Как ФБР върна откупа, платен от Colonial Pipelines

Когато похитителите искат откуп, би било разумно да имат план за безопасно съхранение на плячката. Киберпрестъпниците също трябва да спазват това правило, пише Тим Кълпан за Bloomberg.

Хакерите, които проникнаха и криптираха в компютърните файлове на оператора Colonial Pipeline миналия месец, отправиха обичайно искане: „Платете или вашите файлове остават заключени завинаги“. Откупът трябваше да бъде платен в биткойн.

Според фолклора (и правоприлагащите органи) криптовалутите са предпочитана среда за мошеници и терористи, защото са чисто дигитални и трудни за проследяване. Компютърните откупни атаки са се случвали преди изобретяването на биткойн, но нарастват с популярността на дигиталните валути.

В Colonial Pipeline Co. прекъсването беше опустошително - доставките на гориво през източните части на САЩ бяха прекъснати, а шофьорите бяха принудени да се редят на опашки за бензин. На 8 май компанията плати 75 биткойна откуп, еквивалентни на около 4.3 милиона долара по това време. След това файловете бяха отключени - технически, дешифрирани - и в крайна сметка бензинът отново започна да тече. Но също и следата от доказателства.

За Федералното бюро за разследвания - което е твърдо против плащането на откуп - тази първа трансакция беляза началото на цифрово преследване с автомобили. Агентите от отдела за киберпрестъпления на ФБР в Сан Франциско знаеха нещо, което изглежда много хора забравят: всяка трансакция с биткойн е проследима. Те са записани в публично достъпна „счетоводна книга“

Използвайки лесно достъпни инструменти, всеки може да проследи какво се случва с всеки даден крипто адрес. ФБР направи точно това, внедрявайки блокчейн изследовател – нещо като крипто търсачка - за да проследи парите.

Когато хакерите - идентифицирани от ФБР като свързаната с Русия група за киберпрестъпност DarkSide - поискаха откупа в биткойн, те трябваше да оставят адреса си. Получаването на парите винаги е слабото място във всяка схема за откуп и този случай не беше по-различен.

Така ФБР имаше адреса, на който бяха платени 75 биткойна, и имаха инструмент за търсене, който можеше да проследи движенията на този адрес. В аналогови времена това би приличало на пуснете нещо в пощенската кутия и федералните агенти да чакат наблизо някой да прибере пратката.

В цифровия свят обаче е просто да прехвърлите тези биткойни на друг адрес. И друг. И друг. Това се прави, за да се скрие следата и да се маскира потокът от средства, нещо като пране на пари. До 27 май ФБР идентифицира поне две дузини различни биткойн адреси, използвани при движението на средствата. След това по-голямата част от тях, общо 69.6 биткойна, е върната обратно към един последен адрес.

Тук се губят някои от детайлите.

Някак си ФБР са имали частния ключ за този последен адрес. Повечето криптографски системи работят на протокол с публично-частен ключ. Публичният ключ може да се разглежда като подобен на имейл адрес, а частният ключ - паролата. Тези пароли са изключително дълги и почти невъзможни за отгатване.

Как ФБР е успяло да получи ключа, все още не е публично достояние. Има шанс ФБР да е хакнало хакерите или някой друг да е предал ключа на Бюрото. Или може би това е действие от вътрешен информатор.

Съществува също така възможността този краен адрес да не е принадлежал на хакерите, а на борсата за криптовалута.

Това е широко погрешно разбрана характеристика на централизираните борси - хората, които си мислят, че имат биткойн, всъщност нямат биткойн. Вместо това, биткойн седи в портфейла на борса, като Coinbase, и всичко, което клиентът има, е документ, че притежава биткойн. Частният ключ е при борсата, а не при клиента, което поражда правилото: „Ако не притежавате личните си ключове, вие не притежавате вашите биткойни.“

Ето защо хиляди потребители през годините са загубили милиони долари в криптовалута в резултат на хакове, най-известният от които бе атаката срещу Mt. Gox, която приключи с фалита на японската компания през 2014 г.

Борсите са длъжни да следват закона, което означава да се отговаря на искания от държавни агенции за информация за клиенти. Например Coinbase получи повече от 4200 заявки през 2020 г., повече от половината през втората част на годината. ФБР е агенцията, която стои зад 30% от запитванията в САЩ.
Дадена борса може да бъде задължена да предаде частните ключове за определен адрес.

Къде точно са били държани биткойните и кой е дал на ФБР частния ключ, е все още тайна. За хакерите спецификата на начина, по който ФБР е поличило паролата, не е от голямо значение. Но те са допуснали по-фундаментална грешка, като изобщо са държали своите биткойни онлайн. Този метод на съхранение се нарича „горещ портфейл“ - той може да бъде лесно достъпен през мрежата, но не е защитен

Защитниците на сигурността препоръчват на всеки с криптовалута да я съхранява в „студен портфейл“, известен също като хардуерен портфейл, който не е свързан с интернет и по този начин не може да бъде хакнат. Това обикновено е под формата на USB устройство, но тъй като частният ключ е просто 256-битов низ от единици и нули, това дори може да бъде лист хартия.

Хакерите на Colonial Pipeline са напълно наясно с всичко това, но по някаква причина не са спазили основните принципи на сигурността при биткойн. И сега са много по-бедни заради това.