Поймать выкупщика: как ФБР преследует преступность в блокчейне

Специальный агент ФБР Джозеф Батталья сидит за столом между детективом полиции Нью-Йорка и сотрудником Налоговой службы (IRS).

Батталья и его коллеги, которым поручено помогать контролировать расследования в нью-йоркском местном отделении киберподразделения ФБР, разработали методы выявления широкого спектра преступной деятельности в Интернете — от использования детской порнографии до шпионажа.

Но во время недавнего выступления на юридическом факультете Университета Фордхэма в Нью-Йорке Батталья приоткрыл завесу другого рода расследования. Обращаясь к группе из примерно 150 студентов-юристов и других участников первой инициативы по блокчейну, организованной IBM и университетом, Батталья дал пошаговый отчет о том, как он идентифицирует преступников, использующих Криптовалюта ПО-вымогательство.

По его словам, ключом к преодолению ряда препятствий в этом процессе является сотрудничество между несколькими ключевыми государственными и частными организациями, а также нестандартное мышление.

Выступая с программной речью, Батталья сказал собравшимся:

«Я могу использовать все эти методы, чтобы фактически идентифицировать своего субъекта, когда мое расследование началось всего лишь с жалобы жертвы, у которой был Bitcoin адрес, который еще T использовался в блокчейне».

Батталья подробно рассказал, что все начинается с того, что один пользователь открывает свой компьютер и обнаруживает, что получил электронное письмо, в котором сообщается, что его файлы заблокированы с помощью «шифрования военного уровня» и T будут разблокированы, пока он не заплатит выкуп.

По его словам, в семидесяти пяти процентах случаев Request о выкупе деноминированы в Bitcoin, но использовались и другие криптовалюты, включая Litecoin и все более популярнымMonero.

Обычно записка с требованием выкупа содержит инструкции по покупке и расходованию выбранной вами Криптовалюта .

Платить или не платить?

В этот момент жертва должна решить, платить ей или нет.

Хотя ФБР T поощряет людей поддаваться таким требованиям, Батталья объяснил, что профессиональные файлы иногда подвергаются риску, и у жертвы не остается иного выбора, кроме как отдать средства, чтобы иметь возможность продолжить важный бизнес.

Такие атаки настолько распространены, что в 2016 году компания Citrix, занимающаяся безопасностью данных, опубликовала отчет, показывающий, что малые предприятия подвергалисьнакопление запасов Bitcoin в случае требования выкупа. В том же году Министерство внутренней безопасности США (DHS)финансируемый разработка инструмента анализа Bitcoin , специально нацеленного на борьбу с программами-вымогателями.

Но даже если жертва решит не платить, у ФБР есть способы определить масштаб атаки и личность преступника, даже по неиспользуемому Bitcoin адресу.

«Поскольку адрес еще T использовался в блокчейне Bitcoin , — сказал Батталья, — я пока не смогу получить никакой информации в блокчейне. Но я могу взять записку с требованием выкупа и вставить ее в IC3».

Центр ФБР по рассмотрению жалоб на преступления в Интернете (IC3), основанный в 2000 году, принимает сообщения о предполагаемых киберпреступлениях, включая кражу интеллектуальной собственности, корпоративный шпионаж и «онлайн-вымогательство» или программы-вымогатели.

В сентябре IC3 опубликовалзаявлениепризывая жертв сообщать об инцидентах с программами-вымогателями в ФБР, добавляя, что в первые несколько месяцев прошлого года «глобальное количество заражений программами-вымогателями достигло рекордно высокого уровня».

ИК3полученныйВ 2015 году было подано более 8000 жалоб, а общий заявленный убыток составил около 275 млн долларов.

Даже если выкуп T будет выплачен, Батталья указал, что его команда сравнит требование о выкупе с теми, что есть в деле IC3, чтобы найти связи. В похожих случаях с похожими требованиями некоторые жертвы могли решить заплатить выкуп, что привело к возможно полезным данным для случаев, когда выкуп не был выплачен.

Адреса жертв, которые заплатили, затем обрабатываются «блокчейн-инструментом» ФБР для создания списка кошельков, связанных с тем же «субъектом», который выставил требование о выкупе. Из первоначального пула адресов, которые заплатили, ФБР затем ищет связи между кошельком получателя и его расходами.

Хотя первоначальные данные могут быть ограничены, по мере расходования большего количества средств инструмент накапливает больше данных, в том числе из «изменить адреса' которые возвращают сатоши или другие номиналы на исходный кошелек получателя.

«Я могу обнаружить, что эти транзакции происходят в другом кластере Bitcoin -адресов, о которых я ничего T знаю, — сказал Батталья, — и мой аналитический инструмент ничего о них T знает. Но я могу взять эти адреса, извлечь их и подключить к нашей системе управления делами».

То же самое, но другое

Батталья сообщил, что при проверке кластера Bitcoin адресов через систему управления делами ФБР он будет искать дела, над которыми работают другие агенты, собравшие дополнительную идентифицируемую информацию.

Например, это может быть агент ФБР, который работает с «партнером на рынке даркнета» и который знает, что средства, связанные с адресами, также связаны с кем-то, кто продаетчрезвычайно популярныйУчетные данные протокола удаленного рабочего стола (RDP) для доступа к сторонним компьютерам из любой точки мира.

«Теперь у нас есть представление о том, что происходит с программой-вымогателем и, возможно, как злоумышленник проник в компьютеры жертв», — сказал Батталья.

Имея эту информацию, следователи ФБР затем возвращались к первоначальной жертве, чтобы проверить, запускался ли RDP на ее компьютере, и если да, то какие IP-адреса появлялись в журналах компьютера.

