ФБР вернуло огромную часть выкупа Colonial Pipeline

В понедельник в Министерстве юстиции США объявили, что они вернули большую часть выкупа, уплаченного Colonial Pipeline хакерам, которые прекратили его деятельность в прошлом месяце и вызвали массовую нехватку топлива и рост цен, сообщает businessinsider.

Министерство юстиции США распространили заявление, что им удалось вернуть биткоины на сумму 2,3 миллиона долларов из выкупа в 4,4 миллиона долларов, который Colonial заплатила DarkSide, группе, стоящей за взломом.

Как это удалось правительству?

По данным Министерства юстиции, у ФБР был пароль от биткойн-кошелька, на который DarkSide отправил выкуп, что позволило ФБР просто арестовать средства.

‘Следуя за деньгами’

Несмотря на все более изощренное использование киберпреступниками технологий для совершения преступлений, Министерство юстиции заявили, что использовали проверенный временем подход для взыскания выкупа Colonial.

«Отслеживание денег остается одним из самых простых, но мощных инструментов, которые у нас есть», – заявила заместитель генерального прокурора Лиза Монако в пресс-релизе Министерства юстиции.

По данным Министерства юстиции, 7 мая Colonial был взломан DarkSide и в тот же день уведомили ФБР.

8 мая, когда операции были отключены и в условиях назревающего газового кризиса, Colonial решили заплатить выкуп (к большому огорчению правительственных борцов с преступностью, которые одновременно пытались остановить взлом).

Colonial сообщили ФБР, что DarkSide поручил им отправить 75 биткойнов на сумму около 4,3 миллиона долларов на тот момент, согласно письменным показаниям специального агента ФБР, участвовавшего в расследовании.

Затем агент ФБР использовал проводник блокчейнов – программное обеспечение, которое позволяет пользователям искать в блокчейне, как например биткоин, для определения суммы и назначения транзакций – чтобы выяснить, что DarkSide пытался отмыть деньги через различные адреса биткоинов (аналогично банковским счетам), согласно письменным показаниям.

В конце концов, с помощью обозревателя блокчейнов агент ФБР смог отследить 63,7 биткоинов на одном адресе, на который 27 мая поступил поток платежей.

К счастью для ФБР, согласно письменным показаниям агента, у агентства был закрытый ключ (фактически пароль) для этого адреса.

Биткоин адреса полагаются на систему шифрования с двумя ключами для обеспечения безопасности транзакций: один публичный, а другой частный. Открытый ключ является открытым, поэтому любой может отправить деньги на этот адрес. Но как только отправитель зашифровал платеж с помощью открытого ключа получателя, только закрытый ключ получателя может расшифровать и получить доступ к этим деньгам.

Вот почему закрытые ключи должны храниться в секрете в надежном месте. По состоянию на январь 140 миллиардов долларов в биткойнах – около 20% существующих биткойнов – хранились в кошельках, где люди забыли или потеряли свои закрытые ключи.

В случае с DarkSide ФБР удалось получить доступ к его закрытому ключу, и после получения ордера на арест в федеральном суде агентство использовало ключ для доступа к адресу DarkSide и получило 63,7 биткойна, что на тот момент стоило около 2,3 миллиона долларов.

ФБР не сообщили, как им удалось получить ключ, но заявили, что бюро отправило предупреждение другим потенциальным хакерам-вымогателям.