Несмотря на то, что хакерская группировка The Shadow Brokers (далее TSB) рекомендовала клиентам использовать конфиденциальную криптовалюту Zcash, исследователи нашли подсказки, которые могут указать на покупателей.
В 2016 году The Shadow Brokers начали сливать в сеть код, украденный у АНБ. Помимо публикации некоторых хакерских утилит, таких как эксплойты (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости для проведения атак), которые использовались для хакерской атаки WannaCry, TSB также выставили на продажу дополнительные утилиты в специализированном интернет-магазине и создали «сервис ежемесячных сливов» (monthly dump service) для желающих получить дополнительный код.
Недавно группа исследователей из Университетского колледжа Лондона обнаружила вероятные доказательства платежей за эти эксплойты, изучив транзакции криптовалюты Zcash, которую TSB просили использовать потенциальных клиентов. Ученые также проследили движение некоторых монет к криптовалютной бирже Bitfinex.
Исследовательский документ был размещён на ресурсе предварительной публикации arXiv в мае и представлен на первой конференции Zcash на прошлой неделе в Монреале. В нем освещаются не только методы, которые могли бы помочь определить активность пользователей Zcash, но также и то, как следователи могут обнаружить след TSB и их покупателей.
«Мы регулярно получаем запросы от правоохранительных и регулирующих органов, проводящих расследования. Наша политика не комментировать такого рода запросы», - сообщил представитель криптовалютной биржи Bitfinex, с которой исследователи связывают транзакции, предназначенные TSB.
Летом 2017 года The Shadow Brokers попросили использовать Zcash всех желающих купить эксплойты и утилиты. В обмен на 100 ZEC ($15900 по сегодняшним ставкам и около $22800 на момент продажи) покупатели могли получить доступ к дополнительным инструментам The Shadow Brokers, хотя точно не понятно, к каким. Хакеры предлагали подобные сделки в течение нескольких месяцев.
Исследователи обнаружили ряд транзакций на те же суммы, которые запрашивали хакеры, и произведенные в тот же промежуток времени, в который группировка занималась торговлей. В частности, исследователи определили ряд транзакций, которые могли быть произведены «постоянным клиентом».
«Идея заключается в том, что, основываясь на времени и объемах транзакций (и других метаданных об отправителе) мы можем получить сведения о клиенте The Shadow Brokers», - объяснила Сара Мейкледжон, член исследовательской команды UCL.
В частности, исследователи определили одну июньскую транзакцию на 100 ZEC, одну в июле на 200 ZEC, и на 500 ZEC в августе, что «точно соответствуют ценам TSB», - говорится в документе. Эти средства принадлежали новому пользователю, и большая часть его денег поступала напрямую с Bitfinex. На основании этой информации следователи могли бы запросить или потребовать у Bitfinex информацию о владельце аккаунта. Хотя это вряд ли поможет понять, кто стоит за TSB, но, возможно, удастся выявить покупателя эксплойтов таинственной группировки. Это могли быть как хакеры, так и правительства, пытающиеся определить, какую информацию заполучили TSB.
Кэрол Кратти из пресс-службы ФБР отказалась комментировать, связались ли сотрудники ведомства с Bitfinex относительно этого аккаунта.
Что касается исследования, Мэтью Грин, профессор и криптограф в Университете Джона Хопкинса, а также ученый, связанный с проектом Zcash, рассказал изданию Motherboard, что «это именно та работа, которую команда Zcash и сообщество должны проводить, чтобы улучшать ситуацию». Зуко Уилкокс , основатель криптовалюты и главный исполнительный директор компании Zcash, сослался на майский пост в блоге, в котором объясняются некоторые из проблем, вскрытых исследованием.
В августе прошлого года исследователям удалось идентифицировать адреса электронной почты людей, подписавшихся на «сервис ежемесячных сливов». Исследователь под именем wh1sks подсчитал, что TSB тогда заработали около $88000 в Monero – еще одной криптовалюте, ориентированной на конфиденциальность. Незадолго до этого анонимный пользователь утверждал, что после оплаты хакеры предоставили инструменты низкого качества.
Сами The Shadow Brokers в последний раз выкладывали свои ежемесячные сливы в сентябре прошлого года.
Читайте также:
ASIC-майнеры оккупировали 30% алгоритма Equihash
Биткоин теряет популярность среди преступников
Холодильник может майнить криптовалюту прямо у вас за спиной