ФБР будет искать не только адреса, неизвестные жертве, но и известные адреса, к которым обращаются пользователи, которые обычно T входят в систему или входят в систему в необычное время.

Хотя эта информация изначально может дать жертве возможность минимизировать дальнейшую атаку, изменив свои учетные данные, она T обязательно предоставит больше информации о злоумышленнике. «Поэтому я продолжу изучать блокчейн и попытаюсь найти связи с другими кошельками или кластерами адресов», — сказал он.

Теперь Батталья, скорее всего, начнет искать связи во времени, например, ежемесячный платеж, осуществляемый с ONE из подозрительных Bitcoin адресов на Bitcoin биржу в США, на которую он мог бы направить повестку, чтобы Словарь , на какие цели были совершены транзакции.

Как только получатель платежа будет идентифицирован, у следователя появится IP-адрес виртуального сервера с именем и адресом, «которые, вероятно, поддельные», — сказал он. «Я ожидаю, что это поддельные».

Суета

В этот момент расследование становится старомодным.

Батталья сказал, что затем он применит «традиционные» методы расследования, такие как перекрестные ссылки на адреса в реестре IP-адресов, например, в Американском реестре интернет-номеров (ARIN) или в Глобальной базе данных IP-адресов, чтобы попытаться определить, какие соединения устанавливаются с сервером.

Но все это напрасно, если злоумышленник успешно вошел в виртуальную частную сеть, защищающую идентификационные данные, или VPN.

В прошлом году Globalwebindexсообщили что ONE из четырех пользователей заходил в VPN ежедневно, а 70% респондентов заходили еженедельно. В США, Индии и Малайзии цифры еще выше, достигая ONE из трех пользователей, ежедневно заходящих в VPN, скрывающий личность.

Также для борцов с преступностью представляют интересвсе более и более изощренный Bitcoin -миксеры, которые скрывают источники Bitcoin и были на прошлой неделе расправились св рамках совместной инициативы Европола, Интерпола и Базельского института управления. Развитие Криптовалюта технологий также является проблемой; например, Monero, альткоин, повышающий конфиденциальность, которыйT нужно смешиватьбыть скрытым.

«Но люди становятся небрежными», — сказал Батталья.

Доказательством того, что вымогатель перестал обращать внимание на детали, может служить его подключение к Интернету через общедоступные точки доступа Wi-Fi, полагаясь на большое количество людей в этом месте, чтобы создать дымовую завесу и скрыть свою личность.

Специальный агент сказал:

«С помощью исследователей, которые есть в нашем бюро, мы можем затем проанализировать все эти данные, проанализировать базы данных... и отследить субъектов, очень похожих на тех, которых я только что описал».

За пределами ФБР, за пределами Bitcoin

По словам Баттальи, киберподразделение, основанное в штаб-квартире ФБР в 2002 году, теперь примерно поровну распределяет свою работу между делами, связанными с национальной безопасностью, и уголовными делами.

Чтобы еще больше повысить вероятность успеха, организация состоит из отрядов, разбросанных по всей территории США, и имеет партнерские отношения с другими агентствами, включая полицию штата, Налоговую службу США, Secret службу и «детективов из самых разных правоохранительных органов», пояснил он.

Батталья также упомянул о партнерских отношениях с представителями частного сектора, которые помогают выявлять точки доступа, используемые преступниками; о «кооперативах», которые в прошлом попадали в неприятности и впоследствии присоединились к расследованиям в качестве «независимых исследователей»; и о юридических атташе по всему миру.

ONE из самых известных партнеров ФБР является Сеть по борьбе с финансовыми преступлениями, которая в 2014 году помогла сделать Bitcoin широко распространенным, когда он заявил Биржи Bitcoin юридически считаются организациями, осуществляющими денежные переводы, и должны иметь соответствующую лицензию.

Однако Батталья заявил, что в будущем он готов к исследованиям в области применения Технологии блокчейна за пределами Криптовалюта.

Пока Технологии поддержки широкий спектр возможных активовБатталья отметил, что, «включая соображения, позволяющие проводить «надлежащий аудит и проверку», «тот факт, что все записывается в публичный реестр, который является постоянным и не поддается изменению, очень хорош с точки зрения сбора доказательств».

Human фактор

В то время как ФБР получило свою долюкритиказа то, что у тебя естьтрудностьрешение дел о программах-вымогателях, стартап Chainalysis по анализу блокчейна в прошлом году предсказанныйувеличение числа арестов из-за новых высокотехнологичных партнерств.

Однако начальник Баттальи, специальный агент Джей Крамер, считает, что ФБР должно продолжать совершенствоваться именно на стыке высокотехнологичных инструментов и старомодных методов расследования.

Выступая на мероприятии, Крамер заявил, что ФБР осознает, что старые времена получения «доступа к контенту» посредством прослушки телефонных разговоров в значительной степени остались в прошлом.

«Мы понимаем, что у нас не будет доступа к зашифрованным сообщениям на iPhone, мы просто не получим его», — сказал Крамер. «Так что же мы делаем? Мы просто будем ждать технологического решения? Нет».

Крамер подчеркнул, что ФБР должно удвоить свои усилия по разработкеHuman ресурсы:

«Люди, которые хотят сообщить ФБР о том, что они могут предложить. Сообщники злоумышленника, который просто собирается передать нам этот закрытый ключ, в отличие от нас, которые попытаются получить его с помощью каких-то технологических средств».

Изображения предоставлены автором для CoinDesk