Cum au obținut Federații Bitcoin pentru hackerii de conducte? Iată cea mai bună teorie

Departamentul de Justiție al SUA a obținut o victorie rară împotriva criminalilor ransomware în această săptămână, recuperare Cele mai multe dintre Bitcoin escrocii smulse în urma unui atac de înaltă calitate asupra Colonial Pipeline.

Ca New York Times a relatat, victoria federaților împotriva hackerilor arată cum Bitcoin poate fi urmărit de publicul său blockchain rețea - un fapt binecunoscut celor cu experiență în cripto, dar mai puțin publicului larg. Dar ce Times iar alții nu au explicat este doar modul în care Departamentul de Justiție a pus mâna pe Bitcoin în primul rând.

Misterul este deosebit de nedumeritor, deoarece atacul bandei de răscumpărare a fost suficient de sofisticat pentru a paraliza aprovizionarea cu energie a coastei de est. Dacă banda ar putea trage acea off, cum ar putea fi atât de stupizi încât să plaseze răscumpărarea Bitcoin într-un digital portofel care se afla la îndemâna forțelor de ordine din SUA?

Într-un atac tipic ransomware, victimele nu pot recupera Bitcoin, deoarece autorii și portofelul lor sunt localizați în străinătate. Sigur, este posibil să urmăriți plățile pe blockchain-ul public. Dar escrocii, de obicei, duc Bitcoins în așa-numitele mixere - servicii care amestecă Bitcoins cu alte fonduri sau le convertesc în alte criptomonede - și le împrăștie în alte portofele, făcând fondurile aproape imposibil de confiscat. Deci, ce s-a întâmplat cu răscumpărarea Colonial Pipeline?

Dmitri Smilyanets are o idee destul de bună. Analist de informații privind amenințările de la firma de securitate cibernetică Record Future, Smilyanets este expert în ransomware și criptomonede și a spus decriptaţi el crede că escrocii de conducte sunt simpli amatori care au condus o operațiune de franciză sub autorii adevărați.

Dovezile pe care le spune este că Departamentul de Justiție a recuperat doar 63.7 din cele 75 de Bitcoins plătiți în răscumpărare. 11.3 Bitcoins lipsă se ridică la 15% din răscumpărare - o cifră care reprezintă comisionul obișnuit pentru utilizarea ransomware-ului, realizat de un grup întunecat numit DarkSide. Grupul închiriază instrumentele sale altor hackeri care le-au folosit pentru a extorca mai mult de $ 90 milioane in total.

Rezultatul este că porțiunea nerecuperată a răscumpărării conductei s-a dus la un portofel controlat de DarkSide, pe care Departamentul de Justiție nu a putut pune mâna pe el. Asta, desigur, nu explică modul în care federalii - cine Spune ei „nu vor să renunțe la tradecraft-ul nostru” - au profitat de restul.

Răspunsul, spune Smilyanets, este că amatorii au comis o greșeală cheie în codificarea dură a cheii private a portofelului Bitcoin în pachetul mai mare de ransomware pe care l-au implementat. Au mai făcut o greșeală, spune el, când au închiriat un server în Statele Unite condus de un furnizor de cloud numit Digital Ocean.

Trușii ransomware au închiriat acel server, spune Smilyanets, pentru a accelera procesul de exfiltrare a datelor pe care le-au furat de la operatorul de conducte în altă țară. Cantitatea de date este vastă, astfel încât utilizarea unui intermediar precum Digital Ocean pentru a stoca și retransmite temporar datele în străinătate face ca operațiunea de ransomware să fie mai eficientă.

Dar, așa cum a explicat Smilyanets, se pare că escrocii au inclus și cheia privată a portofelului Bitcoin în mijlocul celorlalte date pe care le-au trimis către Digital Ocean.

Proiectarea sistemului de criptare Bitcoin facilitează descifrarea cheii publice a unui portofel Bitcoin dacă îl cunoașteți pe cel privat (deși nu invers). Dacă Departamentul de Justiție ar fi obținut atât cheile private, cât și cele publice, ar fi fost ușor să confiscăm Bitcoin - jefuind în mod eficient hackerii care îl extorcaseră pe operatorul de conducte.

Smilyanets spune că toate acestea indică o operațiune neglijentă a hackerilor, despre care suspectează că sunt tineri care, beți de succesul planului lor de extorcare, și-au târât picioarele închizând serverul și mutând Bitcoin într-o locație sigură.

Între timp, Smilyanets spune că severitatea atacului prin conductă a declanșat un răspuns neobișnuit de rapid și eficient din partea Departamentului de Justiție și a altor persoane.

„A implicat o cooperare rapidă între forțele de ordine și companiile private de informații și amenințări private”, a spus el.

Toate acestea sugerează că autorii ransomware-ului au fost neglijent, dar au avut și ghinionul de a scoate caperul conductei într-un moment de noi contramăsuri de către forțele de ordine din SUA - contramăsuri care includ înființarea unui nou grup de lucru Ransomware și extorsiune digitală.

Desigur, există și alte teorii despre modul în care forțele de ordine din SUA au recuperat majoritatea Bitcoin-urilor plătite de Colonial Pipeline. O posibilitate, plutită de Times, este că federalii au plantat un spion uman în rețeaua DarkSide și i-au spart computerele - dar acest lucru pare puțin probabil, având în vedere că DarkSide a primit încă o reducere de 15% și că spionul nu a avertizat Colonial Pipeline în primul rând. Între timp, unii au sugerat că guvernul SUA a confiscat răscumpărarea prin încălcarea criptării Bitcoin - o sugestie care este în mod clar greșită, dar care a cauzat totuși căderea prețului Bitcoin. De atunci recuperate.

Deocamdată, teoria lui Smilyanets - conform căreia hackerii de conducte erau amatori care au devenit neplăciți lăsând o cheie privată unde ar putea fi găsită pe un server din SUA - este cea mai puternică. Iar cea mai puternică teorie este de obicei cea corectă.

Sursa: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory