Hur fick Feds Pipeline Hackers Bitcoin? Här är den bästa teorin

I korthet

  • Hackgruppen gjorde två stora misstag som lät USA ta beslag på Bitcoin.
  • Gruppen lämnade sannolikt en privat nyckel där brottsbekämpning kunde hitta den.

US Justice Department fick en sällsynt seger mot ransomware-brottslingar den här veckan och återhämtade det mesta av Bitcoin skurkarna pressade ut efter en uppmärksammad attack mot Colonial Pipeline.

Som den New York Times berättade visar feds seger mot hackarna hur Bitcoin kan spåras på allmänheten blockchain nätverk – ett faktum som är välkänt för de som är insatta i krypto, men mindre för allmänheten. Men vad Tider och andra inte förklarade är just hur justitiedepartementet fick händerna på Bitcoin i första hand.

Mysteriet är särskilt förbryllande eftersom ransomware-gängets attack var tillräckligt sofistikerad för att förstöra energiförsörjningen på östkusten. Om gänget kunde dra det där av, hur kunde de vara så dumma att sätta Bitcoin lösen i en digital plånbok som låg inom räckvidden för amerikansk brottsbekämpning?

I en typisk ransomware-attack kan offren inte återhämta Bitcoin eftersom förövarna och deras plånbok finns utomlands. Visst, det är möjligt att spåra betalningarna på den offentliga blockchain. Men skurkarna brukar vispa Bitcoins i så kallade mixers – tjänster som blandar Bitcoins med andra fonder eller omvandlar dem till andra kryptovalutor – och sprider dem i andra plånböcker, vilket gör pengarna nästan omöjliga att ta. Så vad hände med lösen för Colonial Pipeline?

Dmitry Smilyanets har en ganska bra idé. En hotanalytiker vid cybersäkerhetsföretaget Record Future, Smilyanets är expert på ransomware och kryptovaluta och berättade Avkryptera han tror att rörledningsskurkarna bara är amatörer som drev en franchiseaktion under de riktiga masterminds.

Bevisen som han säger är att justitieministeriet återhämtade bara 63,7 av de 75 Bitcoins som betalades i lösen. De saknade 11,3 Bitcoins uppgår till 15% av lösen – en siffra som är den vanliga uppdraget att använda ransomware, som görs av en skuggig grupp som heter DarkSide. Gruppen hyr ut sina verktyg till andra hackare som har använt dem för att pressa ut mer än 90 miljoner dollar totalt.

Resultatet är att den oåtervunna delen av ledningslösningen gick till en plånbok som kontrollerades av DarkSide, som justitieministeriet inte kunde få tag på. Det förklarar naturligtvis inte hur fedsna – som säger att de ”inte vill ge upp vårt tradecraft” – utnyttjade resten.

Svaret, säger Smilyanets, är att amatörerna gjorde ett stort misstag när de hårdkodade den privata nyckeln till sin Bitcoin-plånbok i det större ransomwarepaketet som de använde. De gjorde ett annat misstag, säger han, när de hyrde en server i USA som drivs av en molnleverantör som heter Digital Ocean.

Ransomware-skurkarna hyrde den servern, säger Smilyanets, för att påskynda processen att exfiltrera de data de stal från rörledningsoperatören till ett annat land. Mängden data är enorm, så att använda en mellanhand som Digital Ocean för att tillfälligt lagra och vidarebefordra data utomlands gör ransomware-operationen effektivare.

Men som Smilyanets förklarade verkar det som att skurkarna också inkluderade den privata nyckeln till sin Bitcoin-plånbok bland de andra uppgifterna som de kanaliserade till Digital Ocean.

Utformningen av Bitcoins krypteringssystem gör det enkelt att dechiffrera den offentliga nyckeln till en Bitcoin-plånbok om du känner till den privata (men inte tvärtom). Om justitiedepartementet erhöll både privata och offentliga nycklar, skulle det ha varit lätt att ta beslag på Bitcoin – vilket effektivt rånade hackarna som hade utpressat rörledningsoperatören.

Smilyanets säger att allt detta pekar på en slarvig operation av hackarna, som han misstänker är unga män som, berusade på framgången med sin utpressningsplan, drog fötterna för att stänga servern och flytta Bitcoin till en säker plats.

Under tiden säger Smilyanets att allvaret i rörledningsattacken utlöste ett ovanligt snabbt och effektivt svar från justitieministeriet och andra.

”Det innebar ett snabbt samarbete mellan brottsbekämpning och privata hotinformation och dataföretag,” sa han.

Allt detta antyder att ransomware-förövarna var slarviga men också olyckliga att dra av rörledningen vid en tidpunkt för nya motåtgärder av amerikansk brottsbekämpning – motåtgärder som inkluderar att ställa upp en ny Ransomware och Digital Extortion Task Force.

Det finns naturligtvis andra teorier om hur amerikansk brottsbekämpning återhämtade de flesta Bitcoins som betalats av Colonial Pipeline. En möjlighet, svävad av Tider, är att feds planterade en mänsklig spion inuti DarkSide-nätverket och hackade sina datorer – men detta verkar osannolikt med tanke på att DarkSide fortfarande fick sitt 15% -skär och att spionen inte varnade Colonial Pipeline i första hand. Under tiden föreslog vissa att den amerikanska regeringen hade gripit lösensumman genom att bryta Bitcoins kryptering – ett förslag som helt klart är fel, men som ändå fick priset på Bitcoin att krascha. Det har sedan återhämtat sig.

För tillfället är Smilyanets teori – att pipeline-hackarna var amatörer som blev slarviga genom att lämna en privat nyckel där den kunde hittas på en amerikansk server – den starkaste. Och den starkaste teorin är vanligtvis den rätta.



Source link