5月7日, 2021, 殖民地的管道, 美国石油管道系统, 主要向美国东南部运送汽油和航空燃料的输油管道遭受了勒索软件网络攻击,影响了管理该管道的计算机化设备. 该公司在下午5点前不久得知了这次袭击.m. 当时一名员工在IT网络的一个系统上发现了一封勒索信. 该公司认为这次攻击是由 黑暗面据信,该网络犯罪组织至少部分活动在俄罗斯境外.
5月13日, 公众了解到殖民地的管道支付了大约75个比特币, 大约500万美元, 在赎金. 像黑暗面这样的犯罪组织更喜欢使用比特币作为赎金,因为它提供了一定程度的匿名性, 允许在不使用银行的情况下从一个人转移到另一个人, 最后, 可以通过多种方法转换回菲亚特吗, 其中一些不需要使用合法的名称或地址.
6月7日,美国联邦调查局(FBI)宣布,已追回近2美元.利用资金流动分析和其他调查技术,对被盗资金进行了分析. 恰逢中国打击比特币挖矿, 美国联邦调查局(FBI)“入侵”比特币的消息引发了更广泛的加密货币市场暴跌. 联邦调查局没有提供恢复过程的具体细节,以保护他们未来调查的方法, 向美国地方法院提交的扣押令, 加州北部地区, 提供了一些见解.
第二天,公众获得了事件的更多细节,殖民地的管道首席执行官小约瑟夫·布朗特(Joseph Blount Jr .)说., 在事先准备好的发言中,他向参议院国土安全和政府事务委员会成员回顾了这一事件. 具体地说, 公司员工在其网络上收到了一封勒索信,称黑客从公司共享的内部驱动器中“窃取”了一些材料,并要求支付大约500万美元来交换这些文件. 在发现之后, 殖民地的管道开始关闭整个管道,以最大限度地减少恶意软件对控制Colonial管道运营的运营技术(OT)网络的进一步风险. 此次关闭对东海岸上下的燃料输送造成了重大干扰, 航空公司运输, 以及消费者燃料分配, 立即导致整个美国东南部的泵排起了长队.S.
在这篇博文中,我将尝试为读者重建恢复过程. 值得注意的是,无论是作者还是公司, 零摩擦, 能接触到任何关于这个事件的非公开信息吗. 所有讨论的方法和技术都是使用零摩擦的专业知识和公开可用的开源情报(OSINT)工具获得的.
根据联邦调查局的 扣押令美国联邦调查局使用链上比特币数据进行了资金流动分析. 然而,联邦调查局混淆了大多数感兴趣的地址,具体如下:
- 黑暗面的赎金支付地址
- 黑暗面转账赎金的中间地址
- 美国联邦调查局(FBI)查获部分赎金的“黑暗面”收款地址(在查获令中称为“主题地址”)
- 美国联邦调查局目前扣押资金的地址
从联邦调查局提供的部分地址开始, 如下图所示, 作者构造了一个查询来搜索比特币网络中所有部分匹配的地址. 所使用的相同技术也可以应用于其他区块链平台上的其他用例, 包括Et在这里um, 搜索特定的交易值, 交易周期的类型, 和其他人.
来源:FBI的扣押令
殖民管道案, 查询只返回一个结果, 通过比较返回的信息, 作者高度肯定地得出结论,结果是主题地址(第3项):
使用比特币浏览器(例如.g., blockchair.com), 作者能够确定该地址总共有三笔交易(收到一笔存款,发送两笔转账), 最早的交易显示为“已收到”.”
来源:Blockchair.com
因为没收通常需要在被没收的地址保管资金, 预计将观察到将扣押资金转移到执法机构控制的地址的交易. 此操作是必要的,以减少黑客访问同一私钥的备份集并试图在扣押完全完成之前转移资金的任何可能性. 因此,第一个事务哈希值:
943年f2d576ed8d9f388ba75eb82fe35cce29479b84121827ac368a5a94f44cf7a
突出显示所描述的行动,其中约63.7个BTC被移动到地址bc1qpx7vyv5tp7dm0g475ev527krg764t73dh77gls, 确认为FBI的持有地址(第4项), 到今天还没有花在哪里.
