Погоріли на біткоїнах: як ФБР вдалося відібрати частину викупу в хакерів Darkside

хакер, біткоіни, кібератака

Експерти висунули кілька теорій про те, як могла бути організована безпрецедентна кібероперація американських спецслужб.

Нещодавно світові ЗМІ облетіла новина про те, що сталася атака на Colonial Pipeline — трубопровід, розташований на Східному узбережжі США. Хакери Darkside зажадали викуп у 75 біткоїнів (еквівалентний $ 4,4 млн) за вкрадені дані. Colonial Pipeline заплатила хакерам запитувану суму. Через деякий час ФБР відзвітувало про проведення успішної спецоперації з повернення частини викупу. І ось, що цікаво, як саме агентам вдалося зробити "неможливе": отримати ключ до криптогаманця зловмисників і з його допомогою вилучити частину коштів, щоб згодом повернути постраждалій компанії? Фокус розбирався разом з експертами щодо криптовалюти і кібербезпеки в цій делікатній ситуації.

Офіційна версія: "ми влізли в гаманець Darkside, але не скажемо як"

У травні 2021 року кіберзлочинці зробили кібератаку на трубопровід Colonial Pipeline, у результаті чого в кількох східних штатах протягом 5-7 днів скоротилися постачання бензину і ціни на нього зросли. Топ-менеджмент компанії зв'язався з ФБР. У бюро порадили заплатити необхідний викуп, щоб отримати можливість відстежувати транзакції і виявити електронний гаманець, який використовували злочинці.

У підсумку, Мін'юст США повідомив, що агентам вдалося це зробити. У гаманці Darkside вони виявили 63,7 біткоїни (еквівалентно сумі в $ 2,3 млн), які вилучили та повернули потерпілій компанії. У своїй заяві ФБР зазначило, що зробити це вдалося за допомогою "приватного ключа" (тобто пароля до е-гаманця). Як саме агенти отримали доступ до паролю, не повідомляється, але якщо вірити словам заступника генпрокурора США Лізи Монако, правоохоронцям "уперше вдалося відстежити викуп, виплачений хакерам". Значить, це безпрецедентний випадок. Але якщо вийшло один раз, то може вийти знову.

хакери, розслідування ФБР Fullscreen
Хакери могли попастися з кількох причин
Фото: Mr.Robot

Версії незалежних експертів: кілька теорій про спецоперацію ФБР

Фокус попросив кількох експертів у сфері кібербезпеки і криптоактивів прокоментувати цю ситуацію і висловити власну думку на рахунок того, яким саме чином спецагентам вдалося добути і повернути частину грошей.

У витоку даних винні хакери

Деякі західні експерти вважають, що операція пройшла успішно з вини хакерів-"фрілансерів", яких привабило угрупування Darkside, повідомляє CNN. Якщо припустити, що вони були відповідальні за систему захисту і десь допустилися помилки при її створенні або підтримки, то це дало спецслужбам карт-бланш. Агенти, які ведуть розслідування справи Colonial Pipeline, вирахували "новачків", визначили діри, здійснили злом, забрали дані — і вуаля!

ФБР вилучило сервер з криптогаманцем Darkside

Андрій Баранович, експерт з кібербезпеки, вважає, що ФБР могло добути потрібні дані, вилучивши орендований сервер, де зберігався гаманець. Вилучення техніки — звичайна практика в роботі спецслужб. Однак, в експерта є сумніви.

"Якщо вони вилучили сервер, то чому не заявляли про це? До чого така таємничість?", — каже Андрій.

Агенти взяли під контроль біткоїн-міксер

Експерт висуває й іншу теорію: бюро взяло контроль над яким-небудь "міксером" — мережею з гаманців, де змішуються чисті і брудні гроші й анонімні транзакції. Заарештувавши власника "міксера", агенти могли вилучити обладнання, отримати всі необхідні паролі, але не погасити інфраструктуру, а продовжувати нею користуватися, щоб відстежувати брудні гроші. (Тим більше, що в заяві ФБР згадуються "множинні адреси" і що "кордони [інших держав] — не проблема для цієї техніки").

"Судячи з того, що повернули 85% від суми (64 з 75 BTC), то Darkside забрав свою частку, і те, що потрапило до ФБР, — частка хакерів, які безпосередньо ламали мережу", — коментує Баранович. "Але це не більше, ніж теорія".

Біткоіни, хакери, криптовалюта Fullscreen
Любов до біткоїнів могла призвести до краху кіберафери
Фото: bloomberg.com

Біткоїн занапастив кіберзлочинців

Ця криптовалюта хоч і є найпопулярнішою, але аж ніяк не найбільш захищена, як наприклад, Monero і ZCash. Проте, хакери вибрали саме її. Чому? Якщо коротко, то відповідь буде така: жадібність фраєра згубила.

Як пояснив Фокусу Андрій Шевчишин, керівник аналітичного департаменту ГК "Форекс Клуб", біткоїн має велику ліквідність, і при великих сумах його простіше перевести в готівку. Можливо, тому зловмисники йому і надали перевагу.

"Якщо значний обсяг загнати на альткоїни, то це може зробити сильний рух на ринку при переведенні в готівку або для переходу на BTC або ETH. Думаю, вони хотіли продати або обміняти великий обсяг коштів, або перевести далі по ланцюжку на інших виконавців", — міркує Шевчишин .

У такому випадку хакерам довелося б забирати біткоїни зі свого гаманця по частинах, щоб безпечно їх вивести. Через біржі вони це зробити не могли — їх би відстежили. Але якщо скористатися послугами "міксера" і забирати частинами і виводити через різні адреси на різні гаманці, то можна заплутати сліди й отримати бажане в результаті.

Спецслужби зламали апаратний гаманець хакерів

У своїй колонці експерт з кібербезпеки, Костянтин Корсун, висунув ще одну версію: ФБР, відстеживши транзакцію, ідентифікувало власника кінцевого гаманця, знайшло цю людину і хакнуло його девайс разом з паролем до криптогаманця.

"Потім самі офіцери (або власник гаманця під примусом) відправили біткоїни назад Colionial Pipeline", — пише Костянтин.

Також можливо, що ФБР віддалено зламало девайс, на якому розташовувався гаманець, після чого власник видав пароль до нього під тиском.

крипто-гаманець, е-гаманець, Trezor Fullscreen
Апаратний криптогаманець Trezor

Який з варіантів правильний?

Перш ніж вибрати найбільш ймовірну відповідь на поставлене запитання, варто розібратися, як саме влаштовані криптогаманці.

Е-гаманець для зберігання криптовалюти — це програма, розміщена на спеціальному пристрої або е-біржі, або інтегрована в спеціальне програмне забезпечення.

Гаманець має два ключі — приватний і публічний. До першого мають доступ усі — це номер, що складається з цифр і символів, який використовується при відправленні коштів. Другий — пароль, що генерується криптографічно і являє собою серію випадкових чисел. Якщо точніше, — це шістнадцяткове число, яке використовується для підпису транзакцій. Згенерували ключ, підписали транзакцію, вона пройшла, адресат отримав переведення. Так це працює.

Гаманці бувають кастодіальними і не-кастодіальними. У першому випадку за закриті ключі і захист коштів відповідає розробник. А в другому, — власником особистих ключів є винятково клієнт, а тому відповідальність за кошти несе тільки він.

З цього випливає, що варіант зі зломом гаманця, розміщеного на спеціальному пристрої, запропонований Костянтином Корсуном, найбільш імовірний.

Однак, на користь теорії Андрія Барановича говорить і версія Андрія Шевчишина, коли хакери попалися завдяки тому, що попросили викуп у біткоїнах, а потім хотіли вивести їх за допомогою "міксера", який, можливо, уже контролювало ФБР.

А як усе було насправді, ми, напевно, не дізнаємося ніколи.