После того как итальянская компания-производитель шпионского ПО Hacking Team ранее в этом месяце подверглась крупному взлому, в результате которого в сеть утекло 400 Гб внутренних документов и электронных писем компании, многие эксперты и журналисты принялись тщательно изучать опубликованные материалы, среди которых также была переписка сотрудников компании по электронной почте.
Всплыло множество в чем-то даже шокирующей информации о продуктах компании и их использовании, об этом сейчас полно информации в сети, мы же остановимся на том, как работал так называемый «денежный модуль» (Money Module) от Hacking Team, и рассмотрим, кем именно могли интересоваться при помощи этого софта.
В общих словах, Hacking Team продавала (и еще надеется продолжить продавать) софт, позволявший осуществлять непрерывный шпионаж за жертвами слежки, постоянно мониторя то, как они пользуются своими компьютерами и смартфонами. Клиентами компании были различные правоохранительные органы по всему миру. В январе 2014 года разработчики Hacking Team обновили свой пакет софта Remote Control System до версии 9.2, добавив новую функцию, позволяющую «отслеживать криптовалюты, такие как биткоин и всю сопутствующую информацию». «Денежный модуль» также включал в себя поддержку таких криптовалют как лайткоин, feathercoin, и namecoin.
Николас Уивер, научный сотрудник Международного института компьютерных наук в Беркли, также изучал внутреннюю переписку Hacking Team. По его словам, такая функция «не должна никого удивлять»:
«Это направлено на то, чтобы находить wallet.dat и связанные с ним файлы, и при помощи вредоносного кода получать пароль к этому файлу, когда владелец биткоинов захочет ими воспользоваться», — пишет он в письме изданию Ars Technica, — «Аналогично можно осуществлять поиск по связанным с биткоином ключевым словам в тексте писем, сообщений и в другом контенте на компьютере. А как только вы получаете копию файла wallet.dat, вы получаете полную историю всех транзакций пользователя (как это было с Россом Ульбрихтом)».
Файл wallet.dat содержит закрытые ключи пользователя, то есть, имея его и записи о транзакциях в цепочке блоков, завеса тайны биткоина исчезает. Проще говоря, атакующий получает «ключи от царства».
Очень похоже, что американские федеральные службы именно таким образом смогли доказать, что переводы биткоинов Росса Ульбрихта – это те же, транзакции, что делал администратор Silk Road под ником Dread Pirate Roberts. Отличие только в том, что ФБР в этом случае не нужно было взламывать его компьютер, федералы просто забрали ноутбук Ульбрихта в момент ареста, когда он был авторизован как администратор в панели управления Silk Road.
Используя решение от Hacking Team, не имеет значения, даже если файл wallet.dat жертвы зашифрован, и даже если жертва пользовалась онлайн-кошельком какого-то сервиса. Встроенный в шпионский софт кейлоггер перехватил бы нужные пароли. Кроме того, в одном из всплывших писем говорится, что «денежный модуль» позволял автоматически экспортировать такие данные в секцию «доказательства» (“evidence”) пакета Remote Control System.
Отличная работа!
Один из разработчиков Hacking Team Альберто Орнаги в одном из писем описывал коллегам еще некоторые детали:
Всем привет. Начиная с версии 9.2, наш софт будет поддерживать модуль MONEY для всех платформ. Мы отслеживаем транзакции цели в криптовалютах (см. историю с silk-road), и в демо-режиме мы можем также сделать перевод биткоинов с целью покупки наркотиков, чтобы в форме корреляции определить, кто в конечном итоге получает деньги (DEA, вам уже интересно? : P). Мы можем получить следующие данные: адресная книга (список всех контактов и локальных аккаунтов цели), файлы (сам файл кошелька, содержащий средства и закрытые ключи), транзакции (история входящих и исходящих переводов цели, необходимая для построение корреляций).
Несколько дней спустя операционный директор компании по имени Даниель Милан писал уже следущее:
Уверен, все вы слышали про биткоины, тем не менее, есть еще кое-что в их отношении, на что стоит обратить внимание: криптовалюты позволяют делать неотслеживаемые денежные переводы, и все мы знаем, как преступники любят легко отмывать, пересылать и инвестировать «грязные» деньги. [Правоохранительные органы], используя наш модуль Intelligence с этой новой функцией, могут проводить взаимосвязи в использовании криптовалют, устраняя тем самым непрозрачность, которую они дают.
Несколько часов спустя CEO Hacking Team Дэвид Винченцетти ответил на это: «Отличная работа!!!».
Власти Египта и Саудовской Аравии интересуются отслеживанием биткоина
На данный момент никто не видел точный список тех, кто устанавливал или использовал «денежный модуль» версии 9.2 в начале 2014 года. Однако утекшие в сеть письма говорят о том, что египетское Министерство обороны и Министерство внутренних дел Саудовской Аравии обращались к Hacking Team с запросами по теме отслеживания криптовалют. Рейтинг обеих стран в списке “Freedom on the Net” 2014 года один из самых низких.
По письмам Hacking Team также выяснилось, что сам Винченцетти довольно скептически относился к идее биткоина, причем такое отношение было еще до создания «денежного модуля». Он писал: «Очевидно, что валюту, дающую почти полную анонимность, будет выбираться как валюта для вымогательства или выкупов. И это только одна из причин, по которой биткоин никогда не должен стать денежным стандартом.»
В феврале 2014 года он также писал в рассылке:
У биткоина в текущем виде нет будущего. Но это не означает, что будущего нет у виртуальных валют. Так, модификация существующего биткоина, что-то другое, полностью отслеживаемое и то, что поддержат клиринговые палаты и мировая финансовая система в целом, может иметь будущее.
В мае 2015 года, после того как Росс Ульбрихт был приговорен к пожизненному заключению по обвинению в создании и управлении Silk Road, Винченцетти вновь «прошелся» по биткоину:
Показательная казнь. Это справедливо. Такое правосудие нам и нужно. Даркнет на 99% используется для всех видов незаконной и криминальной деятельности. Сам биткоин и его «последователи» — это ключ к анонимности в Даркнете. Что бы ни говорили инвесторы или некоторые безответственные предприниматели.
via Ars Technica