来源:Blockchair.com
该交易具有以下属性:
- 只有一个输入(e.g. 发送方)和两个输出(e.g. 收件人)
- 输入地址被重用为更改地址
这种交易模式显著降低了地址的匿名性, 这使得作者得出结论,这两个地址可能属于两个不同的钱包, 由不同的党派控制. 这一观察结果也可以通过执行聚类分析来证实,其中两个地址都与网络上具有先前事务的任何其他地址无关(例如.g.(同一钱包的一部分).
大约在转移63号后八分钟.7个BTC进入FBI的地址,剩余的余额被第二次交易哈希移动
280年c5f96397b9502b99703842712b78fda84f1a0faabf826f683448082f46369
地址bc1qvjh9cq6qlj4f4q5vxnkgt25mc6qld04vv20fhe,该地址至今仍未使用.
为什么FBI没有没收主题地址的全部余额,因为总共有69个.6个比特币的总数远远低于支付赎金的75个比特币? 要回答这个问题, 有必要对交易进行资金流动,使其回到最初的赎金支付.
从主题地址开始, 通过跟踪较大的入站输入来执行向后跟踪. 五跳之后跨越几个中间地址(项目#2), 追踪到的地址15JFh88FcE4WL6qeMLgX5VEAFCbRXjc9fr也被FBI确认为“黑暗面”的赎金支付地址(项目1)。.
来源:FBI的扣押令
此外, 从支付赎金的地址再多跳一跳, 作者能够确定Colonial在2021年5月8日下午5:12 UTC通过Coinbase的发送地址进行了付款, bc1quq29mutxkgxmjfdr7ayj3zd9ad0ld5mrhh89l2, 使用相应的事务哈希值
6 a798026d44af27dbacd28ea21462808df8deca51794cec80c1b59e07ef924a2
来源:FBI的扣押令
殖民管道赎金事件的完整画面可以可视化, 如下所示, 通过使用区块链取证解决方案, 比如面包屑.应用程序, 地址之间的行粗细与交易价值交换的权重在哪里. 可以查看同一图像的较大视图 在这里.
来源:面包屑.应用程序
与OSINT解决方案相比,取证解决方案提供了一个关键优势,它提供了精心策划的持续更新,以解决已知黑客和用户的归属问题, 以及交易所等服务, 搅拌机, 等. 使用区块链法医解决方案还提高了法医调查的质量,并大大减少了进行法医调查的时间.
映射到上述事务图的关键事务有:
|
事务散列 |
描述 |
|
6 a798026d44af27dbacd28ea21462808df8deca51794cec80c1b59e07ef924a2 |
支付赎金(第1项) |
|
915年fb4f0a030937f2c1d2210996e8eb32b5a41b331965c7ec78961923775bd62 |
中间# 1 |
|
fc78327d4e46dac01dc313067b1ac7f274cdb3a07ea9f28f6f71473145f1b264 |
中间# 2 |
|
0677781 a5079eae8e5cbd5e6d9dcc5c02da45351a3638b85c88e5e3ecdc105a7 |
中间# 3 |
|
9436年dbf0435b15378f309c35754a110db880fa9bb66a062160a25533bb4a212a |
中间# 4 |
|
daf38c7b38eb0a587cf843f47000d5c294affb4f56017370ad48c5147f5e69d9 |
发送至主题地址(项目#3) |
|
943年f2d576ed8d9f388ba75eb82fe35cce29479b84121827ac368a5a94f44cf7a |
寄往FBI保管地址(第4项) |
除了, 桑基图可以用来跟踪从Colonial/Coinbase发送地址到FBI持有地址的资金流动, 黑暗面的赎金支付地址用灰色竖线标出. 资金流动分析通过只关注从给定地址开始的大量资金流动,减少了区块链分析的复杂性. 一个更大的可视Sankey图也可以从 以下URL.
