June 8, 2021

Что известно о взломе хакеров трубопровода Colonial

Вчера вечером CNN рапортовала о взломе взломщиков, востребовавших выкуп с администрации нефтетрубопровода Colonial. Департамент юстиции США смог "восстановить" $2.3М в биткоинах, уплаченных в пользу группы известной как DarkSide. Всего компания-менеджер заплатила $4.4М за деактивацию ransomware и восстановление работы трубопровода, являющегося критической инфраструктурой восточного побережья США.

Статья CNN, или пресс-релиз DOJ, не проясняли деталей атаки и это звучало как будто Департамент юстиции и ФБР "взломали" Биктоин. Далее начали появляться детали, например, ордер с конкретным биткоин-адресом (со ссылкой на репортёра NBC) и разъяснением, что ключи хранились на сервере в штате Калифорния.

Elliptic (компания, которая отслеживает транзакции ончейн) далее пояснил механику работы ransomware: жертва выплачивает биткоины, которые затем делятся между "рефералом" и разработчиком, которым в данном случае были группой Darkside. Средства делились в пропорции 85% (63.75 BTC) к 15% в пользу разработчика. DarkSide работает по модели “Ransomware as a Service” (RaaS) и пост Elliptic достаточно хорошо объясняет почему произошедшее стало возможным (Hypecoinnews не знал механику ransomware платежей). Вредоносное ПО могло бы быть внедрено через инсайдера, который в некотором роде не являлся опытным хакером, а только имел или получил доступ в интранету Colonial pipeline. Будучи не совсем осведомлённым о том, как работает Биткоин или возможно под воздействием ещё каких-то соображений, о которых мы не знаем, злоумышленник создал кошелёк на третьем сервисе или развернул узел на хостинге.

Однако, адрес bc1qq2euq8pw950klpjcawuy4uj39ym43hs6cfsegq содержит 3 транзакции: одну транзакцию пополнения и 2 вывода, одна из которых связана с операцией американских DOJ и FBI. Поэтому остаётся один крупный вопрос как по одной транзакции спецслужбы могли бы вычислить расположение сервера? Если бы с адреса хотя бы раз была отправлена транзакция, можно было бы предположить, что источник появления в мемпуле был каким-либо способом установлен, но этого не произошло. Остаётся один правдоподобный вариант: случай Colonial был одним из многих и на злоумышленников вышли по другим следам, предположительно использовав информацию о размещении кошелька для компенсации ущерба в первую очередь. Elliptic предполагает, что около 5 биткоинов, которые не были выведены DOJ и FBI, успели вывести аффилированные лица.

Поддержите канал!

Шлите ваши сатоши, используя эту LNURL ссылку

LNURL1DP68GURN8GHJ7MRWW3UXYMM59E3XJEMNW4HZU7RE0GHKCMN4WFKZ7URP0YLH2UM9WFHXZMT9843NXUPSWFESSLK458

Используя страничку, либо просто пользователю @c3p0rs через @lntxbot.

Если вы ещё не знаете как использовать сатоши в Лайтнинг сети, прочитайте руководство для кошелька BLW или исследуйте Телеграм-бот @lntxbot.