Спіймати викупника: як ФБР переслідує злочинність на блокчейні

Спеціальний агент ФБР Джозеф Батталья сидить за столом між детективом поліції Нью-Йорка та співробітником Служби внутрішніх доходів (IRS).

Доручений нагляду за розслідуваннями в нью-йоркському офісі кібервідділу ФБР, Батталья та його колеги розробили методи виявлення широкого спектру онлайн-злочинної діяльності, починаючи від використання дитячої порнографії до шпигунства.

Але під час нещодавнього виступу на юридичній школі Фордхемського університету в Нью-Йорку Батталья відкрив завісу іншого виду розслідування. Звертаючись до групи з приблизно 150 студентів-юристів та інших учасників першої ініціативи блокчейну, організованої IBM та університетом, Батталья покроково розповів про те, як він ідентифікує злочинців за допомогою програм-вимагачів Криптовалюта .

За його словами, ключем до подолання низки перешкод у цьому процесі є співпраця між кількома ключовими державними та приватними організаціями та деяке «нестандартне» мислення.

Виступаючи під час основної промови, Батталья сказав аудиторії:

«Я можу використати всі ці методи, щоб фактично ідентифікувати свого об’єкта, коли моє розслідування почалося лише зі скарги жертви, яка мала Bitcoin -адресу, яка ще T використовувалася в блокчейні».

Усе, як розповів Батталья, починається з того, що один користувач відкриває свій комп’ютер і виявляє, що отримав електронний лист із повідомленням, що їхні файли заблоковано за допомогою «військового шифрування» та T будуть звільнені, якщо вони не заплатять викуп.

За його словами, сімдесят п’ять відсотків Request на викуп номінуються в Bitcoin, але інші криптовалюти, які використовувалися, включають Litecoin і стає все більш популярнимMonero.

Як правило, записка про викуп містить інструкції щодо купівлі та витрачання обраної Криптовалюта .

Платити чи не платити?

У цей момент жертва має вирішити, чи збирається вона платити чи ні.

Хоча ФБР T заохочує людей піддаватися таким вимогам, Батталья пояснив, що професійні файли інколи скомпрометовані, не залишаючи жертві іншого вибору, окрім як передати кошти, щоб мати можливість продовжити важливий бізнес.

Такі атаки настільки поширені, що в 2016 році фірма захисту даних Citrix опублікувала звіт, в якому показано, що малий бізнес запасання Bitcoin у разі вимоги викупу. Того ж року Міністерство внутрішньої безпеки США (DHS)фінансується розробка інструменту аналізу Bitcoin , спеціально спрямованого на програми-вимагачі.

Але навіть якщо жертва вирішить не платити, у ФБР є способи визначити масштаб атаки та особу зловмисника навіть за невикористаною Bitcoin адресою.

«Оскільки адреса ще T використовувалась у блокчейні Bitcoin , — сказав Батталья, — поки що не буде жодної інформації, яку я можу отримати в блокчейні. Але я можу взяти записку про викуп і підключити її до IC3».

Заснований у 2000 році Центр розгляду скарг на злочини в Інтернеті ФБР (IC3) приймає звіти про ймовірні кіберзлочини, зокрема крадіжки інтелектуальної власності, корпоративне шпигунство та «вимагання в Інтернеті» або програми-вимагачі.

У вересні IC3 опублікував a заява заохочуючи жертв повідомляти ФБР про інциденти з програмами-вимагачами, додаючи, що в перші кілька місяців минулого року «глобальні зараження програмами-вимагачами були найвищими за весь час».

IC3 отримано понад 8000 скарг у 2015 році, із загальним зареєстрованим збитком близько 275 мільйонів доларів США.

Навіть якщо викуп T буде сплачено, Батталья вказав, що його команда порівняє вимоги щодо викупу з тими, які є у файлі IC3, щоб знайти зв’язки. У подібних випадках із подібними вимогами деякі жертви могли вирішити заплатити викуп, що призвело до отримання корисних даних для випадків, коли викуп не було сплачено.

Адреси жертв, які платили, потім обробляються «блокчейн-інструментом» ФБР для створення списку гаманців, пов’язаних з тією самою «організацією», яка висунула вимогу про викуп. З початкового пулу адрес, за якими здійснюється оплата, ФБР потім шукає зв’язки між гаманцем одержувача та його витратами.

Хоча початкові дані можуть бути обмеженими, оскільки витрачається більше коштів, інструмент накопичує більше даних, зокрема з "змінити адреси', які повертають сатоші або інші номінали на вихідний гаманець одержувача.

«Я можу виявити, що ці транзакції відбуваються в іншому кластері Bitcoin -адрес, про який я нічого T знаю, — сказав Батталья, — і мій інструмент аналізу нічого T знає. Але я можу взяти ці адреси, витягнути їх і підключити до нашої системи керування справами».

Такий самий, але інший

Запускаючи кластер Bitcoin -адрес через систему управління справами ФБР, Батталья сказав, що він шукатиме справи, над якими працюють інші агенти, які зібрали додаткову ідентифікаційну інформацію.

Наприклад, це може бути агент ФБР, який працює з «кооператором на даркнет-ринку» і знає, що кошти, пов’язані з адресами, також пов’язані з кимось, хто продає надзвичайно популярний облікові дані протоколу віддаленого робочого столу (RDP) для доступу до сторонніх комп’ютерів з будь-якої точки світу.

«Тепер ми маємо уявлення про те, що відбувається з програмою-вимагачем і, можливо, як зловмисник потрапив на комп’ютери жертв», — сказав Батталья.

