美国司法部本周在打击勒索软件犯罪分子方面取得了罕见的胜利,追回了这些骗子在殖民地输油管道遭到高调攻击后勒索的大部分比特币。
正如《纽约时报》所述,联邦调查局对黑客的胜利显示了比特币是如何在其公共区块链网络上被追踪的——这一事实对于精通密码的人来说是众所周知的,但对于普通公众来说就不那么清楚了。但《泰晤士报》和其他人没有解释的是,司法部最初是如何获得比特币的。
这个秘密尤其令人费解,因为勒索软件团伙的攻击非常复杂,足以削弱东海岸的能源供应。如果这伙人能做到这一点,他们怎么会笨到把比特币赎金放在美国执法部门伸手可及的钱包里?
在典型的勒索软件攻击中,受害者无法找回比特币,因为犯罪者和他们的钱包都在海外。当然,可以追踪公共区块链上的支付。但骗子们通常会将比特币搅拌成所谓的混合器服务,将比特币与其他基金混合,或将比特币转换成其他加密货币,分散到其他钱包中,使得这些基金几乎不可能被扣押。殖民时期的管道赎金怎么了?
德米特里·斯米利有个好主意。作为网络安全公司Record Future的威胁情报分析员,Smilyanets是勒索软件和加密货币方面的专家,他告诉Decrypt,他相信管道骗子只是业余爱好者,他们在真正的主谋下经营特许经营业务。
他说,有证据表明,司法部只追回了赎金中支付的75枚比特币中的63.7枚。丢失的11.3比特币相当于赎金的15%——这个数字是使用勒索软件的通常佣金,勒索软件是由一个名为“暗黑”的神秘组织制作的。该组织将其工具出租给其他黑客,这些黑客利用这些工具勒索了总计9000多万美元。
结果是,管道赎金中未收回的部分落入了一个由黑暗势力控制的钱包,而司法部却拿不到这个钱包。当然,这并不能解释那些说“不想放弃我们的生意”的联邦调查局是如何攫取剩下的钱的。
Smilyanets说,答案是业余爱好者在把他们比特币钱包的私钥硬编码到他们部署的更大的勒索软件包中时犯了一个关键错误。他说,他们又犯了一个错误,当时他们在美国租用了一台由云提供商Digital Ocean运营的服务器。
Smilyanets说,勒索软件骗子租用了这台服务器,目的是加快从管道运营商那里窃取到另一个国家的数据的过滤过程。由于数据量巨大,因此使用数字海洋这样的中介将数据临时存储并转发到海外,使得勒索软件的操作更加高效。
但正如Smilyanets所解释的,似乎骗子们还把他们比特币钱包的私钥包括在他们输送到数字海洋的其他数据中。
比特币加密系统的设计使你很容易破译比特币钱包的公钥,如果你知道私钥的话(尽管反之亦然)。如果司法部同时获得了私钥和公钥,那么就很容易抓住比特币,有效地抢劫勒索管道运营商的黑客。
Smilyanets说,所有这些都指向黑客的草率行动,他怀疑这些黑客是年轻人,他们醉心于勒索计划的成功,拖着脚关闭服务器,将比特币转移到安全地点。
与此同时,Smilyanets说,输油管道攻击的严重性引发了司法部和其他部门异常迅速和有效的反应。
他说:“这涉及执法部门与私人威胁情报和数据公司之间的快速合作。”。
所有这一切都表明,勒索软件的实施者是草率的,但在美国执法部门采取新的反措施之际,他们也不幸地完成了管道上的恶作剧——反措施包括成立一个新的勒索软件和数字勒索工作队。
当然,关于美国执法部门如何追回殖民管道支付的大部分比特币,还有其他理论。《泰晤士报》提出的一种可能性是,联邦调查局在黑边网络内部部署了一名人类间谍,并入侵了黑边网络的计算机,但鉴于黑边网络仍获得15%的利润,而且间谍一开始并没有警告殖民地管道,这种可能性似乎不大。与此同时,一些人认为,美国政府通过破坏比特币的加密来攫取赎金——这一说法显然是错误的,但这仍然导致比特币价格暴跌。此后又有所恢复。
目前,Smilyanets的理论是,管道黑客是业余爱好者,他们把私钥放在美国服务器上可以找到的地方,从而变得草率。最强的理论通常是正确的。