Kako so federalci dobili Bitcoin hekerjev cevovodov? Tu je najboljša teorija

Ministrstvo za pravosodje ZDA je ta teden doseglo redko zmago proti kriminalcem z izsiljevalsko programsko opremo, opomore večino od Bitcoin lopovi izsiljeval po odmevnem napadu na Colonial Pipeline.

Kot New York Times ponovno prešteti, zmaga federalcev proti hekerjem kaže, kako je mogoče Bitcoin izslediti v svoji javnosti blockchain omrežje - dejstvo je dobro znano tistim, ki so podkovani v kripto, manj pa širši javnosti. Toda kaj Krat drugi pa niso pojasnili, kako je pravosodno ministrstvo sploh dobilo Bitcoin.

Skrivnost je še posebej zmedena, saj je bil napad tolpe ransomware dovolj izpopolnjen, da je oslabil oskrbo z energijo na vzhodni obali. Če bi banda lahko potegnila da off, kako bi lahko bili tako neumni, da bi Bitcoin odkupnino dali v digitalno denarnica ki so bili v dosegu ameriškega pregona?

V tipičnem napadu ransomware žrtve ne morejo obnoviti Bitcoina, ker se storilci in njihova denarnica nahajajo v tujini. Seveda je mogoče izslediti plačila na javni verigi blokov. Prevaranti pa Bitcoine običajno premešajo v tako imenovane mešalnike - storitve, ki Bitcoine mešajo z drugimi skladi ali jih pretvorijo v druge kriptovalute - in jih razpršijo v druge denarnice, tako da je sredstva skoraj nemogoče zaseči. Kaj se je torej zgodilo z odkupnino za kolonialni cevovod?

Dmitry Smilyanets ima kar dobro idejo. Smilyanets, analitik za obveščanje o grožnjah v podjetju za kibernetsko varnost Record Future, je strokovnjak za izsiljevalsko programsko opremo in kriptovalute, in je povedal Dešifriraj verjame, da so prevaranti plinovoda zgolj amaterji, ki so franšizno operacijo vodili pod pravimi mojstri.

Dokazi, po njegovih besedah, so, da je ministrstvo za pravosodje povrnilo le 63.7 od 75 bitcoinov, plačanih kot odkupnina. Manjkajočih 11.3 bitcoinov znaša 15 % odkupnine – številka, ki je običajna provizija za uporabo izsiljevalske programske opreme, ki jo izdeluje skrivnostna skupina, imenovana DarkSide. Skupina daje v najem svoja orodja drugim hekerjem, ki so jih uporabljali za izsiljevanje več kot $ 90 milijonov skupaj.

Posledica tega je, da je nepovrnjeni del odkupnine šel v denarnico, ki jo nadzoruje DarkSide, ki je Ministrstvo za pravosodje ni moglo dobiti v roke. To seveda ne pojasni, kako federalci – kdo pravijo, »nočejo se odpovedati naši obrti« — zasegli so ostalo.

Odgovor Smilyanets pravi, da so amaterji naredili ključno napako pri trdem kodiranju zasebnega ključa svoje Bitcoin denarnice v večji paket ransomware, ki so ga uvedli. Naredili so še eno napako, pravi, ko so v ZDA najeli strežnik, ki ga upravlja ponudnik oblakov, imenovan Digital Ocean.

Prevaranti so najeli ta strežnik, je dejal Smilyanets, da bi pospešili postopek razširjanja podatkov, ki so jih ukradli operaterju cevovoda v drugo državo. Količina podatkov je velika, zato uporaba posrednika, kot je Digital Ocean, za začasno shranjevanje in posredovanje podatkov v tujino omogoča delovanje izsiljevalske programske opreme učinkovitejše.

A kot je pojasnil Smilyanets, se zdi, da so prevaranti med druge podatke, ki so jih usmerili v Digital Ocean, vključili tudi zasebni ključ do svoje Bitcoin denarnice.

Zasnova Bitcoin-ovega sistema za šifriranje olajša dešifriranje javnega ključa denarnice Bitcoin, če poznate zasebno (čeprav ne obratno). Če bi ministrstvo za pravosodje pridobilo tako zasebne kot javne ključe, bi bilo zlahka zaseči Bitcoin - učinkovito oropati hekerje, ki so izsiljevali operaterja cevovoda.

Smilyanets pravi, da vse to kaže na površno operacijo hekerjev, za katere sumi, da so mladi moški, ki so se pijani od uspeha svojega načrta za izsiljevanje vlekli za noge, ko so zaprli strežnik in Bitcoin premaknili na varno lokacijo.

Medtem Smilyanets pravi, da je resnost napada na plinovod sprožila nenavadno hiter in učinkovit odziv ministrstva za pravosodje in drugih.

"Vključevalo je hitro sodelovanje med organi pregona in zasebnimi obveščevalnimi in podatkovnimi podjetji," je dejal.

Vse to kaže na to, da so bili storilci izsilitvene programske opreme površni, a tudi niso imeli sreče, ko so v času novih protiukrepov ameriškega pregona - protiukrepi, ki vključujejo postavitev nove projektne skupine za izsiljevanje - Ransomware in digitalno izsiljevanje.

Seveda obstajajo tudi druge teorije o tem, kako so ameriški organi pregona izterjali večino Bitcoinov, ki jih je plačal Colonial Pipeline. Ena možnost, ki jo plava Krat, je, da so federalci podtaknili človeškega vohuna v omrežje DarkSide in vdrli v njegove računalnike – vendar se to zdi malo verjetno, glede na to, da je DarkSide še vedno dobil 15-odstotno znižanje in da vohun sploh ni opozoril družbe Colonial Pipeline. Medtem so nekateri namigovali, da je ameriška vlada zasegla odkupnino tako, da je zlomila šifriranje Bitcoina – domneva, ki je očitno napačna, vendar je kljub temu povzročila padec cene Bitcoina. Od takrat je izterjati.

Za zdaj je najmočnejša teorija Smilyanetsove - da so bili hekerji plinovoda amaterji, ki so postali površni, tako da so zasebni ključ pustili tam, kjer ga je mogoče najti na ameriškem strežniku. In najmočnejša teorija je običajno pravilna.

Vir: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory