USA przejął okup, łamiąc szyfrowanie Bitcoina – sugestia, która jest oczywiście błędna, ale mimo to spowodowała załamanie ceny Bitcoina. Od tego czasu odzyskany.

Na razie teoria Smilyanetsa – mówiąca, że ​​hakerzy rurociągu byli amatorami, którzy zaniedbali się, zostawiając klucz prywatny tam, gdzie można go znaleźć na serwerze w USA – jest najsilniejsza. A najsilniejsza teoria jest zazwyczaj prawdziwa.

Źródło: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory