За последние несколько лет, в связи со стремительным ростом цен на криптовалюты, резко возросло и количество их краж. Похоже, хакеры решили, что украсть криптовалюты гораздо проще и выгоднее, чем традиционные фиатные валюты, выпускаемые государством (доллары, фунты, евро и т. д.), а возможные последствия менее вероятны или вовсе незначительны.
Мы в Hackers-Arise наблюдаем одновременный рост числа запросов на проведение цифровой криминалистической экспертизы, связанных с кражей криптовалют, в связи с ростом их стоимости. У нас накопилось много дел с просьбами о помощи в расследовании и возврате украденных криптовалют, и мы хотели бы поделиться некоторыми из наших выводов.
Крупные кражи криптовалюты за последние годы
В связи с резким ростом стоимости криптовалют и снижением или полным отсутствием угрозы со стороны правоохранительных органов, кража криптовалют стала одной из главных целей хакеров в последние годы. Некоторые из этих краж настолько масштабны, что поражают воображение. Если бы подобные кражи произошли с традиционными государственными фиатными валютами, они бы попали на первые полосы всех газет мира. О них снимали бы фильмы, а все правоохранительные органы гонялись бы за ними, чтобы привлечь воров к ответственности. Вместо этого эти кражи становятся сносками в блогах, посвященных финансовой и информационной безопасности, а правоохранительные органы просто пожимают плечами, за исключением самых крупных и вопиющих случаев, но даже в таких случаях большинство случаев остаются нераскрытыми.
Ниже приведены лишь некоторые примеры крупнейших краж криптовалюты за последние годы. Миллионы людей потеряли содержимое своих кошельков за это же время, и это даже не привлекло внимания криминальных кругов, занимающихся криптовалютами.
Шелковый путь
Silkroad, пожалуй, самый известный из торговых площадок даркнета. Он славился тем, что предлагал наркотики, оружие, документы и практически всё, что только можно себе представить, за определённую цену. Когда ФБР накрыло Silk Road в 2014 году, оно изъяло с сайта почти 30 000 биткоинов и ещё 144 000, принадлежавших основателю Silk Road, пирату Дреду Робертсу, также известному как Росс Ульбрихт. Это составляет около 1,7 млрд долларов по сегодняшнему обменному курсу. Стоит также отметить, что двое агентов Секретной службы, участвовавших в рейде на Silk Road, Шон Бриджес и Карл Форс, лично похитили биткоины на сумму более 16 млн долларов. Оба были привлечены к ответственности и сейчас отбывают тюремное заключение.
Маунт- Гокс
Пожалуй, самым известным ограблением криптовалютной биржи стала Mt. Gox. Эта японская криптовалютная биржа была крупнейшей в мире (на её долю приходилось почти 70% мировых транзакций с биткоинами до её краха в 2014 году). Хотя подробности неясны, похоже, хакеры смогли использовать учётную запись одного пользователя, чтобы взломать биржу Mt. Gox и украсть более 850 000 биткоинов. По сегодняшнему курсу это составляет около 8,5 млрд долларов! Неплохая добыча за один день. Вора так и не поймали, но его IP-адрес был прослежен до Гонконга.
Coincheck
Только в январе 2018 года хакеры похитили 500 миллионов NEM с токийской криптовалютной биржи Coincheck. Этот взлом обогнал Mt. Gox по статусу крупнейшего ограбления криптовалюты в истории. Хакеры, по всей видимости, взломали серверы Coincheck и украли криптовалюты из её онлайн-кошельков.
Как хакеры крадут ваши криптовалюты ?
На основе нашего опыта расследования подобных случаев и отчетов других участников нашей отрасли мы теперь можем сообщить об основных способах, которыми хакеры крадут криптовалюты.
Копирование ключей
Биткоин и другие криптовалюты, по сути, представляют собой приватный криптографический ключ для доступа к определённому адресу, где хранятся биткоины. Приватный ключ — это длинная строка цифр и букв, которую вы, вероятно, видели на различных веб-сайтах, в электронной почте и социальных сетях. Этот ключ часто хранится на телефоне пользователя, жёстком диске или в онлайн-сервисе.
Если хакеры получат доступ к этой строке, они смогут отправить криптовалюту на свои или чужие кошельки. По нашему опыту, чаще всего кражи криптовалюты происходят через онлайн-сервисы, хранящие эту строку и криптовалюту. Они работают очень похоже на сервисы онлайн-банкинга. Если хакер получит доступ к вашему имени пользователя и паролю на таких сервисах, как CoinBase и других, он часто сможет напрямую получить доступ к вашей учётной записи и отправить биткоины или другую валюту. Взлом — это всего лишь взлом имени пользователя и пароля.
