Làm thế nào Feds nhận được Bitcoin của tin tặc đường ống? Đây là lý thuyết hay nhất

Bộ Tư pháp Hoa Kỳ đã ghi được một chiến thắng hiếm hoi chống lại bọn tội phạm ransomware trong tuần này, phục hồi hầu hết các Bitcoin kẻ gian tống tiền sau một cuộc tấn công nổi tiếng vào Colonial Pipeline.

như Bán Chạy Nhất của Báo New York Times kể lại, chiến thắng của liên bang trước bọn tin tặc cho thấy cách Bitcoin có thể được truy tìm trên mạng công khai của nó blockchain mạng — một sự thật nổi tiếng đối với những người thành thạo về tiền điện tử, nhưng với công chúng thì ít hơn. Nhưng những gì Times và những người khác không giải thích chỉ là làm thế nào Bộ Tư pháp bắt tay vào Bitcoin ngay từ đầu.

Bí ẩn đặc biệt khó hiểu vì cuộc tấn công của băng đảng ransomware đủ tinh vi để làm tê liệt nguồn cung cấp năng lượng ở bờ biển phía đông. Nếu nhóm có thể kéo việc này tắt, làm sao họ có thể ngu ngốc đến mức đưa tiền chuộc Bitcoin vào một kỹ thuật số ví nằm trong tầm với của cơ quan thực thi pháp luật Hoa Kỳ?

Trong một cuộc tấn công ransomware điển hình, nạn nhân không thể khôi phục Bitcoin vì thủ phạm và ví của họ ở nước ngoài. Chắc chắn, có thể theo dõi các khoản thanh toán trên blockchain công khai. Nhưng kẻ lừa đảo thường đưa Bitcoin vào cái gọi là máy trộn – dịch vụ trộn Bitcoin với các quỹ khác hoặc chuyển đổi chúng thành các loại tiền điện tử khác – và phân tán chúng vào các ví khác, khiến số tiền gần như không thể chiếm được. Vậy chuyện gì đã xảy ra với khoản tiền chuộc Colonial Pipeline?

Dmitry Smilyanets có một ý tưởng khá hay. Một nhà phân tích tình báo về mối đe dọa tại công ty an ninh mạng Record Future, Smilyanets là một chuyên gia về ransomware và tiền điện tử, và nói với Giải mã anh ta tin rằng những kẻ lừa đảo đường ống chỉ là những người nghiệp dư điều hành một hoạt động nhượng quyền thương mại dưới sự chỉ huy của những kẻ chủ mưu thực sự.

Bằng chứng mà anh ta nói là Bộ Tư pháp chỉ thu hồi được 63.7 trong số 75 Bitcoin được trả bằng tiền chuộc. 11.3 Bitcoin bị thiếu lên tới 15% tiền chuộc — một con số là hoa hồng thông thường để sử dụng ransomware, được thực hiện bởi một nhóm bóng tối có tên là DarkSide. Nhóm cho thuê lại các công cụ của mình cho các tin tặc khác đã sử dụng chúng để tống tiền hơn $ 90 triệu Tổng cộng.

Kết quả cuối cùng là phần tiền chuộc chưa được thu hồi đã được chuyển đến một chiếc ví do DarkSide kiểm soát mà Bộ Tư pháp không thể nhúng tay vào. Tất nhiên, điều đó không giải thích được làm thế nào mà các liên bang - ai nói họ “không muốn từ bỏ nghề của chúng tôi” - chiếm lấy phần còn lại.

Smilyanets cho biết câu trả lời là những người nghiệp dư đã mắc một sai lầm quan trọng trong việc mã hóa khóa cá nhân cho ví Bitcoin của họ vào gói ransomware lớn hơn mà họ đã triển khai. Ông nói rằng họ đã mắc một sai lầm khác khi thuê một máy chủ ở Hoa Kỳ do một nhà cung cấp dịch vụ đám mây có tên là Digital Ocean điều hành.

Theo Smilyanets, những kẻ lừa đảo ransomware đã thuê máy chủ đó để tăng tốc quá trình lấy cắp dữ liệu mà chúng đã đánh cắp từ nhà điều hành đường ống sang một quốc gia khác. Số lượng dữ liệu rất lớn, vì vậy việc sử dụng một bên trung gian như Digital Ocean để tạm thời lưu trữ và chuyển tiếp dữ liệu ra nước ngoài giúp hoạt động của ransomware hiệu quả hơn.

Nhưng như Smilyanets đã giải thích, có vẻ như những kẻ lừa đảo cũng đã bao gồm khóa cá nhân vào ví Bitcoin của họ giữa các dữ liệu khác mà chúng chuyển đến Digital Ocean.

Thiết kế hệ thống mã hóa của Bitcoin giúp bạn dễ dàng giải mã khóa chung của ví Bitcoin nếu bạn biết khóa riêng tư (mặc dù không phải ngược lại). Nếu Bộ Tư pháp có được cả khóa riêng và khóa chung thì việc thu giữ Bitcoin sẽ dễ dàng hơn – cướp đi hiệu quả của các tin tặc đã tống tiền nhà điều hành đường ống.

Smilyanets cho biết tất cả những điều này chỉ ra một hoạt động cẩu thả của các tin tặc, những người mà anh ta nghi ngờ là những thanh niên say sưa với sự thành công của kế hoạch tống tiền, đã cố gắng đóng máy chủ và chuyển Bitcoin đến một vị trí an toàn.

Trong khi đó, Smilyanets cho biết mức độ nghiêm trọng của cuộc tấn công đường ống dẫn đến phản ứng nhanh chóng và hiệu quả bất thường của Bộ Tư pháp và những người khác.

Ông nói: “Nó liên quan đến sự hợp tác nhanh chóng giữa cơ quan thực thi pháp luật và các công ty dữ liệu và tình báo đe dọa tư nhân.

Tất cả những điều này cho thấy thủ phạm ransomware đã cẩu thả nhưng cũng không may mắn khi rút ống dẫn vào thời điểm các biện pháp đối phó mới của cơ quan thực thi pháp luật Hoa Kỳ — các biện pháp đối phó bao gồm thành lập Lực lượng đặc nhiệm tống tiền kỹ thuật số và Ransomware mới.

Tất nhiên, có những giả thuyết khác về cách cơ quan thực thi pháp luật Hoa Kỳ thu hồi hầu hết số Bitcoin được thanh toán bởi Colonial Pipeline. Một khả năng, nổi lên bởi Times, là liên bang đã gài một gián điệp con người vào mạng DarkSide và hack máy tính của nó — nhưng điều này có vẻ khó xảy ra vì DarkSide vẫn bị cắt 15% và gián điệp đã không cảnh báo Colonial Pipeline ngay từ đầu. Trong khi đó, một số người cho rằng chính phủ Hoa Kỳ đã tịch thu tiền chuộc bằng cách phá vỡ mã hóa của Bitcoin – một gợi ý rõ ràng là sai, nhưng điều đó vẫn khiến giá Bitcoin sụt giảm. Nó đã có kể từ đó phục hồi.

Hiện tại, giả thuyết của Smilyanets—cho rằng các hacker đường ống là những kẻ nghiệp dư đã cẩu thả khi để lại khóa riêng ở nơi có thể tìm thấy nó trên máy chủ Hoa Kỳ—là giả thuyết mạnh nhất. Và lý thuyết mạnh nhất thường là lý thuyết đúng.

Nguồn: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory