Сыграли по паролям: как ФБР изымает криптовалюты у хакеров
Министерство юстиции США заявило о возвращении оператору одного из крупнейших трубопроводов в стране — Colonial Pipeline — большей части выкупа, который компания выплатила хакерской группировке DarkSide: властям удалось вернуть 63,7 из 75 биткоинов (на момент выплаты 63,7 биткоина стоили $2,3 млн). В операции принимало участие ФБР, однако ее подробности спецслужба не раскрывает. Российские эксперты полагают, что агенты бюро отследили путь выкупа до идентифицированного посредника и на законных основаниях потребовали перевести биткоины на криптокошелек, доступ к которому у ФБР уже был. Также не исключается версия, согласно которой инцидент с Colonial Pipeline был инсценирован.
Однажды в Америке
В начале мая группа хакеров-вымогателей DarkSide атаковала оператора трубопроводов США компанию Colonial Pipeline. Для устранения последствий вредоносной программы пострадавшая организация 8 мая перевела на кошелёк киберпреступников 75 биткоинов (тогда они стояли $4,4 млн). Месяц спустя, 7 июня, Министерство юстиции США заявило о конфискации и возврате 63,7 биткоина у злоумышленников.
В том же отчете говорится, что оперативный доклад об инциденте позволил ФБР проследить путь выкупа в блокчейн-системе биткоинов до кошелька, от которого у ФБР был «закрытый ключ», зашифрованный эквивалент пароля, необходимый для доступа к средствам. При этом спецслужбы не раскрыли детали процедуры. Некоторые СМИ предположили, что американским силовикам удалось взломать биткоин-кошелек.
Основатель компании «Интернет-Розыск» Игорь Бедеров говорит, что немногословность спецслужб заставляет усомниться во взломе кошелька или перехвате «ключа». Эксперт считает, что в случае с DarkSide и Colonial Pipeline ФБР действовало по обычной схеме отслеживания криптовалюты и ее конфискации. А загадочная история с перехватом управления хакерским кошельком была придумана для создания видимости больших достижений в киберкриминалистике.
— Американским спецслужбам нужно было показать, что они умеют бороться с набирающими популярность киберпреступниками, что они якобы имеют ключи для вскрытия биткоин-кошельков и умеют работать по всему миру, отслеживая криптовалюту. И вот сейчас у них всё вдруг начало получаться. Хорошая PR-компания, — отметил Бедеров.
Подозрительным это достижение, по словам специалиста, делает то, что до описанных событий ФБР полтора года сильно отставало в успешности расследований киберинцидентов от европейских коллег. В частности, от спецслужб Голландии, Австрии, Франции и Германии.
Сломали «миксер»
Под обычной схемой Игорь Бедеров подразумевает отслеживание криптовалютных транзакций, которым пользуются правоохранительные органы во многих странах. Особенность блокчейн-системы, которая лежит в основе различных криптовалют, заключается в том, что она хранит в открытом реестре данные всех транзакций. Анализируя эту информацию при помощи общедоступных сервисов и искусственного интеллекта, можно проследить весь путь той или иной суммы, например, биткоинов. В том числе и той, которая интересует правоохранительные органы.
— Существует много различных сервисов по отслеживанию транзакций. Самым известным из них и имеющим контракты с правоохранительными органами многих стран, является Chainalysis.com, — добавил главный технологический эксперт «Лаборатории Касперского» Александр Гостев.
Интересующая правоохранительные органы сумма отслеживается до тех пор, пока она не переместится на идентифицированный счет, с владельцем которого можно связаться, объясняет Бедеров. Такими счетами зачастую выступают сервисы для конвертации криптовалюты — обменники или биржи, а также банкоматы. После идентификации счета спецслужбы выходят на связь с его владельцем и в рамках практики know your client (KYC), требуют отдать полученную от преступников сумму правительству.
KYC (Know Your Customer — «Знай своего клиента») является частью свода законов, направленных на борьбу с отмыванием денег, который называется Anti-money laundering (AML, «борьба с отмыванием денег»). В России эквивалентом AML служит система противодействия отмыванию денежных средств и финансированию терроризма (ПОД/ФТ).
— Одна из самых больших проблем в таком расследовании — доказать принадлежность того или иного кошелька физическому лицу. Учитывая, что компьютер, к которому прикреплен кошелек, может иметь несколько пользователей, сделать это непросто, — пояснил Бедеров.