Чтобы повысить безопасность этих систем, многие из этих онлайн-сервисов используют двухфакторную аутентификацию (2FA), при которой для подтверждения подлинности отправляется электронное письмо или SMS-сообщение (с одноразовым паролем или OTP). К сожалению, атаки на SS7
распространены, и злоумышленник может перехватить это сообщение (см. наше следующее руководство по атакам на SS7). Кроме того, многие из этих онлайн-сервисов также проверяют аутентификацию по IP-адресу. Обнаружив попытку доступа к аккаунту с нового IP-адреса, они отправляют электронное письмо или SMS-сообщение для подтверждения. Опять же, если у хакера есть доступ к паролю электронной почты пользователя или он может перехватить подтверждающее SMS-сообщение, эта форма аутентификации перестает работать.
Многие люди, владеющие криптовалютными счетами уже несколько лет, могут скопить на них значительные средства. Например, некоторые, у кого в 2011 году было всего 100 BTC, только в декабре этого года увеличили своё состояние до 1,9 миллиона долларов. Хакерам потребовалось бы много времени, чтобы накопить значительное состояние, взломав всего несколько таких счетов.
Передача троянов
Как и другие трояны, криптовалютные трояны проникают на компьютеры, маскируясь под безобидные программы или файлы. Оттуда они могут отслеживать все ваши действия. Многие криптовалютные трояны просто отслеживают ваш интернет-трафик, и когда вы пытаетесь сделать перевод на другой криптовалютный счёт для покупки товара или услуги, они просто подменяют номер счёта своим. Таким образом, ваш перевод поступает не на нужный счёт, а на счёт хакера.
Взлом биткойн - майнеров
Тысячи майнеров биткоинов и других криптовалют работают круглосуточно, генерируя биткоины. Многие из этих майнеров не защищены или защищены минимально, поскольку их создатели не слишком хорошо разбираются в вопросах IT-безопасности. Хакеры взламывают эти майнеры и перенаправляют их добычу на свои кошельки, а не на кошельки владельцев.
SS7
Как упоминалось выше, многие сайты для торговли криптовалютой используют двухфакторную аутентификацию (2FA). Для взлома таких аккаунтов хакеру достаточно имени пользователя (обычно адреса электронной почты) и пароля. Если используется 2FA, торговая платформа отправляет запрос на подтверждение по электронной почте или SMS. Поскольку у хакеров уже есть адрес электронной почты и пароль, им нужно перехватить SMS. Это можно сделать, взломав SS7.
Ботнеты
Интернет полон историй о том, как хакеры взламывают системы, объединяют их в ботнеты и используют для майнинга биткоинов. Эти хакеры используют ваш компьютер и ресурсы для майнинга (генерации) биткоинов и других криптовалют. Эти ботнеты ежедневно генерируют криптовалюту на миллионы долларов. Затем другие хакеры атакуют центры управления этих ботнетов, обычно через IRC, чтобы перенаправить полученные средства в свои кошельки.
Техническая поддержка спуфинга
В последнее время мы столкнулись с рядом случаев, когда хакеры/мошенники подделывали техподдержку бирж. Когда пользователь задаёт вопросы в социальных сетях, мошенники отвечают. Используя веб-сервер, который в точности имитирует сайт биржи, они просят пользователя ввести свой адрес и учётные данные. Доверчивые жертвы делают это, и, прежде чем они успевают опомниться, мошенники переводят все свои биткоины или другие криптовалюты на счета мошенников, оставляя жертву лишь с сожалением.
Внутренние недостатки проекта
В отличие от коммерческого ПО, используемого во многих отраслях, ПО, используемое на серверах бирж и в ботнетах, обычно является собственной разработкой. Это означает, что его безопасность не прошла столь же строгую проверку, как и обычное коммерческое ПО (и мы знаем, что даже после этих строгих тестов многие из них всё ещё имеют серьёзные недостатки). В результате эти криптовалютные системы часто имеют легко эксплуатируемые уязвимости во внутренних системах. Подобные внутренние уязвимости, вероятно, сыграли свою роль во взломах Mt. Gox и Coincheck.
Фишинг
Как и практически во всех взломах, в краже криптовалют присутствует элемент социальной инженерии. Многие расследования краж криптовалют, над которыми мы работали, были результатом фишинговых атак, когда жертва нажимает на, казалось бы, легитимную ссылку или документ. Затем хакер захватывает контроль над компьютером жертвы, внедряя руткит, и получает доступ к её кошельку или аккаунту на одной из криптовалютных бирж. Оттуда он просто переводит криптовалюту на свой или чужой кошельки.
Это лишь некоторые из способов, которыми хакеры крадут биткоины и другие криптовалюты, и мы ожидаем, что в ближайшие месяцы и годы появятся новые, более инновационные способы. Мы будем публиковать дополнительные статьи как о конкретных методах, так и о любых новых, по мере их обнаружения.
Мы в Hackers-Arise наблюдаем одновременный рост числа запросов на проведение цифровой криминалистической экспертизы, связанных с кражей криптовалют, в связи с ростом их стоимости. У нас накопилось много дел с просьбами о помощи в расследовании и возврате украденных криптовалют, и мы хотели бы поделиться некоторыми из наших выводов.
Крупные кражи криптовалюты за последние годы
В связи с резким ростом стоимости криптовалют и снижением или полным отсутствием угрозы со стороны правоохранительных органов, кража криптовалют стала одной из главных целей хакеров в последние годы. Некоторые из этих краж настолько масштабны, что поражают воображение. Если бы подобные кражи произошли с традиционными государственными фиатными валютами, они бы попали на первые полосы всех газет мира. О них снимали бы фильмы, а все правоохранительные органы гонялись бы за ними, чтобы привлечь воров к ответственности. Вместо этого эти кражи становятся сносками в блогах, посвященных финансовой и информационной безопасности, а правоохранительные органы просто пожимают плечами, за исключением самых крупных и вопиющих случаев, но даже в таких случаях большинство случаев остаются нераскрытыми.
Ниже приведены лишь некоторые примеры крупнейших краж криптовалюты за последние годы. Миллионы людей потеряли содержимое своих кошельков за это же время, и это даже не привлекло внимания криминальных кругов, занимающихся криптовалютами.
Шелковый путь
Silkroad, пожалуй, самый известный из торговых площадок даркнета. Он славился тем, что предлагал наркотики, оружие, документы и практически всё, что только можно себе представить, за определённую цену. Когда ФБР накрыло Silk Road в 2014 году, оно изъяло с сайта почти 30 000 биткоинов и ещё 144 000, принадлежавших основателю Silk Road, пирату Дреду Робертсу, также известному как Росс Ульбрихт. Это составляет около 1,7 млрд долларов по сегодняшнему обменному курсу. Стоит также отметить, что двое агентов Секретной службы, участвовавших в рейде на Silk Road, Шон Бриджес и Карл Форс, лично похитили биткоины на сумму более 16 млн долларов. Оба были привлечены к ответственности и сейчас отбывают тюремное заключение.
Маунт- Гокс
Пожалуй, самым известным ограблением криптовалютной биржи стала Mt. Gox. Эта японская криптовалютная биржа была крупнейшей в мире (на её долю приходилось почти 70% мировых транзакций с биткоинами до её краха в 2014 году). Хотя подробности неясны, похоже, хакеры смогли использовать учётную запись одного пользователя, чтобы взломать биржу Mt. Gox и украсть более 850 000 биткоинов. По сегодняшнему курсу это составляет около 8,5 млрд долларов! Неплохая добыча за один день. Вора так и не поймали, но его IP-адрес был прослежен до Гонконга.
Coincheck
Только в январе 2018 года хакеры похитили 500 миллионов NEM с токийской криптовалютной биржи Coincheck. Этот взлом обогнал Mt. Gox по статусу крупнейшего ограбления криптовалюты в истории. Хакеры, по всей видимости, взломали серверы Coincheck и украли криптовалюты из её онлайн-кошельков.
Как хакеры крадут ваши криптовалюты ?
На основе нашего опыта расследования подобных случаев и отчетов других участников нашей отрасли мы теперь можем сообщить об основных способах, которыми хакеры крадут криптовалюты.
Копирование ключей
Биткоин и другие криптовалюты, по сути, представляют собой приватный криптографический ключ для доступа к определённому адресу, где хранятся биткоины. Приватный ключ — это длинная строка цифр и букв, которую вы, вероятно, видели на различных веб-сайтах, в электронной почте и социальных сетях. Этот ключ часто хранится на телефоне пользователя, жёстком диске или в онлайн-сервисе.
Если хакеры получат доступ к этой строке, они смогут отправить криптовалюту на свои или чужие кошельки. По нашему опыту, чаще всего кражи криптовалюты происходят через онлайн-сервисы, хранящие эту строку и криптовалюту. Они работают очень похоже на сервисы онлайн-банкинга. Если хакер получит доступ к вашему имени пользователя и паролю на таких сервисах, как CoinBase и других, он часто сможет напрямую получить доступ к вашей учётной записи и отправить биткоины или другую валюту. Взлом — это всего лишь взлом имени пользователя и пароля.
