Обложка: Новая волна кибермошенничества под прикрытием биткоина

Новая волна кибермошенничества под прикрытием биткоина

Заур Абуталимов
Заур Абуталимов

Директор по продуктам Ivideon

Только в Европе, в прошлом году,  было отмыто 5,2 миллиарда долларов через криптовалюту.  Насколько биткоин анонимен, и как ФБР впервые в истории удалось вернуть большую часть выкупа крупнейшему трубопроводу в США?

Криптовалюта ещё вне закона? Мир снова как «лебедь, рак и щука»

Криптовалюты задумывались как финансовый инструмент с изначально низким уровнем регулирования. Они до сих пор не управляются центральным органом власти, а транзакции нельзя тщательно отследить. Это позволяет кибермошенникам нового поколения создавать целую инфраструктуру. Личность нельзя связать с виртуальным адресом, ликвидными биткоинами обмениваются, а мошеннические схемы транзакций могут распространяться на 23 электронных кошелька.

Всё это усложняет поиск киберпреступников, которые давно уже находятся не в тюремных колл-центрах, а за границей. Что выносит их за пределы национального законодательства стран и банковского регулирования.

Мир снова разделился по отношению к регулированию криптовалют. Министерство финансов США назвало необходимость отчитываться о любом переводе средств от 10 тысяч долларов в криптовалюте инструментом борьбы с уклонением налогов и деанонимизации кибермошенничества.

А Сальвадор, например, признал биткоин законным средством платежа. То же намерены сделать Панама и Тунис — они на разных государственных уровнях обсуждают легализацию криптовалюты. В ОАЭ уже с 2018 года продают квартиры в биткоинах. А Президент Европейского центрального банка (ЕЦБ) Кристин Лагард в апреле 2021 года рассказал о намерении выпустить цифровой евро. По его прогнозам, это случится в ближайшие четыре года.

Россия не разделяет европейского «воодушевления» в подобных цифровых экспериментах. Здесь действует запрет на пополнение наличными анонимных электронных кошельков. Банки могут блокировать счета, если транзакции кажутся им подозрительными.

Кибермошенники тоже плачут? Как ФБР смог вернуть часть выкупа Colonial Pipeline в биткоинах.

В мае стало известно, что крупнейший трубопровод в США Colonial Pipeline стал жертвой кибермошенничества и подвергся атаке со стороны группировки Darkside. Как следствие, приостановилась подача топлива всем городам Восточного побережья США. А цена на бензин резко выросла на 25%.

Организация заплатила выкуп в 75 биткоинов (4,4 миллиона долларов), чтобы восстановить отключенную компьютерную сеть, получить ключи дешифровки и снизить экономические риски для нефтепровода. Большую часть суммы — 63,7 биткоина или 2,3 миллиона долларов— удалось вернуть.

Известно, что руководство компании при выплате выкупа следовало инструкциям от ФБР. Это позволило отследить электронный кошелек из России и взломать его «частным ключом». Как сообщает New York Times, деньги проходили через экосистему, состоящую из 23 электронных кошельков. И в итоге оказались, на аккаунте, который взломали по решению федерального суда. Разумеется, публично никто не говорит, как американские спецслужбы получили «закрытый ключ» от кошелька.

Конечно, сейчас весь мир гадает, как ФБР удалось это сделать. У IT-сообщества нет однозначного ответа. Однако есть несколько популярных версий.

Была найдена уязвимость криптокошелька. Где хранился выкуп: «горячий» или «холодный» кошелёк?

Эксперты отмечают уязвимость кастодиальных криптокошельков («горячие кошельки»). В них любые браузерные «мосты» между блокчейном и пользователем, например биржи или кошельки, небезопасны. Это происходит, потому что пароли от горячих кошельков, в частности, хранятся в компьютере пользователя.

Данные могут утечь через фишинговый сайт или попытки подключения к браузеру. Обычно «горячие кошельки» редко используются для хранения крупных сумм. Скорее всего, выкуп хранился на «холодном кошельке» или на некастодиальной бирже.

Холодные кошельки безопаснее — биржа не хранит никакой информации про владельца. Обратная сторона: если такой кошелёк взломают — это целиком вина пользователя. Допустим, произошла утечка seed-фразы, если кибермошенники допустили риски «цифровой гигиены» и за компьютером следили (например, от ПК не были отключены Wi-Fi, Bluetooth или были открыты другие окна в браузере). Подобные случаи уже случались: 15-летний подросток взломал кошелёк для криптовалют Ledger, который считался самым надёжным в мире.

Силовые и стратегические инструменты ФБР

Безусловно, мы можем только догадываться, какие инструменты применялись ФБР. Возможно, речь идёт о силовом задержании представителя DarkSide и принудительной разблокировке его телефона через FaceID. Так можно было получить доступ к перепискам на персональных устройствах кибермошенника. Нельзя отрицать работу сотрудника ФБР «под прикрытием» в организации.  Или наличие аффилированных лиц в структуре.

Как вы относитесь к криптовалюте?