Как федералы получили биткойны трубопроводных хакеров? Вот лучшая теория

На этой неделе Министерство юстиции США одержало редкую победу над преступниками-вымогателями. Я выздоровела большинство Bitcoin мошенники вымогают после громкого нападения на Colonial Pipeline.

Как New York Times рассказал, победа федералов над хакерами показывает, как можно отследить биткойн в его публичных блокчейн сеть - факт, хорошо известный тем, кто разбирается в криптографии, но в меньшей степени широкой публике. Но что за раз а другие не объяснили, как Министерство юстиции вообще получило в свои руки биткойн.

Эта тайна особенно загадочна, поскольку атака банды вымогателей была достаточно изощренной, чтобы вывести из строя энергоснабжение восточного побережья. Если бы банда могла вытащить который прочь, как они могли быть такими тупыми, чтобы вложить выкуп в биткойнах в цифровой бумажник что находится в пределах досягаемости правоохранительных органов США?

В типичной атаке вымогателей жертвы не могут вернуть биткойн, потому что преступники и их кошелек находятся за границей. Конечно, можно отслеживать платежи в публичной цепочке блоков. Но мошенники обычно превращают биткойны в так называемые миксеры - сервисы, которые смешивают биткойны с другими фондами или конвертируют их в другие криптовалюты, - и распределяют их по другим кошелькам, делая средства практически невозможными для изъятия. Так что же случилось с выкупом за колониальный трубопровод?

Дмитрий Смилянец есть неплохая идея. Смилянец, аналитик по анализу угроз в компании по кибербезопасности Record Future, является экспертом в области программ-вымогателей и криптовалют. Decrypt он считает, что мошенники, работающие с трубопроводами, - просто любители, которые руководили франчайзингом под настоящими вдохновителями.

Доказательством, по его словам, является то, что Министерство юстиции вернуло только 63.7 из 75 биткойнов, уплаченных в качестве выкупа. Недостающие 11.3 биткойна составляют 15% от суммы выкупа - цифра, которая представляет собой обычную комиссию за использование программы-вымогателя, которую делает некая группа под названием DarkSide. Группа сдает свои инструменты в аренду другим хакерам, которые использовали их для вымогательства более $ 90 миллионов в итоге.

В результате невосстановленная часть выкупа за трубопровод перешла в кошелек, контролируемый DarkSide, который Министерство юстиции не могло получить в свои руки. Это, конечно, не объясняет, как федералы - кто сообщили они «не хотят отказываться от нашего ремесла» - захватили все остальное.

Ответ, по словам Смилянеца, заключается в том, что любители совершили ключевую ошибку, жестко закодировав закрытый ключ своего биткойн-кошелька в более крупный пакет вымогателя, который они развернули. По его словам, они совершили еще одну ошибку, когда арендовали сервер в США, принадлежащий облачному провайдеру Digital Ocean.

По словам Смилянеца, преступники-вымогатели арендовали этот сервер, чтобы ускорить процесс вывоза украденных данных у оператора трубопровода в другую страну. Объем данных огромен, поэтому использование посредника, такого как Digital Ocean, для временного хранения и передачи данных за границу, делает работу программы-вымогателя более эффективной.

Но, как объяснил Смилянец, похоже, что мошенники также включили закрытый ключ своего биткойн-кошелька среди других данных, которые они отправили в Digital Ocean.

Дизайн системы шифрования Биткойн позволяет легко расшифровать открытый ключ биткойн-кошелька, если вы знаете частный (но не наоборот). Если бы министерство юстиции получило и закрытый, и открытый ключи, биткойн было бы легко захватить, фактически ограбив хакеров, вымогавших у оператора трубопровода.

Смилянец говорит, что все это указывает на небрежную работу хакеров, которые, как он подозревает, являются молодыми людьми, которые, опьяненные успехом своего плана вымогательства, затянули, закрывая сервер и перемещая биткойн в безопасное место.

Между тем, Смилянец говорит, что серьезность атаки на трубопровод вызвала необычайно быструю и эффективную реакцию со стороны Министерства юстиции и других организаций.

«Это потребовало быстрого сотрудничества между правоохранительными органами и частными компаниями, занимающимися разведкой угроз и данными, - сказал он.

Все это говорит о том, что злоумышленники-вымогатели были небрежны, но им также не повезло, что они смогли осуществить каперю конвейера во время новых контрмер со стороны правоохранительных органов США - контрмер, включая создание новой Целевой группы по вымогательству и цифровому вымогательству.

Конечно, есть и другие теории о том, как правоохранительные органы США вернули большую часть биткойнов, уплаченных Colonial Pipeline. Одна возможность, выдвинутая раз, состоит в том, что федералы внедрили шпиона-человека в сеть DarkSide и взломали ее компьютеры - но это кажется маловероятным, учитывая, что DarkSide все еще получил 15% -ное сокращение и что шпион вообще не предупреждал Colonial Pipeline. Между тем, некоторые предположили, что правительство США захватило выкуп, взломав шифрование Биткойна - предположение, которое явно неверно, но, тем не менее, привело к падению цены на Биткойн. С тех пор выздоровел,.

На данный момент теория Смилянеца о том, что хакеры-конвейеры были любителями, которые проявили небрежность, оставив закрытый ключ там, где его можно было найти на сервере в США, является самой сильной. И самая сильная теория обычно бывает правильной.

Источник: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory