![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Все удивляются, и не могут понять, как именно (с технической точки зрения) ФБР смогло вернуть биткойны, выплаченные жертвой ransomware-атаки (американской компанией Colonial Pipeline) в пользу "кибермедведей" (российской хакерской группы DarkSide).
Хомячки в панике побежали продавать биткойны, кто-то даже теоретизирует про квантовые вычисления на службе у товарищ-майора:
https://www.reddit.com/r/Bitcoin/comments/nuoiww/does_anybody_know_how_did_the_fbi_recover_the_btc/
Официальная версия гласит, что русские хакеры прошляпили приватный ключ к bitcoin-адресу, и публичный блокчейн биткойна подверждает, что денежки были просто выведены на другой адрес, как бы добровольно, самим владельцем bitcoin-адреса (приватного ключа), кто бы это ни был. Владельцев bitcoin-адресов эта распределённая система отличает (от посторонних лиц) по критерию знания (незнания) соответствующего приватного ключа. Поделился ключом = поделился деньгами, всё просто.
Лично я думаю, что технически это был персонализированный апдейт к десятой винде. Сначала с помощью телеметрии удалось идентифицировать небольшую группу компьютеров, у которых в clipboard'е или на экране (Windows Timeline) мелькал bitcoin-адрес, предъявленный жертве со стороны вымогателей, а затем все эти компьютеры получили таргетированный апдейт в виде DLL-ки или EXE-файла, который прошерстил папку пользователя на предмет подходящего файла-кошелька (wallet.dat и тому подобные) и слил его товарищ-майору (ну а что касается пароля к нему, то логи клавиатуры и содержимое clipboard'а винда-десятка и так собирает и шлёт товарищ-майору в режиме нон-стоп для всех пользователей).
Как видите, всё просто. Квантовые компьютеры в данном случае не нужны.
Тот факт, что товарищ-майор умеет самостоятельно (без участия Microsoft'а) выпускать и подписывать собственные "обновления" к Windows, мы знаем ещё со времён весёлой истории под названием NSAKEY, но обширная телеметрия, которая даёт возможность таргетированной доставки, а также неотключаемость/принудительность подобных обновлений появились только в Windows 10. Если бы такой таргетированности не было, пришлось бы толкать апдейт на весь мир, его бы изловила какая-нибудь антивирусная лаборатория и продемонстрировала бы публично, подвесив за хвост (хотя это ещё не значит, что его бы удалось дизассемблировать и что-то доказать). А так, "не пойман — не вор".
Кибермедведи, конечно, лошары, могли бы сделать кошелёк на линуксе и приватный ключ перевести в cold storage перед тем, как предъявлять публичный ключ жертве. Сам факт выплаты виден на блокчейне, для подтверждения получения платежа приватный ключ не нужен. Ну что ж, "учиться, учиться и ещё раз учиться" как завещал великий сами знаете кто.
Хомячки в панике побежали продавать биткойны, кто-то даже теоретизирует про квантовые вычисления на службе у товарищ-майора:
https://www.reddit.com/r/Bitcoin/comments/nuoiww/does_anybody_know_how_did_the_fbi_recover_the_btc/
Официальная версия гласит, что русские хакеры прошляпили приватный ключ к bitcoin-адресу, и публичный блокчейн биткойна подверждает, что денежки были просто выведены на другой адрес, как бы добровольно, самим владельцем bitcoin-адреса (приватного ключа), кто бы это ни был. Владельцев bitcoin-адресов эта распределённая система отличает (от посторонних лиц) по критерию знания (незнания) соответствующего приватного ключа. Поделился ключом = поделился деньгами, всё просто.
Лично я думаю, что технически это был персонализированный апдейт к десятой винде. Сначала с помощью телеметрии удалось идентифицировать небольшую группу компьютеров, у которых в clipboard'е или на экране (Windows Timeline) мелькал bitcoin-адрес, предъявленный жертве со стороны вымогателей, а затем все эти компьютеры получили таргетированный апдейт в виде DLL-ки или EXE-файла, который прошерстил папку пользователя на предмет подходящего файла-кошелька (wallet.dat и тому подобные) и слил его товарищ-майору (ну а что касается пароля к нему, то логи клавиатуры и содержимое clipboard'а винда-десятка и так собирает и шлёт товарищ-майору в режиме нон-стоп для всех пользователей).
Как видите, всё просто. Квантовые компьютеры в данном случае не нужны.
Тот факт, что товарищ-майор умеет самостоятельно (без участия Microsoft'а) выпускать и подписывать собственные "обновления" к Windows, мы знаем ещё со времён весёлой истории под названием NSAKEY, но обширная телеметрия, которая даёт возможность таргетированной доставки, а также неотключаемость/принудительность подобных обновлений появились только в Windows 10. Если бы такой таргетированности не было, пришлось бы толкать апдейт на весь мир, его бы изловила какая-нибудь антивирусная лаборатория и продемонстрировала бы публично, подвесив за хвост (хотя это ещё не значит, что его бы удалось дизассемблировать и что-то доказать). А так, "не пойман — не вор".
Кибермедведи, конечно, лошары, могли бы сделать кошелёк на линуксе и приватный ключ перевести в cold storage перед тем, как предъявлять публичный ключ жертве. Сам факт выплаты виден на блокчейне, для подтверждения получения платежа приватный ключ не нужен. Ну что ж, "учиться, учиться и ещё раз учиться" как завещал великий сами знаете кто.
