Jak nowy zespół federalnych zhakował hakerów i odzyskał Bitcoin z rurociągu kolonialnego
VANESSA ROMO
WFSU
Departament Sprawiedliwości w poniedziałek zachwalał odzyskanie 2,3 miliona dolarów – około połowy – okupu, który został zebrany przez hakerów podczas ataku Colonial Pipeline w zeszłym miesiącu. Eksperci twierdzą, że był to zaskakujący wynik w stosunku do coraz częstszego i poważnego przestępstwa.
„Oprogramowanie ransomware jest bardzo rzadko odzyskiwane” – powiedziała April Falcon Doss, dyrektor wykonawczy Instytutu Prawa i Polityki Technologicznej w Georgetown Law, która określiła je jako „naprawdę wielką wygraną” dla rządu. „Nie wiemy, czy utoruje to drogę do podobnych sukcesów w przyszłości”.
Dzieje się tak, ponieważ istnieje kilka niewyjaśnionych czynników, które przyczyniły się do sukcesu operacji.
Nowa grupa zadaniowa trzyma klucz
Podczas poniedziałkowej konferencji prasowej najwyżsi federalni funkcjonariusze organów ścigania wyjaśnili, że pieniądze zostały odzyskane przez niedawno uruchomioną grupę zadaniową Ransomware and Digital Extortion Task Force, która została utworzona w ramach odpowiedzi rządu na falę cyberataków.
Aby rozwiązać atak na Colonial Pipeline, firma zapłaciła 8 maja około 4,4 miliona dolarów za odzyskanie dostępu do swoich systemów komputerowych po tym, jak jej ropociągi i gazociągi we wschodnich Stanach Zjednoczonych zostały sparaliżowane przez oprogramowanie ransomware.
Ofiary tych ataków otrzymują bardzo szczegółowe instrukcje dotyczące tego, kiedy i gdzie wysłać pieniądze, więc często zdarza się, że śledczy śledzą kwoty płatności na kontach kryptowalutowych, zazwyczaj Bitcoin, założonych przez organizacje przestępcze odpowiedzialne za wyłudzenie. Niezwykłe jest to, że można odblokować te konta w celu odzyskania środków.
Dokumenty sądowe opublikowane w sprawie Colonial Pipeline mówią, że FBI dostało się do środka, używając klucza szyfrującego powiązanego z kontem Bitcoin, na które dostarczono pieniądze z okupu. Jednak urzędnicy nie ujawnili, w jaki sposób zdobyli ten klucz. Jednym z powodów, dla których przestępcy lubią używać Bitcoina i innych kryptowalut, jest anonimowość całego systemu, a także pomysł, że dostęp do środków w dowolnym portfelu kryptowalut można uzyskać tylko za pomocą złożonego klucza cyfrowego.
„Klucz prywatny jest, z punktu widzenia technologii, tym, co umożliwiło przejęcie tych funduszy” – powiedział Doss. Dodała, że cyberprzestępcy dołożą wszelkich starań, aby chronić wszelkie informacje, które mogą doprowadzić kogoś do powiązania klucza z osobą lub organizacją: „Naprawdę spróbują zatrzeć swoje ślady”.
Urzędnicy prawdopodobnie odzyskali klucz prywatny na jeden z trzech sposobów
Jedną z możliwości jest to, że FBI zostało powiadomione przez osobę powiązaną z atakiem: osobę lub grupę stojącą za programem, mówi Doss, albo osobę związaną z DarkSide, rosyjskim twórcą oprogramowania ransomware, który dzierżawi swoje złośliwe oprogramowanie innym przestępcom za opłata lub udział w przychodach.
Druga teoria mówi, że FBI odkryło klucz dzięki nieostrożnemu przestępcy.
Zastępca dyrektora FBI Paul Abbate powiedział w poniedziałek, że biuro bada DarkSide od zeszłego roku.
Doss zauważa, że prawdopodobne jest, że podczas inwigilacji urzędnicy mogli mieć nakaz przeszukania, który umożliwiał im dostęp do e-maili lub innej komunikacji przez jedną lub więcej osób uczestniczących w programie. „Dzięki temu mogli uzyskać dostęp do klucza prywatnego, ponieważ być może ktoś wysłał coś, co pomoże im wyśledzić” – mówi.
Doss mówi, że trzecią możliwością jest to, że FBI wytropiło klucz, wykorzystując informacje otrzymane z Bitcoina lub z giełdy kryptowalut, gdzie pieniądze odbijały się z jednego konta na drugie od momentu pierwszej zapłaty.
Mówi, że nie wiadomo, czy którakolwiek z giełd była chętna do współpracy z FBI lub odpowiedzi na wezwania agencji – ale jeśli tak, może to zmienić grę w walce z atakami ransomware.
Według Dossa, mało prawdopodobne jest to, że FBI w jakiś sposób włamało się do klucza na własną rękę. Chociaż przyznaje, że jest to teoretycznie możliwe, „pomysł, że FBI, poprzez jakąś metodę deszyfrowania metodą brute-force, odkryłoby klucz prywatny, wydaje się być najmniej prawdopodobnym scenariuszem”.
Niezależnie od tego, Doss mówi, że jeśli władze będą w stanie konsekwentnie usuwać zyski z ataków, prawdopodobnie wyeliminują przestępstwo.
Podążanie za pieniędzmi nie trwało długo
To powiedziawszy, napastnicy popełnili w tym przypadku niezwykły błąd, nie utrzymując pieniędzy w ruchu. Ostatecznie odzyskane 2,3 miliona dolarów nadal znajdowało się na tym samym koncie Bitcoin, na które zostało dostarczone.
„Naprawdę nie widać tego w przypadku cyberprzestępczości” – powiedział Doss.
Powiedziała na przykład, że istnieje inne oszustwo, w którym firma jest nakłaniana do przesłania płatności za pomocą fałszywych instrukcji. „Fundusze są przelewane na konta w legalnych bankach. Banki nie zdają sobie sprawy, że konto zostało założone przez nieuczciwego aktora. A gdy tylko te środki trafią na konto, przestępcy niemal natychmiast je z niego usuwają” – powiedział Doss. „W ciągu 72 godzin te fundusze zniknęły i bardzo trudno je wyśledzić lub prześledzić”.
Doss podejrzewa, że podczas ataku na Colonial Pipeline napastnicy byli zbyt pewni, że nie można namierzyć pieniędzy, a ich klucz prywatny jest bezpieczny.
Pokrzyżowanie większej liczby tych schematów wymuszeń może mieć kluczowe znaczenie dla gospodarki USA. Według Coalition, firmy zajmującej się cyberbezpieczeństwem, która śledzi roszczenia ubezpieczeniowe, żądania okupu podwoiły się w latach 2019-2020.
Wydaje się, że w tym roku koszty te wciąż rosną. Bloomberg donosi, że w marcu CNA Financial Corp., jedna z największych firm ubezpieczeniowych w USA, zapłaciła 40 milionów dolarów po ataku ransomware.
W kwietniu gang REvil, zajmujący się oprogramowaniem ransomware, zażądał od Apple 50 milionów dolarów w zamian za dane i schematy, które rzekomo ukradli, koncentrując się na niepublikowanych produktach. Nie jest jasne, czy Apple spełnił żądania REvil, ale grupa przestępcza zagroziła zlicytowaniem informacji, jeśli tego nie zrobi.
Przetlumaczyla GR przez translator google
https://www.npr.org/2021/06/08/1004223000/how-a-new-team-of-feds-hacked-the-hackers-and-got-colonial-pipelines-bitcoin-bac
Brak komentarzy:
Prześlij komentarz