Hur fick Feds Pipeline Hackers Bitcoin? Här är den bästa teorin

Det amerikanska justitiedepartementet gjorde en sällsynt seger mot ransomware-brottslingar denna vecka, återhämta de flesta av de Bitcoin skurkarna utpressade efter en högprofilerad attack mot Colonial Pipeline.

Som New York Times recounted, Feds seger mot hackarna visar hur Bitcoin kan spåras på sin publik blockchain nätverk — ett faktum som är välkänt för dem som är bevandrade i krypto, men mindre så för allmänheten. Men vad gånger och andra förklarade inte är bara hur justitiedepartementet fick tag på Bitcoin i första hand.

Mysteriet är särskilt förbryllande eftersom ransomware-gängets attack var sofistikerad nog att förlama östkustens energiförsörjning. Om gänget kunde dra den där av, hur kunde de vara så dumma att de satte Bitcoin lösen i en digital plånbok som låg inom räckhåll för amerikansk brottsbekämpning?

I en typisk ransomware-attack kan offren inte få tillbaka Bitcoin eftersom förövarna och deras plånbok befinner sig utomlands. Visst, det är möjligt att spåra betalningarna på den offentliga blockkedjan. Men skurkarna brukar blanda ihop Bitcoins i så kallade mixers – tjänster som blandar Bitcoins med andra fonder eller omvandlar dem till andra kryptovalutor – och sprider dem i andra plånböcker, vilket gör medlen nästan omöjliga att lägga beslag på. Så vad hände med Colonial Pipeline-lösensumman?

Dmitry Smilyanets har en bra idé. En hotintelligensanalytiker på cybersäkerhetsföretaget Record Future, Smilyanets är expert på ransomware och kryptovaluta, och sa till Avkryptera han tror att pipeline-skurkarna bara är amatörer som drev en franchiseverksamhet under de riktiga hjärnorna.

Bevisen som han säger är att justitiedepartementet endast återvann 63.7 av de 75 Bitcoins som betalats i lösen. De saknade 11.3 Bitcoins uppgår till 15 % av lösensumman – en siffra som är den vanliga provisionen för att använda ransomware, som är gjord av en skuggig grupp som heter DarkSide. Gruppen hyr ut sina verktyg till andra hackare som har använt dem för att utpressa dem mer än $ 90 miljoner totalt.

Resultatet är att den oåtervunna delen av lösensumman gick till en plånbok som kontrollerades av DarkSide, som justitiedepartementet inte kunde få tag på. Det förklarar förstås inte hur FB—vem säga de "vill inte ge upp vårt hantverk" - tog resten av det.

Svaret, säger Smilyanets, är att amatörerna gjorde ett avgörande misstag när de hårdkodade den privata nyckeln till sin Bitcoin-plånbok i det större ransomware-paketet de distribuerade. De gjorde ett annat misstag, säger han, när de hyrde en server i USA som drivs av en molnleverantör som heter Digital Ocean.

Ransomware-skurkarna hyrde den servern, säger Smilyanets, för att påskynda processen att exfiltrera data som de stal från pipelineoperatören till ett annat land. Mängden data är enorm, så att använda en mellanhand som Digital Ocean för att tillfälligt lagra och vidarebefordra data utomlands gör ransomware-operationen mer effektiv.

Men som Smilyanets förklarade verkar det som om skurkarna också inkluderade den privata nyckeln till sin Bitcoin-plånbok bland andra data som de skickade till Digital Ocean.

Designen av Bitcoins krypteringssystem gör det enkelt att dechiffrera den publika nyckeln till en Bitcoin-plånbok om du känner till den privata (men inte tvärtom). Om justitiedepartementet skaffat både de privata och offentliga nycklarna, skulle det ha varit lätt att beslagta Bitcoin – och effektivt råna hackarna som hade utpressat pipelineoperatören.

Smilyanets säger att allt detta pekar på en slarvig operation av hackarna, som han misstänker är unga män som, berusade av framgången med deras utpressningsplan, släpade sina fötter i att stänga servern och flytta Bitcoin till en säker plats.

Samtidigt säger Smilyanets att allvaret i pipelineattacken utlöste ett ovanligt snabbt och effektivt svar från justitiedepartementet och andra.

"Det innebar ett snabbt samarbete mellan brottsbekämpande myndigheter och privata hotunderrättelse- och dataföretag", sa han.

Allt detta tyder på att förövarna av ransomware var slarviga men också otur att dra av pipelinekapern i en tid av nya motåtgärder från amerikansk brottsbekämpning – motåtgärder som inkluderar att ställa upp en ny Ransomware och Digital Extortion Task Force.

Det finns förstås andra teorier om hur amerikanska brottsbekämpande myndigheter återvann de flesta Bitcoins som betalats av Colonial Pipeline. En möjlighet, flöt av gånger, är att FB planterade en mänsklig spion inuti DarkSide-nätverket och hackade dess datorer – men detta verkar osannolikt med tanke på att DarkSide fortfarande fick sina 15 % nedskärningar och att spionen inte varnade Colonial Pipeline i första hand. Samtidigt föreslog några att den amerikanska regeringen hade tagit lösensumman genom att bryta Bitcoins kryptering – ett förslag som är uppenbart fel, men som ändå fick priset på Bitcoin att krascha. Det har det sedan dess återvinnas.

För nu är Smilyanets teori – att pipeline-hackarna var amatörer som blev slarviga genom att lämna en privat nyckel där den kunde hittas på en amerikansk server – den starkaste. Och den starkaste teorin är oftast den korrekta.

Källa: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory