Украинские хакеры похитили $50 млн. у пользователей кошелька Blockchain
На протяжении нескольких лет хакеры обворовывали биткоин-инвесторов, опустошая их криптовалютные кошельки и не опасаясь быть пойманными в силу относительной анонимности блокчейна. Сейчас компания Cisco наконец разоблачила преступников, стоящих за чередой атак.
Группа украинских хакеров, называющая себя Coinhoarder, похитила более $50 млн. в криптовалюте у пользователей Blockchain.info, одного из самых популярных провайдеров цифровых кошельков. Об этом рассказывается в отчёте, опубликованном 14 февраля Talos — подразделением Cisco по кибербезопасности.
Авторы отчёта объясняют, что воры атаковали жертв с помощью простой, но коварной техники: они покупали рекламу, содержащую популярные в поисковике ключевые слова, относящиеся к криптовалютам, выставляя фишинговые сайты в результаты поиска, и похищали содержимое криптовалютных кошельков, после того, как невнимательные посетители вводили свои регистрационные данные на поддельных страницах, по дизайну не отличающихся от оригинала. Люди, вводившие в поисковик Google «блокчейн» или «биткоин-кошелёк», видели ссылки, ведущие на вредоносные сайты, маскирующиеся под легитимные домены кошельков Blockchain.info. Такая реклама, например, включала «фейковые» ссылки, которые выглядели как blokchien.info/wallet и block-clain.info и отсылали посетителей на страницу, напоминающую сайты blockchain.info и blockchain.com.
Настоящие сайты оказывались ниже в списке результатов, чем мошеннические. Ошибочно считая, что они оказались на нужных страницах, жертвы вводили конфиденциальные данные, позволявшие хакерам получать доступ к их кошелькам и похищать цифровые деньги. В отчёте команды Talos, возглавляемой Иеремией О’ Коннором и Дейвом Мэйнором, сказано:
Атакующим достаточно было просто покупать Google AdWords, чтобы обеспечивать устойчивый поток «клиентов».
Cisco, которая в течение шести месяцев расследовала широкомасштабную фишинговую кампанию совместно с украинской киберполицией, отметила, что метод группы Coinhoarder с тех пор получил широкое распространение, и в настоящее время атакам подвергаются различные криптовалютные кошельки и биржи. Противоправные схемы, включающие цифровую рекламу, побудили Facebook запретить продвижение криптовалют. Google также работает над искоренением криминальной рекламы, о чём пресс-секретарь компании недавно сообщил Fast Company.
Деятельность Coinhoarder осуществлялась на протяжении трёх лет, но особенно существенно её масштабы возросли в конце 2017 года, когда цена биткоина почти достигла отметки в $20 000. Только в период между сентябрём и декабрём группировка похитила порядка $10 млн. По словам экспертов Talos, в одном случае хакерам понадобилось меньше четырёх недель на то, чтобы вывести $2 млн. Возможно, что на сегодняшний день преступникам удалось похитить гораздо больше, чем $50 млн., поскольку подсчёты Talos основывались на криптовалютных ценах на момент краж.
К фишингу, одной из нескольких техник воровства биткоинов, также прибегала печально известная группировка северокорейских хакеров Lazarus Group. Cisco выяснила, что Coinhoarder в основном действовала в регионах с неразвитым банковским сектором, где криптовалюты стали популярным способом хранения богатства: большинство пользователей криминальных веб-сайтов были жителями таких африканских стран, как Нигерия и Гана.
В отчёте Cisco также приводятся адреса биткоин-кошельков самих хакеров. Компания с помощью украинской киберполиции сумела отследить перевод на эти кошельки похищенных средств. Установить личности преступников гораздо сложнее, поскольку биткоин-адреса не содержат имён владельцев. Однако эксперты Cisco прочёсывают интернет в поисках подсказок, в том числе обращают пристальное внимание на форумы наподобие Reddit, где жертвы Coinhoarder обсуждают случившееся.
Специалисты пишут в отчёте:
Хотя установить личности владельцев конкретных кошельков крайне тяжело, мы проводим «разведку» на основе открытых источников, имеющих отношение к кошелькам.
Возможно, однажды жертвы даже сумеют вернуть свои средства, хотя вероятность подобного исхода невысока.