Киберпреступники, зная об инструментах спецслужб, часто заметают следы с помощью разных уловок. Одной из таких является «миксер» — сервис, который разбивает сумму биткоинов на сотни активов поменьше, распределяет их по разным кошелькам и после собирает снова. На выходе получается та же сумма, что и на входе за вычетом комиссии, которую берет владелец «миксера».
Подобная процедура усложняет работу спецслужб тем, что заметно увеличивает количество транзакций, которые нужно отслеживать и анализировать. Однако «миксер» далеко не всегда позволяет сбить полицейских со следа, поскольку и эти сервисы тоже бывают подконтрольными спецслужбам.
Заметать следы киберпреступникам помогают и обменники, в которых можно конвертировать одну криптовалюту в другую. Например, биткоин в ZCash, Dash и Monero, анонимные криптовалюты, блокчейн-системы, в которых записи не о всех транзакциях открыты. По словам Бедерова, опытные киберпреступники не останавливаются только на конвертации имеющейся криптовалюты, например, в Monero и дополнительно прогоняют ее через собственные «миксеры», созданные специально для одного-двух использований. После такой процедуры проследить путь преступных денег становится практически невозможно. Поэтому спецслужбы стараются конфисковать деньги именно в момент, когда они достигают обменников.
Был ли выкуп?
В случае с DarkSide и Colonial Pipeline, по мнению Бедерова, события, скорее всего, разворачивались в рамках описанных выше сценариев. Сначала ФБР получили от Colonial Pipeline адрес кошелька DarkSide или отследили его еще раньше. Затем вымогатели разделили выкуп на две части номиналом в 11,3 и 63,7 биткоина. Вероятно, чтобы расплатиться с партнерами.
Меньшая часть отправилась в «миксер» и пропала с радаров ФБР. Вторая тоже отправилась в миксер, но застряла в нем до 27 мая. В тот же день, судя по материалам дела, которые опубликовал Минюст США, некое лицо, имя которого скрыто, перевела на кошелек, ключ от которого был у ФБР, 69 биткоинов.
— С высокой долей вероятности скрываемое лицо было владельцем «миксера», которого идентифицировали и мотивировали передать средства ФБР, ссылаясь на решение суда, — считает Бедеров.
Независимый исследователь информационной безопасности, автор Telegram-канала Russian OSINT Сергей Иванов ставит под сомнение идею, что профессиональные хакеры могли воспользоваться «миксером» в данной ситуации.
— Учитывая резонанс атаки, мало кто из неподконтрольных спецслужбам владельцев «миксеров» в здравом уме согласится принять такую «грязь» и стать соучастником громкого киберпреступления, которое приравнивается к национальной угрозе США, — говорит эксперт.
Сергей Иванов считает, что профессиональные киберпреступники зачастую используют более сложные схемы для запутывания следов. Цепь событий, которую представили власти США, может показаться успешной операцией только для наблюдателей со стороны: обывателей и СМИ. Специалистам же по ИБ история с «блокировкой» криптовалюты сразу показалась сомнительной.
В то же время часть специалистов не исключает, что атака на Colonial Pipeline была инсценирована. Например, Бедеров считает тот факт, что DarkSide завела деньги в анонимный, а не свой «миксер», абсурдным. Потому что в таком случае нет никакой гарантии, что они оттуда выйдут.
Сергей Иванов в свою очередь обращает внимание на то, что требование выкупа в биткоинах тоже является нетипичным поведением для профессионалов. В том числе и поэтому эксперт склоняется к версии, согласно которой атака на Colonial Pipeline была спланирована спецслужбами.
— Если ознакомиться с расследованием WikiLeaks 2017, можно узнать, что спецслужбы в развитых странах обладают серьезным опытом и технологиями по проведению спецопераций «под ложным флагом», которые осуществляются с целью убедить общественность в том, что эти операции проводятся другими государствами. Выстроить атрибуцию в отношении конкретной страны и даже мимикрировать под хорошо организованную киберпреступную группировку для передовых государств вполне по силам, — отметил эксперт.
В случае с Colonial Pipeline действие от имени России кажется особенно выгодным. Поскольку, по словам Иванова, так можно набрать политические очки и увеличить расходы на военные бюджеты.
Гостев не согласен с этой версией. По его словам, у «Лаборатории Касперского» нет ни технических, ни логических аргументов в ее пользу.