Як федерали отримали біткойн хакерів трубопроводу? Ось найкраща теорія

Цього тижня Міністерство юстиції США здобуло рідкісну перемогу проти злочинців-вимагачів, відновлюється більшість Біткойн шахраї вимагали після резонансної атаки на Colonial Pipeline.

Як Нью-Йорк Таймс перераховано, перемога федералів над хакерами показує, як біткойн можна відстежити на своїй громадськості blockchain мережі — факт, добре відомий тим, хто розбирається в криптовалюті, але менш широкому загалу. Але що за Час а інші не пояснили, як Міністерство юстиції взагалі потрапило в руки біткойнам.

Ця таємниця особливо загадкова, оскільки атака банди програм-вимагачів була достатньо витонченою, щоб пошкодити енергопостачання східного узбережжя. Якби банда могла витягнути Що геть, як вони могли бути такими тупими, щоб покласти викуп у біткойнах у цифровому вигляді кошелек які знаходяться в межах досяжності правоохоронних органів США?

У типовій атаці програм-вимагачів жертви не можуть повернути біткойн, оскільки зловмисники та їхні гаманці знаходяться за кордоном. Звичайно, можна відстежити платежі в публічному блокчейні. Але шахраї зазвичай переміщують біткойни в так звані міксери — сервіси, які змішують біткойни з іншими коштами або конвертують їх в інші криптовалюти — і розподіляють їх по інших гаманцях, що робить кошти майже неможливими для вилучення. Отже, що сталося з викупом за Colonial Pipeline?

Дмитро Смілянець має гарну ідею. Смілянець, аналітик аналізу загроз у фірмі з кібербезпеки Record Future, є експертом у програмному забезпеченні-вимагачі та криптовалюті. Розшифрувати він вважає, що трубопровідні шахраї - це звичайні аматори, які керували франчайзинговими операціями під керівництвом справжніх натхненників.

За його словами, Міністерство юстиції повернуло лише 63.7 із 75 біткойнів, сплачених як викуп. Зниклі 11.3 біткойна складають 15% викупу — це звичайна комісія за використання програми-вимагача, створеної тіньовою групою під назвою DarkSide. Група здає свої інструменти в оренду іншим хакерам, які використовували їх для вимагання більше $ 90 мільйонів загалом.

Підсумок полягає в тому, що неповернута частина викупу за конвеєром пішла на гаманець, контрольований DarkSide, який Міністерству юстиції не вдалося отримати. Це, звичайно, не пояснює, як федерали — хто say вони «не хочуть відмовлятися від нашого ремесла» — захопили решту.

Відповідь, каже Смілянець, полягає в тому, що аматори зробили ключову помилку, жорстко закодувавши приватний ключ до свого біткоін-гаманця у більший пакет програм-вимагачів, який вони розгорнули. За його словами, вони зробили ще одну помилку, коли орендували сервер у Сполучених Штатах, яким керував хмарний провайдер Digital Ocean.

Шахраї-вимагачі орендували цей сервер, каже Смілянець, щоб пришвидшити процес передачі даних, які вони вкрали в оператора трубопроводу, в іншу країну. Обсяг даних величезний, тому використання посередника, такого як Digital Ocean, для тимчасового зберігання та передачі даних за кордоном робить роботу програми-вимагача більш ефективною.

Але, як пояснив Смілянець, здається, шахраї також включили приватний ключ до свого гаманця Bitcoin серед інших даних, які вони передали в Digital Ocean.

Конструкція системи шифрування Bitcoin дозволяє легко розшифрувати відкритий ключ гаманця Bitcoin, якщо ви знаєте приватний (але не навпаки). Якби Міністерство юстиції отримало і закритий, і відкритий ключі, було б легко заволодіти біткойнами, фактично пограбувавши хакерів, які вимагали від оператора трубопроводу.

Смілянець каже, що все це вказує на неохайну операцію хакерів, які, як він підозрює, є молодими людьми, які, п’яні від успіху свого плану здирництва, зволікали з тим, щоб закрити сервер і перенести біткойн у безпечне місце.

Водночас Смілянець каже, що серйозність атаки на трубопровід викликала надзвичайно швидку та ефективну реакцію Міністерства юстиції та інших.

«Це передбачало швидку співпрацю між правоохоронними органами та приватними компаніями з розвідки загроз і обробки даних», — сказав він.

Усе це свідчить про те, що зловмисники програм-вимагачів були неохайними, але їм також не пощастило впоратися з проблемою конвеєра під час нових контрзаходів з боку правоохоронних органів США — контрзаходів, які включають створення нової робочої групи з вимагання та цифрового вимагання.

Звичайно, існують інші теорії про те, як правоохоронні органи США повернули більшу частину біткойнів, сплачених Colonial Pipeline. Одна можливість, висунута Час, полягає в тому, що федерали підсадили людину-шпигуна в мережу DarkSide і зламали її комп’ютери, але це здається малоймовірним, враховуючи, що DarkSide все ж отримав 15% скорочення, а шпигун не попередив Colonial Pipeline. Тим часом деякі припустили, що уряд США заволодів викупом, зламавши шифрування біткойна. Це припущення явно неправильне, але воно, тим не менш, призвело до падіння ціни біткойна. З тих пір відновлений.

Наразі теорія Смілянця про те, що хакери трубопроводу були аматорами, які неохайно залишили закритий ключ там, де його можна було знайти на американському сервері, є найсильнішою. І найсильніша теорія зазвичай є правильною.

Джерело: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory