Министерство юстиции США сообщило, что оператор Colonial Pipeline, одного из крупнейших трубопроводов в стране, вернул большую часть выкупа, выплаченного компанией хакерской группе DarkSide: властям удалось вернуть 63,7 из 75 биткойнов (63,7 биткойна стоили £2 на момент оплаты).$3 млн). К операции привлекалось ФБР, однако детали спецслужбы не разглашают. Российские эксперты считают, что агенты бюро отследили выкуп установленного брокера и на законных основаниях потребовали перевести биткойны на криптовалютный кошелек, к которому ФБР уже имело доступ. Не исключена и версия о том, что инцидент с Colonial Pipeline был инсценирован.
Однажды в Америке
В начале мая группа хакеров из программы-вымогателя DarkSide атаковала американского оператора трубопровода Colonial Pipeline. Чтобы устранить последствия вредоносного ПО, 8 мая пострадавшая организация передала киберпреступникам 75 биткойнов (тогда это стоило 4,4 миллиона долларов). Спустя месяц, 7 июня, Министерство юстиции США сообщило, что у злоумышленников было конфисковано и возвращено 63,7 биткойна.
В том же отчете говорится, что оперативный отчет об инциденте позволил ФБР отследить биткойн-вымогатели на основе блокчейна до кошелька, от которого у ФБР был «закрытый ключ», зашифрованный эквивалент пароля, необходимого для доступа к средствам. Однако подробности процедуры спецслужбы не разглашают. Некоторые СМИ предположили, что службы безопасности США успешно взломали биткойн-кошелек.
Игорь Бедеров, основатель «Интернет-поиска», говорит, что молчание службы безопасности заставляет усомниться в том, что кошелек взломан или «ключ» изъят. Эксперт считает, что в случае с DarkSide и Colonial Pipeline ФБР действовало по установленной схеме нацеливания и конфискации криптовалюты. А загадочная история о взломе хакерского кошелька была придумана, чтобы создать видимость больших достижений в области киберкриминалистики.
— Американские спецслужбы должны были показать, что они знают, как бороться с набирающими популярность киберпреступниками, что у них якобы есть ключи для открытия биткойн-кошельков и что они умеют работать по всему миру, отслеживая криптовалюты. И теперь они внезапно становятся хорошими в этом. Хорошая пиар-кампания, — отметил Бедеров.
Что, по мнению эксперта, заставляет подозревать это достижение, так это тот факт, что до описанных выше событий ФБР на полтора года отставало от своих европейских коллег в успехах расследований киберпреступлений. В частности, спецслужбы Нидерландов, Австрии, Франции и Германии.
Сломали «миксер»
Под условной схемой Игорь Бедеров подразумевает отслеживание криптовалютных транзакций, которым пользуются правоохранительные органы многих стран. Особенностью системы блокчейн, на которой основаны различные криптовалюты, является то, что все данные транзакций хранятся в общедоступном реестре. Анализируя эту информацию с помощью государственных сервисов и искусственного интеллекта, вы можете проследить весь путь до определенной суммы денег, например биткойнов. Это касается и суммы, которая интересует правоохранительные органы.
— Доступно множество различных сервисов отслеживания транзакций. Chainalysis.com — самая известная из них и имеет контракты с правоохранительными органами многих стран», — добавил Александр Гостев, главный эксперт по технологиям «Лаборатории Касперского».
Сумма денег, интересующая правоохранительные органы, отслеживается до тех пор, пока она не перейдет на идентифицированный счет, с которым можно связаться, поясняет Бедеров. Такими счетами часто являются сервисы конвертации криптовалюты – обменные пункты или биржи, а также банкоматы. После установления владельца счета спецслужбы связываются с ним и в рамках практики «знай своего клиента» (KYC) просят правительство перевести сумму, полученную от преступников.
KYC (Know Your Customer) является частью законодательства о борьбе с отмыванием денег (AML). В России аналогом ПОД является система по борьбе с отмыванием денег и финансированием терроризма (ПОД/ФТ).
— Одной из самых больших проблем в таком расследовании является доказательство того, что данный кошелек принадлежит данному лицу. Учитывая, что у компьютера, к которому привязан кошелек, может быть несколько пользователей, сделать это непросто, пояснил Бедеров.
