Погорели на биткоинах: как ФБР удалось отобрать часть выкупа у хакеров Darkside

хакер, Биткоин, кибератака

Эксперты выдвинули несколько теорий о том, как могла быть организована беспрецедентная кибероперация американских спецслужб.

Недавно мировые СМИ облетела новость о том, что произошла атака на Colonial Pipeline — трубопровод, расположенный на Восточном побережье США. Хакеры Darkside потребовали выкуп в 75 биткоинов (эквивалентный $4,4 млн) за украденные данные. Colonial Pipeline заплатила хакерам запрашиваемую сумму. Спустя некоторое время, ФБР отчиталось о проведении успешной спецоперации по возврату части выкупа. И вот, что интересно, как именно агентам удалось совершить "невозможное": получить ключ к крипто-кошельку злоумышленников и с его помощью изъять часть средств, чтобы впоследствии вернуть пострадавшей компании? Фокус разбирался вместе с экспертами по криптовалютам и кибербезопасности в этой щекотливой ситуации.

Официальная версия: "Мы влезли в кошелек Darkside, но не скажем как"

В мае 2021 года киберпреступники совершили кибератаку на трубопровод Colonial Pipeline, в результате чего в нескольких восточных штатах в течение 5-7 дней сократились поставки бензина и цены на него выросли. Топ-менеджмент компании связался с ФБР. В бюро посоветовали заплатить требуемый выкуп, чтобы получить возможность отслеживать транзакции и выявить электронный кошелек, который использовали преступники.

В итоге, Минюст США сообщил, что агентам удалось это сделать. В кошельке Darkside они обнаружили 63,7 биткоина (эквивалентно сумме в $2,3 млн), которые изъяли и вернули пострадавшей компании. В своем заявлении ФБР отметило, что сделать это удалось при помощи "приватного ключа" (т.е. пароля к е-кошельку). Как именно агенты получили доступ к паролю, не сообщается, но если верить словам замгенпрокурора США Лизы Монако, правоохранителям "впервые удалось отследить выкуп, выплаченный хакерам". Значит, это беспрецедентный случай. Но если получилось один раз, то может получится снова.

хакеры, расследование ФБР Fullscreen
Хакеры могли попасться по нескольким причинам
Фото: Mr.Robot

Версии независимых экспертов: несколько теорий о спецоперации ФБР

Фокус попросил нескольких экспертов в сфере кибербезопасности и криптоактивов прокомментировать данную ситуацию и высказать собственное мнение на счет того, каким именно образом спецагентам удалось добыть и вернуть часть денег.

В утечке данных виноваты хакеры

Некоторые западные эксперты полагают, что операция прошла успешно по вине хакеров-"фрилансеров", которых привлекла группировка Darkside, сообщает CNN. Если предположить, что они были ответственные за систему защиты и где-то допустили ошибки при ее создании или поддержке, то это дало спецслужбам карт-бланш. Агенты, ведущие расследование дела Colonial Pipeline, вычислили "новичков", определили прорехи, осуществили взлом, забрали данные — и вуаля!

ФБР изъяло сервер с крипто-кошельком Darkside

Андрей Баранович, эксперт по кибербезопасности, считает, что ФБР могло добыть нужные данные, изъяв арендованный сервер, где хранился кошелек. Изъятие техники — обычная практика в работе спецслужб. Однако у эксперта есть сомнения.

"Если они изъяли сервер, то почему не заявляли об этом? К чему такая таинственность?", — говорит Андрей.

Агенты взяли под контроль биткоин-миксер

Эксперт выдвигает и другую теорию: бюро взяло контроль над каким-нибудь "миксером" — сетью из кошельков, где смешиваются чистые и грязные деньги и анонимизируются транзакции. Арестовав владельца "миксера", агенты могли изъять оборудование, получить все необходимые пароли, но не погасить инфраструктуру, а продолжать ею пользоваться, чтобы отслеживать грязные деньги. (Тем более, что в заявлении ФБР упоминаются "множественные адреса" и что "границы [других государств] — не проблема для этой техники").

"Судя по тому, что вернули 85% от суммы (64 из 75 BTC), то Darkside забрал свою долю, и то, что попало к ФБР, — доля хакеров, которые непосредственно ломали сеть, — комментирует Баранович. — Но это не более, чем теория".

Биткоин, хакеры, криптовалюта Fullscreen
Любовь к Биткоинам могла привести к краху кибераферы
Фото: bloomberg.com

Биткоин сгубил киберпреступников

Данная криптовалюта хоть и является самой популярной, но она отнюдь не самая защищенная, как например, Monero и ZCash. Тем не менее, хакеры выбрали именно ее. Почему? Если коротко, то ответ будет таким: жадность фраера сгубила.

Как пояснил Фокусу Андрей Шевчишин, руководитель аналитического департамента ГК "Форекс Клуб", Биткоин имеет большую ликвидность, и при больших суммах его проще обналичить. Возможно, поэтому злоумышленники его и предпочли.

"Если значительный объем загнать на альткоины, то это может сделать сильное движение на рынке при обналичивании или для перехода в BTC или ETH. Думаю, они хотели продать или обменять большой объем средств, или перевести дальше по цепочке на других исполнителей", — рассуждает Шевчишин.

В таком случае хакерам пришлось бы забирать биткоины со своего кошелька по частям, чтобы безопасно их вывести. Через биржи они это сделать не могли — их бы отследили. Но если воспользоваться услугами "миксера" и забирать частями и выводить через разные адреса на разные кошельки, то возможно запутать следы и получить желаемое в итоге. 

Спецслужбы взломали аппаратный кошелек хакеров

В своей колонке эксперт по кибербезопасности, Константин Корсун, выдвинул еще одну версию: ФБР, отследив транзакцию, идентифицировало владельца конечного кошелька, нашло этого человека и хакнуло его девайс вместе с паролем к крипто-кошельку.

"Потом сами офицеры (или владелец кошелька под принуждением) отправили биткоины обратно Colionial Pipeline", — пишет Константин.

Также возможно, что ФБР отдаленно взломало девайс, на котором располагался кошелек, после чего владелец выдал пароль к нему под давлением.

крипто-кошелек, е-кошелек, Trezor Fullscreen
Аппаратный крипто-кошелек Trezor

Какой из вариантов правильный?

Прежде чем выбрать наиболее вероятный ответ на заданный вопрос, стоит разобраться, как именно устроены крипто-кошельки.

Е-кошелек для хранения криптовалюты — это программа, размещенная на специальном устройстве или е-бирже, или интегрированная в специальное ПО. 

Кошелек имеет два ключа — приватный и публичный. К первому имеют доступ все — это номер, состоящий из цифр и символов, используемый при отправке средств. Второй — пароль, генерируемый криптографически и являющий собой серию случайных чисел. Если точнее, — это шестнадцатеричное число, используемое для подписи транзакций. Сгенерировали ключ, подписали транзакцию, она прошла, адресат получил перевод. Так это работает.

Кошельки бывают кастодиальными и не-кастодиальными. В первом случае за закрытые ключи и защиту средств отвечает разработчик. А во втором, — владельцем личных ключей является исключительно клиент, а потому ответственность за средства несет только он.

Из этого следует, что вариант со взломом кошелька, размещенного на специальном устройстве, предложенный Константином Корсуном, наиболее вероятен.

Однако в пользу теории Андрея Барановича говорит и версия Андрея Шевчишина, когда хакеры попались благодаря тому, что попросили выкуп в Биткоинах, а потом хотели вывести их при помощи "миксера", который, возможно, уже контролировало ФБР. 

А как все было на самом деле, мы, наверное, не узнаем никогда.