Погорели на биткоинах: как ФБР удалось отобрать часть выкупа у хакеров Darkside
Эксперты выдвинули несколько теорий о том, как могла быть организована беспрецедентная кибероперация американских спецслужб.
Недавно мировые СМИ облетела новость о том, что произошла атака на Colonial Pipeline — трубопровод, расположенный на Восточном побережье США. Хакеры Darkside потребовали выкуп в 75 биткоинов (эквивалентный $4,4 млн) за украденные данные. Colonial Pipeline заплатила хакерам запрашиваемую сумму. Спустя некоторое время, ФБР отчиталось о проведении успешной спецоперации по возврату части выкупа. И вот, что интересно, как именно агентам удалось совершить "невозможное": получить ключ к крипто-кошельку злоумышленников и с его помощью изъять часть средств, чтобы впоследствии вернуть пострадавшей компании? Фокус разбирался вместе с экспертами по криптовалютам и кибербезопасности в этой щекотливой ситуации.
Официальная версия: "Мы влезли в кошелек Darkside, но не скажем как"
В мае 2021 года киберпреступники совершили кибератаку на трубопровод Colonial Pipeline, в результате чего в нескольких восточных штатах в течение 5-7 дней сократились поставки бензина и цены на него выросли. Топ-менеджмент компании связался с ФБР. В бюро посоветовали заплатить требуемый выкуп, чтобы получить возможность отслеживать транзакции и выявить электронный кошелек, который использовали преступники.
В итоге, Минюст США сообщил, что агентам удалось это сделать. В кошельке Darkside они обнаружили 63,7 биткоина (эквивалентно сумме в $2,3 млн), которые изъяли и вернули пострадавшей компании. В своем заявлении ФБР отметило, что сделать это удалось при помощи "приватного ключа" (т.е. пароля к е-кошельку). Как именно агенты получили доступ к паролю, не сообщается, но если верить словам замгенпрокурора США Лизы Монако, правоохранителям "впервые удалось отследить выкуп, выплаченный хакерам". Значит, это беспрецедентный случай. Но если получилось один раз, то может получится снова.
Версии независимых экспертов: несколько теорий о спецоперации ФБР
Фокус попросил нескольких экспертов в сфере кибербезопасности и криптоактивов прокомментировать данную ситуацию и высказать собственное мнение на счет того, каким именно образом спецагентам удалось добыть и вернуть часть денег.
В утечке данных виноваты хакеры
Некоторые западные эксперты полагают, что операция прошла успешно по вине хакеров-"фрилансеров", которых привлекла группировка Darkside, сообщает CNN. Если предположить, что они были ответственные за систему защиты и где-то допустили ошибки при ее создании или поддержке, то это дало спецслужбам карт-бланш. Агенты, ведущие расследование дела Colonial Pipeline, вычислили "новичков", определили прорехи, осуществили взлом, забрали данные — и вуаля!
ФБР изъяло сервер с крипто-кошельком Darkside
Андрей Баранович, эксперт по кибербезопасности, считает, что ФБР могло добыть нужные данные, изъяв арендованный сервер, где хранился кошелек. Изъятие техники — обычная практика в работе спецслужб. Однако у эксперта есть сомнения.
"Если они изъяли сервер, то почему не заявляли об этом? К чему такая таинственность?", — говорит Андрей.
Агенты взяли под контроль биткоин-миксер
Эксперт выдвигает и другую теорию: бюро взяло контроль над каким-нибудь "миксером" — сетью из кошельков, где смешиваются чистые и грязные деньги и анонимизируются транзакции. Арестовав владельца "миксера", агенты могли изъять оборудование, получить все необходимые пароли, но не погасить инфраструктуру, а продолжать ею пользоваться, чтобы отслеживать грязные деньги. (Тем более, что в заявлении ФБР упоминаются "множественные адреса" и что "границы [других государств] — не проблема для этой техники").
"Судя по тому, что вернули 85% от суммы (64 из 75 BTC), то Darkside забрал свою долю, и то, что попало к ФБР, — доля хакеров, которые непосредственно ломали сеть, — комментирует Баранович. — Но это не более, чем теория".
Биткоин сгубил киберпреступников
Данная криптовалюта хоть и является самой популярной, но она отнюдь не самая защищенная, как например, Monero и ZCash. Тем не менее, хакеры выбрали именно ее. Почему? Если коротко, то ответ будет таким: жадность фраера сгубила.
Как пояснил Фокусу Андрей Шевчишин, руководитель аналитического департамента ГК "Форекс Клуб", Биткоин имеет большую ликвидность, и при больших суммах его проще обналичить. Возможно, поэтому злоумышленники его и предпочли.
"Если значительный объем загнать на альткоины, то это может сделать сильное движение на рынке при обналичивании или для перехода в BTC или ETH. Думаю, они хотели продать или обменять большой объем средств, или перевести дальше по цепочке на других исполнителей", — рассуждает Шевчишин.
В таком случае хакерам пришлось бы забирать биткоины со своего кошелька по частям, чтобы безопасно их вывести. Через биржи они это сделать не могли — их бы отследили. Но если воспользоваться услугами "миксера" и забирать частями и выводить через разные адреса на разные кошельки, то возможно запутать следы и получить желаемое в итоге.
Спецслужбы взломали аппаратный кошелек хакеров
В своей колонке эксперт по кибербезопасности, Константин Корсун, выдвинул еще одну версию: ФБР, отследив транзакцию, идентифицировало владельца конечного кошелька, нашло этого человека и хакнуло его девайс вместе с паролем к крипто-кошельку.
"Потом сами офицеры (или владелец кошелька под принуждением) отправили биткоины обратно Colionial Pipeline", — пишет Константин.
Также возможно, что ФБР отдаленно взломало девайс, на котором располагался кошелек, после чего владелец выдал пароль к нему под давлением.
Какой из вариантов правильный?
Прежде чем выбрать наиболее вероятный ответ на заданный вопрос, стоит разобраться, как именно устроены крипто-кошельки.
Е-кошелек для хранения криптовалюты — это программа, размещенная на специальном устройстве или е-бирже, или интегрированная в специальное ПО.
Кошелек имеет два ключа — приватный и публичный. К первому имеют доступ все — это номер, состоящий из цифр и символов, используемый при отправке средств. Второй — пароль, генерируемый криптографически и являющий собой серию случайных чисел. Если точнее, — это шестнадцатеричное число, используемое для подписи транзакций. Сгенерировали ключ, подписали транзакцию, она прошла, адресат получил перевод. Так это работает.
Кошельки бывают кастодиальными и не-кастодиальными. В первом случае за закрытые ключи и защиту средств отвечает разработчик. А во втором, — владельцем личных ключей является исключительно клиент, а потому ответственность за средства несет только он.
Из этого следует, что вариант со взломом кошелька, размещенного на специальном устройстве, предложенный Константином Корсуном, наиболее вероятен.
Однако в пользу теории Андрея Барановича говорит и версия Андрея Шевчишина, когда хакеры попались благодаря тому, что попросили выкуп в Биткоинах, а потом хотели вывести их при помощи "миксера", который, возможно, уже контролировало ФБР.
А как все было на самом деле, мы, наверное, не узнаем никогда.