![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurВсе удивляются, и не могут понять, как именно (с технической точки зрения) ФБР смогло вернуть биткойны, выплаченные жертвой ransomware-атаки (американской компанией Colonial Pipeline) в пользу "кибермедведей" (российской хакерской группы DarkSide).
Хомячки в панике побежали продавать биткойны, кто-то даже теоретизирует про квантовые вычисления на службе у товарищ-майора:
https://www.reddit.com/r/Bitcoin/comments/nuoiww/does_anybody_know_how_did_the_fbi_recover_the_btc/
Официальная версия гласит, что русские хакеры прошляпили приватный ключ к bitcoin-адресу, и публичный блокчейн биткойна подверждает, что денежки были просто выведены на другой адрес, как бы добровольно, самим владельцем bitcoin-адреса (приватного ключа), кто бы это ни был. Владельцев bitcoin-адресов эта распределённая система отличает (от посторонних лиц) по критерию знания (незнания) соответствующего приватного ключа. Поделился ключом = поделился деньгами, всё просто.
Лично я думаю, что технически это был персонализированный апдейт к десятой винде. Сначала с помощью телеметрии удалось идентифицировать небольшую группу компьютеров, у которых в clipboard'е или на экране (Windows Timeline) мелькал bitcoin-адрес, предъявленный жертве со стороны вымогателей, а затем все эти компьютеры получили таргетированный апдейт в виде DLL-ки или EXE-файла, который прошерстил папку пользователя на предмет подходящего файла-кошелька (wallet.dat и тому подобные) и слил его товарищ-майору (ну а что касается пароля к нему, то логи клавиатуры и содержимое clipboard'а винда-десятка и так собирает и шлёт товарищ-майору в режиме нон-стоп для всех пользователей).
Как видите, всё просто. Квантовые компьютеры в данном случае не нужны.
Тот факт, что товарищ-майор умеет самостоятельно (без участия Microsoft'а) выпускать и подписывать собственные "обновления" к Windows, мы знаем ещё со времён весёлой истории под названием NSAKEY, но обширная телеметрия, которая даёт возможность таргетированной доставки, а также неотключаемость/принудительность подобных обновлений появились только в Windows 10. Если бы такой таргетированности не было, пришлось бы толкать апдейт на весь мир, его бы изловила какая-нибудь антивирусная лаборатория и продемонстрировала бы публично, подвесив за хвост (хотя это ещё не значит, что его бы удалось дизассемблировать и что-то доказать). А так, "не пойман — не вор".
Кибермедведи, конечно, лошары, могли бы сделать кошелёк на линуксе и приватный ключ перевести в cold storage перед тем, как предъявлять публичный ключ жертве. Сам факт выплаты виден на блокчейне, для подтверждения получения платежа приватный ключ не нужен. Ну что ж, "учиться, учиться и ещё раз учиться" как завещал великий сами знаете кто.
Хомячки в панике побежали продавать биткойны, кто-то даже теоретизирует про квантовые вычисления на службе у товарищ-майора:
https://www.reddit.com/r/Bitcoin/comments/nuoiww/does_anybody_know_how_did_the_fbi_recover_the_btc/
Официальная версия гласит, что русские хакеры прошляпили приватный ключ к bitcoin-адресу, и публичный блокчейн биткойна подверждает, что денежки были просто выведены на другой адрес, как бы добровольно, самим владельцем bitcoin-адреса (приватного ключа), кто бы это ни был. Владельцев bitcoin-адресов эта распределённая система отличает (от посторонних лиц) по критерию знания (незнания) соответствующего приватного ключа. Поделился ключом = поделился деньгами, всё просто.
Лично я думаю, что технически это был персонализированный апдейт к десятой винде. Сначала с помощью телеметрии удалось идентифицировать небольшую группу компьютеров, у которых в clipboard'е или на экране (Windows Timeline) мелькал bitcoin-адрес, предъявленный жертве со стороны вымогателей, а затем все эти компьютеры получили таргетированный апдейт в виде DLL-ки или EXE-файла, который прошерстил папку пользователя на предмет подходящего файла-кошелька (wallet.dat и тому подобные) и слил его товарищ-майору (ну а что касается пароля к нему, то логи клавиатуры и содержимое clipboard'а винда-десятка и так собирает и шлёт товарищ-майору в режиме нон-стоп для всех пользователей).
Как видите, всё просто. Квантовые компьютеры в данном случае не нужны.
Тот факт, что товарищ-майор умеет самостоятельно (без участия Microsoft'а) выпускать и подписывать собственные "обновления" к Windows, мы знаем ещё со времён весёлой истории под названием NSAKEY, но обширная телеметрия, которая даёт возможность таргетированной доставки, а также неотключаемость/принудительность подобных обновлений появились только в Windows 10. Если бы такой таргетированности не было, пришлось бы толкать апдейт на весь мир, его бы изловила какая-нибудь антивирусная лаборатория и продемонстрировала бы публично, подвесив за хвост (хотя это ещё не значит, что его бы удалось дизассемблировать и что-то доказать). А так, "не пойман — не вор".
Кибермедведи, конечно, лошары, могли бы сделать кошелёк на линуксе и приватный ключ перевести в cold storage перед тем, как предъявлять публичный ключ жертве. Сам факт выплаты виден на блокчейне, для подтверждения получения платежа приватный ключ не нужен. Ну что ж, "учиться, учиться и ещё раз учиться" как завещал великий сами знаете кто.
no subject
Date: 2021-06-09 01:17 pm (UTC)ментовская альтернатива -- позвонили главе банды и попросили не борзеть, а то посадят
анбешная альтернатива -- отследили обращения клиентов, нашли линукс и через, не знаю, vPro / интел МЕ забрали файлы без всяких апдейтов
математицкая альтернатива -- https://rampitec.dreamwidth.org/643740.html?style=mine -- вычислили от плохого рандомизатора
no subject
Date: 2021-06-09 01:22 pm (UTC)а хакеры зачем-то открыли порт для vPro/IntelME на своём внешнем роутере, к серваку где кошелёк от битка с пятью лямами баксов лежит
очень смешно
no subject
Date: 2021-06-10 02:16 pm (UTC)???
ФБР и есть американские менты
я в курсе, что американские люди называют полицией только местных, но со стороны все менты одинаковы
> а хакеры зачем-то открыли порт для vPro/IntelME на своём внешнем роутере, к серваку где кошелёк от битка с пятью лямами баксов лежит
примерно так же смешно, как иметь "сервак" (ц) "где кошелёк от битка" на винде с неотключенными апдейтами и телеметрией
no subject
Date: 2021-06-10 06:15 pm (UTC)no subject
Date: 2021-06-09 01:49 pm (UTC)