来源:BitQuery.io
需要说明的是,Sankey图中显示的“Coinbase”标签与交易所没有关系 Coinbase.com 但只是表示区块中的第一笔交易. A Coinbase事务 是由矿工创建的一种独特类型的比特币交易,以收集他们工作的区块奖励和矿工收集的任何其他交易费用.
为什么联邦调查局只查获了63个.7 . BTC在于交易散列:
0677781 a5079eae8e5cbd5e6d9dcc5c02da45351a3638b85c88e5e3ecdc105a7
在哪里, 作为赎金的75个比特币中的一个, 地址bc1qxu83k5qkj8kcqdqqenwzn7khcw4llfykeqwg45只收到63个.7个比特币,余额转移到另一个地址. 由于黑暗面作为勒索软件即服务运营,附属机构为使用赎金工具支付服务费用, 63的支付.7 . BTC可能会向附属机构收取费用, 剩下的部分可能是《澳门赌场官方软件》开发者的份额.
来源:Blockchair.com
黑暗面 Developer的份额为11.2个比特币,即支付的75个比特币中的15%,被发送到地址
bc1qu57hnxf0c65fsdd5kewcsfeag6sljgfhz99zwt, 该地址进一步将比特币发送到持有地址bc1q2sewgrnau4e4gvceh8ykzf8lqxawpluu0k0607(如下所示)
目前的未用余额为107.8 BTC. 作者能够确认该地址是黑暗面 Developer的持有地址, 通过检查作为佣金支付到地址的模式(例如.g.(如下所示的24个发送方)作为事务哈希的输入
b0e381d02d966acbcd9224817e3db50b2bc3566e0060db36a6a17ee163152dd7
对bc1q2sew…uu0k0607相关地址进行聚类分析,未发现其他相关地址. 作者还假设, 基于观察到的支付模式, 《澳门赌场官方软件》开发者的地址很可能位于一个非托管(如.g.(离线)由开发者控制的钱包.
来源:Blockchair.com
下一个可能也是最具推测性的问题是FBI如何能够获得主题地址的私钥,因为这需要获得附属机构利用的节点IP地址,然后, 通过法律途径, 获得对持有私钥的实际主机本身的访问权. 来自比特币机制, 通过扫描每个端口8333 (e)的主机,可以获得所有比特币节点的IP地址.g.(比特币核心端口). 一次知道, 然后可以对主机进行实时监控, 允许识别第一次传输感兴趣的交易的IP地址. 将这些信息与IP定位器查找相结合, 地点详情, 服务提供者, 类型, 等.,可以得到,如下例所示:
来源:whatismyipaddress.com
相应的, 作者假设FBI可以利用类似的技术通过聚类时间戳和交易细节来识别IP地址. 为了保持FBI使用的技术的完整性,我们没有透露细节, 提交人确认了几个美国的IP地址,这些地址可能是相关交易的发源地, 联邦调查局可以利用哪些信息来进一步确定暗面黑客的宿主.
这篇博客分析强调了这一点, 而比特币区块链可以提供一定程度的匿名性, 重要的是要明白,这种保护可以在合格的区块链法医调查员手中揭开面纱,以获得重要信息, 相对于公众使用各种调查工具和技术所能知道的. 此外,使用区块链取证解决方案,如breadcrumb.应用程序, 还可以获得特定地址的用户或服务的身份, 允许通过法律手段进行追究, 包括扣押和检控. 由于这些进步, 用比特币支付赎金的吸引力正在慢慢减弱.
作者附言: 作者欢迎读者对本文提出问题和评论. 请随时与他联系 tphan@zerofriction.io.
