Blockchain jako kanał ukrytych transferów
Kryptowaluty zmieniły zasady gry w świecie cyberprzestępczości. O ile tradycyjne banki mogą być śledzone przez międzynarodowe organy ścigania, blockchain oferuje coś pozornie niemożliwego: transfery wartości bez ujawniania tożsamości. Ta anonimowość jest jednak bardziej złudna niż rzeczywista, co zaczyna rozumieć coraz więcej śledczych.
Hakerskie grupy szybko zdały sobie sprawę z potencjału Bitcoin, Ethereum i mniej znanych monet. Zamiast ryzyka związanego z transferami bankowych (które generują dokumentację, ślady, alerty systemów AML), mogą teraz żądać opłaty za swoje usługi w kryptowalucie. Ransomware’owe gangi zaczęły wymagać płatności w BTC. Sprzedawcy dostępów do serwerów uczestniczą w tym samym systemie. Twórcy malware’u jako usługi przyjmują wyłącznie krypto.
Zgodnie z raportem dotyczącym bezpieczeństwa infrastruktury cyfrowej, przepływy kryptowalut związane z cyberprzestępstwem wzrosły o ponad 150% w ostatnich dwóch latach. To nie tylko większe liczby — to zmiana jakościowa w tym, jak przestępcy organizują swoje operacje.
Miksery, tumblery i sztuka ukrywania pochodzenia
Ale sam Bitcoin nie jest doskonały dla przestępców. Blockchain jest publiczny. Każda transakcja można teoretycznie śledzić. Dlatego powstała cała infrastruktura dedykowana do „czyszczenia” monet: miksery i tumblery.
Te usługi działają w prosty sposób: wysyłasz kryptowalutę, przechodzi przez serię transakcji obejmujących tysiące adresów, a następnie otrzymujesz „czystą” monetę, którą trudniej jest powiązać z pierwotnym źródłem. Niektóre miksery gwarantują stopień anonimowości, innym się bardziej się nie udaje. CoinJoin, Tornado Cash i wiele innych podobnych serwisów stały się standardowymi narzędziami dla hakerów chcących legalizować pieniądze z ransomware’u czy kradzieży.
Problem polega na tym, że nawet „czyszczenie” pozostawia ślady. Analitycy blockchain’a nauczyli się patrzeć na wzorce, wielkości transferów i czasy transakcji. W rezultacie, wiele hakerskich operacji udało się zidentyfikować poprzez pracochłonne śledzenie przepływów kryptowaluty. FBI i europejskie agencje zaczęły zatrudniać specjalistów od kryptoanalityki. To jest nowa dyscyplina śledcza, która zmienia dynamikę ucieczki cyberprzestępców.
Giełdy kryptowalut: brama do światowego pieniądza
Rzecz w tym, że w pewnym momencie hakerzy chcą skonwertować swoją kryptowalutę z powrotem na tradycyjne pieniądze. To jest ich punkt słabości.
Giełdy kryptowaluty stały się kluczową battleground dla organów ścigania. Duże giełdy (Kraken, Coinbase, Bitstamp) mają procedury KYC (Know Your Customer) i muszą raportować podejrzane transakcje. Jednak istnieje mnóstwo mniejszych giełd, w tym wiele poza jurysdykcją państw Zachodu, które są znacznie słabiej regulowane. Hakerskie grupy wiedzą, które giełdy są „dobrze ukrytte” i które mogą zaakceptować duże transfery bez zbyt wielu pytań.
Według analizy bezpieczeństwa przepływów finansowych, znaczna część zysków z ransomware’u przechodzi przez właśnie te luki regulacyjne. Giełdy zarejestrowane w krajach z niskim nadzorem stały się wirtualnymi pralnią pieniędzy dla cyberprzestępczości. Współpraca między organami ścigania a giełdami jest kluczowa, ale zbyt wolna.
Monety prywatności: ostatnia linia obrony
Gdy organy ścigania nauczyły się śledzić Bitcoin i Ethereum, przestępcy przenieśli się na monety prywatności: Monero, Zcash i mniejsze alternatywy.
Te waluty są zbudowane z kryptografią zapewniającą prawdziwą anonimowość na poziomie protokołu. Nie ma publicznego rejestru transakcji, który można by analizować. Dla śledczych to oznacza: koniec pracy. Zatem hakerskie gangi ransomware’u zaczęły wymagać wyłącznie Monero. Grupy wie, że gdy pieniądze trafią na adres Monero, są skutecznie niedostępne dla międzynarodowych śledztw.
Problem Monero polega na tym, że jest trudniej je kupić lub sprzedać. Musisz najpierw mieć Bitcoina, aby go wymieniać. Tworzy to pewną barier wejścia, ale przestępcy zorganizowali się wokół tego. Platformy wymiany z peer-to-peer, usługi OTC (over-the-counter) — wszystko to pozwala na konwersję między walutami bez centralizacji.
Finansowanie operacji: od pierwszej kryptowaluty do całej infrastruktury
Jak wygląda rzeczywisty przepływ pieniędzy w operacji hakerskiej? Vezmy przykład grupy ransomware’u.
Grupa atakuje korporację, zaszyfrowuje dane, żąda okupu. Ofiara płaci w Bitcoin na adres wskazany przez hakerów. Pieniądze trafiają do portfela grupy. W tym momencie grupa musi zdecydować: czyszczanie przez mikser, czy bezpośrednia konwersja na Monero? Jeśli wartość jest duża (mamy tutaj mówimy o milionach), konwersja może być riskowana — duże transakcje przyciągają uwagę algorytmów AML.
Dlatego duże gangi zarządzają swoimi pieniędzmi jak korporacje. Mają „trezory” rozproszone między różnymi adresami i walutami. Mają osoby odpowiedzialne za konwersję i utrzymanie funduszy. Inwestują pieniądze z haków z powrotem w infrastrukturę: najlepsze zero-day’e, najlepszych programistów, najlepsze narzędzia. Szczegółową dokumentację na temat zarządzania finansami hakerskich operacji przygotowała społeczność bezpieczeństwa, pokazując jak złożona jest ta operacja.
Hakerskie grupy stały się de facto przedsiębiorstwami. Mają budżety, plany biznesowe i długoterminowe strategie. Bitcoin i inne kryptowaluty są dla nich tym, czym jest bankowy system dla legalnych biznesów — narzędziem do zarządzania przepływem pieniędzy.
Między-bankowe śledztwo: perspektywy organów ścigania
Jednak organy ścigania się uczą. FBI, Europol i krajowe jednostki śledcze zainwestowały miliony w zrozumienie blockchain’a.
Współpraca międzynarodowa, choć powolna, zaczyna przynosić rezultaty. Aresztowania członków hakerskich gang, zajęcie portfeli z Bitcoin — to już się dzieje. OFAC (Office of Foreign Assets Control) wprowadził sankcje na konkretne adresy Bitcoin należące do znanej cyberprzestępczości. To jest precydent. Oznacza, że „anonimowy” Bitcoin może okazać się wskazany do przepadku i aresztowania.
Jednak dla każdego sukcesu śledczych, hakerzy opracowują nową obejść. To jest wyścig techniczny. Hakerzy mają motywację finansową do bycia o krok naprzodu. Organy ścigania mają mandaty, ale czasem brakuje im zasobów i wiedzy specjalistycznej.
Przyszłość tego konfliktu będzie zależeć od tego, czy regulacje mogą dogonić innowacje. Na razie kryptowaluty pozostają najważniejszym kanałem finansowania operacji hakerskich, a ich rola rośnie każdego roku.
O autorze