Зная инструменты спецслужб, киберпреступники часто заметают следы, используя различные уловки. Одним из них является «смеситель» — сервис, который делит количество биткойнов на сотни более мелких активов, распределяет их по различным кошелькам, а затем снова собирает. Выход равен той же сумме, что и вход, за вычетом комиссии, взимаемой владельцем миксера.
Эта процедура усложняет работу спецслужб за счет увеличения количества транзакций, которые необходимо отслеживать и анализировать. Однако «микшер» не всегда застает полицию врасплох, так как эти службы также могут контролироваться спецслужбами.
Помогают киберпреступникам и биржи, где можно обменять одну криптовалюту на другую. Например, биткойн в ZCash, Dash и Monero, анонимные криптовалюты, блокчейн-системы, в которых записи обо всех транзакциях не являются общедоступными. По словам Бедерова, опытные киберпреступники не останавливаются на конвертации существующей криптовалюты, например, в Monero, но и пропускают ее через собственные «миксеры», разработанные специально для одного-двух применений. После такой процедуры отследить путь криминальных денег становится практически невозможно. Поэтому спецслужбы стараются конфисковать деньги именно тогда, когда они поступают в обменные пункты.
Был ли выкуп?
В случае с DarkSide и Colonial Pipeline Бедеров считает, что события, скорее всего, развивались по описанным выше сценариям. Во-первых, ФБР получило или отследило адрес кошелька DarkSide из Colonial Pipeline. Затем мошенники разделили выкуп на две части номиналом 11,3 и 63,7 биткойна. Предположительно, чтобы расплатиться со своими партнерами.
Меньшая часть отправилась в «блендер» и исчезла с радаров ФБР. Второй тоже ушел в миксер, но застрял в нем до 27 мая. В тот же день, согласно материалам дела, опубликованным Министерством юстиции США, человек, чье имя было засекречено, перевел 69 биткойнов на кошелек, ключ от которого находился в распоряжении ФБР.
«Весьма вероятно, что скрытым лицом был владелец «блендера», который был установлен и мотивирован на передачу средств ФБР со ссылкой на постановление суда», — сказал Бедеров.
Сергей Иванов, независимый исследователь информационной безопасности и автор Telegram Russian OSINT, сомневается в том, что профессиональные хакеры могли использовать в этой ситуации «микшер».
— Учитывая воздействие атаки, мало кто из владельцев «миксеров» в здравом уме, неподконтрольных спецслужбам, согласился бы принять такую »грязь» и стать соучастником громкого киберпреступления, которое приравнивается к национальной угрозе США, сказал эксперт.
Сергей Иванов считает, что профессиональные киберпреступники часто используют более изощренные схемы, чтобы замести следы. Цепочка событий, представленная властями США, может показаться удачной операцией лишь внешним наблюдателям: обывателям и СМИ. Однако для экспертов по ИБ история «блокировки» криптовалют сразу же вызвала сомнения.
В то же время некоторые эксперты не исключают, что атака на Колониальный трубопровод была инсценирована. Например, Бедеров считает абсурдным тот факт, что DarkSide вложил деньги в анонимный «блендер», а не в свой собственный. Потому что в таком случае нет никакой гарантии, что они из него выйдут.
Сергей Иванов, в свою очередь, указывает на то, что требование выкупа в биткойнах также является непривычным для профессионалов поведением. Это одна из причин, по которой эксперт склоняется к версии, что атака на Колониальный трубопровод была спланирована спецслужбами.
— Расследование WikiLeaks 2017 года показывает, что спецслужбы в развитых странах обладают значительными знаниями и технологиями для проведения специальных операций под ложным флагом, чтобы убедить общественность в том, что эти операции проводятся другими странами.Выстраивание атрибуции на конкретную страну и даже имитация хорошо организованной киберпреступной группы вполне возможны для развитых стран, считает эксперт.
В случае с Colonial Pipeline действия в пользу России кажутся особенно выгодными.Потому что, по мнению Иванова, таким образом можно набрать политические очки и увеличить расходы военного бюджета.
Гостев не согласен с этой версией.По его словам, у «Лаборатории Касперского» нет ни технических, ни логических аргументов в свою пользу.