Отримавши цю інформацію, слідчі ФБР повертаються до початкової жертви, щоб перевірити, чи запускався RDP на його чи її комп’ютері, і якщо так, то які IP-адреси відображаються в журналах комп’ютера.

ФБР шукатиме не лише адреси, невідомі жертві, але й відомі адреси, до яких мають доступ користувачі, які зазвичай T входять у систему або входять у систему у незвичайний час.

Хоча ця інформація спочатку може дати жертві спосіб мінімізувати подальшу атаку шляхом зміни своїх облікових даних, вона T обов’язково надасть набагато більше інформації про зловмисника. «Тому я продовжу шукати блокчейн і намагатимусь знайти підключення до інших гаманців або кластерів адрес», — сказав він.

Зараз Батталья, швидше за все, почне шукати зв’язки в часі, наприклад, щомісячний платіж, який здійснюється з ONE з підозрілих Bitcoin адрес на біржу Bitcoin у США, на якій він міг би вручити повістку в суд, щоб Навчання , за що платили транзакції.

Після ідентифікації одержувача платежу слідчий матиме IP-адресу віртуального сервера з ім’ям і адресою, які «ймовірно, підроблені», — сказав він. «Я очікую, що це фейк».

Метушня

У цей момент розслідування стає старовинним.

Батталья сказав, що далі він застосує «традиційні» методи розслідування, такі як перехресне посилання на адреси в реєстрі IP-адрес, таких як Американський реєстр номерів в Інтернеті (ARIN) або Глобальна база даних IP-адрес, щоб спробувати визначити, які підключення здійснюються до сервера.

Але все це марно, якщо зловмисник успішно ввійшов у віртуальну приватну мережу або VPN із захистом особистих даних.

Минулого року Globalwebindex повідомили що ONE четвертий користувач отримував доступ до VPN щодня, а 70% респондентів – щотижня. У США, Індії та Малайзії цифри навіть вищі: ONE третій користувач щодня отримує доступ до VPN, що приховує особисті дані.

Також викликають занепокоєння у борців зі злочинністю все більш витонченим змішувачі Bitcoin , які приховують джерела Bitcoin і були минулого тижня розправився зу рамках спільної ініціативи Європолу, Інтерполу та Базельського інституту управління. Розвиток Криптовалюта технологій також є проблемою; наприклад, Monero, альткойн, який покращує конфіденційністьT потрібно змішувати бути затемненим.

«Але люди стають неохайними», — сказав Батталья.

Докази того, що викупник перестав звертати увагу на деталі, можуть включати підключення до Інтернету через загальнодоступні точки доступу Wi-Fi, покладаючись на велику кількість людей на місці, щоб створити димову завісу, щоб приховати свою особу.

Спецагент сказав:

«За допомогою дослідників, яких ми маємо в бюро, ми можемо проаналізувати всі ці дані, проаналізувати бази даних… і відстежувати предмети, дуже схожі на ті, які я щойно описав».

Крім ФБР, крім Bitcoin

За словами Баттальї, кібервідділ, заснований у штаб-квартирі ФБР у 2002 році, зараз розподіляє свою роботу приблизно порівну між справами національної безпеки та кримінальними справами.

Щоб ще більше підвищити ймовірність успіху, організація складається з підрозділів, розкиданих по США, і має партнерські стосунки з іншими відомствами, включаючи державну поліцію, IRS, Secret службу та «детективів із усіх видів різних правоохоронних органів», пояснив він.

Батталья також згадав про партнерство з представниками приватного сектору, яке допомагає ідентифікувати точки доступу, якими користуються злочинці; «кооперативи», які потрапили в проблеми в минулому, а пізніше приєдналися до розслідувань як «незалежні дослідники»; та юридичні аташе по всьому світу.

ONE із найвідоміших партнерів ФБР є Мережа боротьби з фінансовими злочинами, яка у 2014 році допомогла вивести Bitcoin у масове використання, коли він заявлено Bitcoin біржі юридично вважаються засобами переказу грошей і потребують ліцензії як такі.

Однак у майбутньому Батталья сказав, що він готовий досліджувати застосування Технології блокчейну, окрім Криптовалюта.

Поки Технології для підтримки широкий спектр можливих активів Батталья сказав, що «той факт, що все зареєстровано в публічній книзі, яка є постійною та не підлягає зміні, є дуже корисною з точки зору збору доказів».

Human фактор

Тоді як ФБР отримало свою частку критика за наявність труднощівирішення випадків програм-вимагачів, стартап аналізу блокчейну Chainalysis минулого року передбачив збільшення арештів через нові високотехнологічні партнерства.

Але на перетині високотехнологічних інструментів і старомодних розслідувань бос Батальї, спеціальний агент Джей Крамер вважає, що ФБР має продовжувати вдосконалюватися.

Виступаючи з аудиторії на заході, Крамер сказав, що ФБР визнає, що старі часи отримання «доступу до контенту» через прослуховування в основному минули.

«Ми усвідомлюємо, що не матимемо доступу до зашифрованих комунікацій на iPhone, ми просто не матимемо цього», — сказав Крамер. «То що ж ми робимо? Ми будемо просто чекати технологічного рішення? Ні».

Крамер підкреслив, що ФБР має подвоїти свої зусилля для розвитку Human ресурси:

«Люди, які хочуть повідомити ФБР про речі, які вони можуть запропонувати. Співзмовник поганого актора, який просто збирається дати нам цей закритий ключ, а не те, що ми намагаємося отримати секретний ключ за допомогою деяких технологічних засобів».

Зображення від автора для CoinDesk