Чтобы повысить безопасность этих систем, многие из этих онлайн-сервисов используют двухфакторную аутентификацию (2FA), при которой для подтверждения подлинности отправляется электронное письмо или SMS-сообщение (с одноразовым паролем или OTP). К сожалению, атаки на SS7
распространены, и злоумышленник может перехватить это сообщение (см. наше следующее руководство по атакам на SS7). Кроме того, многие из этих онлайн-сервисов также проверяют аутентификацию по IP-адресу. Обнаружив попытку доступа к аккаунту с нового IP-адреса, они отправляют электронное письмо или SMS-сообщение для подтверждения. Опять же, если у хакера есть доступ к паролю электронной почты пользователя или он может перехватить подтверждающее SMS-сообщение, эта форма аутентификации перестает работать.
Многие люди, владеющие криптовалютными счетами уже несколько лет, могут скопить на них значительные средства. Например, некоторые, у кого в 2011 году было всего 100 BTC, только в декабре этого года увеличили своё состояние до 1,9 миллиона долларов. Хакерам потребовалось бы много времени, чтобы накопить значительное состояние, взломав всего несколько таких счетов.
Передача троянов
Как и другие трояны, криптовалютные трояны проникают на компьютеры, маскируясь под безобидные программы или файлы. Оттуда они могут отслеживать все ваши действия. Многие криптовалютные трояны просто отслеживают ваш интернет-трафик, и когда вы пытаетесь сделать перевод на другой криптовалютный счёт для покупки товара или услуги, они просто подменяют номер счёта своим. Таким образом, ваш перевод поступает не на нужный счёт, а на счёт хакера.
Взлом биткойн - майнеров
Тысячи майнеров биткоинов и других криптовалют работают круглосуточно, генерируя биткоины. Многие из этих майнеров не защищены или защищены минимально, поскольку их создатели не слишком хорошо разбираются в вопросах IT-безопасности. Хакеры взламывают эти майнеры и перенаправляют их добычу на свои кошельки, а не на кошельки владельцев.
SS7
Как упоминалось выше, многие сайты для торговли криптовалютой используют двухфакторную аутентификацию (2FA). Для взлома таких аккаунтов хакеру достаточно имени пользователя (обычно адреса электронной почты) и пароля. Если используется 2FA, торговая платформа отправляет запрос на подтверждение по электронной почте или SMS. Поскольку у хакеров уже есть адрес электронной почты и пароль, им нужно перехватить SMS. Это можно сделать, взломав SS7.
Ботнеты
Интернет полон историй о том, как хакеры взламывают системы, объединяют их в ботнеты и используют для майнинга биткоинов. Эти хакеры используют ваш компьютер и ресурсы для майнинга (генерации) биткоинов и других криптовалют. Эти ботнеты ежедневно генерируют криптовалюту на миллионы долларов. Затем другие хакеры атакуют центры управления этих ботнетов, обычно через IRC, чтобы перенаправить полученные средства в свои кошельки.
Техническая поддержка спуфинга
В последнее время мы столкнулись с рядом случаев, когда хакеры/мошенники подделывали техподдержку бирж. Когда пользователь задаёт вопросы в социальных сетях, мошенники отвечают. Используя веб-сервер, который в точности имитирует сайт биржи, они просят пользователя ввести свой адрес и учётные данные. Доверчивые жертвы делают это, и, прежде чем они успевают опомниться, мошенники переводят все свои биткоины или другие криптовалюты на счета мошенников, оставляя жертву лишь с сожалением.
Внутренние недостатки проекта
В отличие от коммерческого ПО, используемого во многих отраслях, ПО, используемое на серверах бирж и в ботнетах, обычно является собственной разработкой. Это означает, что его безопасность не прошла столь же строгую проверку, как и обычное коммерческое ПО (и мы знаем, что даже после этих строгих тестов многие из них всё ещё имеют серьёзные недостатки). В результате эти криптовалютные системы часто имеют легко эксплуатируемые уязвимости во внутренних системах. Подобные внутренние уязвимости, вероятно, сыграли свою роль во взломах Mt. Gox и Coincheck.
Фишинг
Как и практически во всех взломах, в краже криптовалют присутствует элемент социальной инженерии. Многие расследования краж криптовалют, над которыми мы работали, были результатом фишинговых атак, когда жертва нажимает на, казалось бы, легитимную ссылку или документ. Затем хакер захватывает контроль над компьютером жертвы, внедряя руткит, и получает доступ к её кошельку или аккаунту на одной из криптовалютных бирж. Оттуда он просто переводит криптовалюту на свой или чужой кошельки.
Это лишь некоторые из способов, которыми хакеры крадут биткоины и другие криптовалюты, и мы ожидаем, что в ближайшие месяцы и годы появятся новые, более инновационные способы. Мы будем публиковать дополнительные статьи как о конкретных методах, так и о любых новых, по мере их обнаружения.
