После того как итальянская компания-производитель шпионского ПО Hacking Team ранее в этом месяце подверглась крупному взлому, в результате которого в сеть утекло 400 Гб внутренних документов и электронных писем компании, многие эксперты и журналисты принялись тщательно изучать опубликованные материалы, среди которых также была переписка сотрудников компании по электронной почте.
Всплыло множество в чем-то даже шокирующей информации о продуктах компании и их использовании, об этом сейчас полно информации в сети, мы же остановимся на том, как работал так называемый «денежный модуль» (Money Module) от Hacking Team, и рассмотрим, кем именно могли интересоваться при помощи этого софта.
В общих словах, Hacking Team продавала (и еще надеется продолжить продавать) софт, позволявший осуществлять непрерывный шпионаж за жертвами слежки, постоянно мониторя то, как они пользуются своими компьютерами и смартфонами. Клиентами компании были различные правоохранительные органы по всему миру. В январе 2014 года разработчики Hacking Team обновили свой пакет софта Remote Control System до версии 9.2, добавив новую функцию, позволяющую «отслеживать криптовалюты, такие как биткоин и всю сопутствующую информацию». «Денежный модуль» также включал в себя поддержку таких криптовалют как лайткоин, feathercoin, и namecoin.
Николас Уивер, научный сотрудник Международного института компьютерных наук в Беркли, также изучал внутреннюю переписку Hacking Team. По его словам, такая функция «не должна никого удивлять»:
«Это направлено на то, чтобы находить wallet.dat и связанные с ним файлы, и при помощи вредоносного кода получать пароль к этому файлу, когда владелец биткоинов захочет ими воспользоваться», — пишет он в письме изданию Ars Technica, — «Аналогично можно осуществлять поиск по связанным с биткоином ключевым словам в тексте писем, сообщений и в другом контенте на компьютере. А как только вы получаете копию файла wallet.dat, вы получаете полную историю всех транзакций пользователя (как это было с Россом Ульбрихтом)».
Файл wallet.dat содержит закрытые ключи пользователя, то есть, имея его и записи о транзакциях в цепочке блоков, завеса тайны биткоина исчезает. Проще говоря, атакующий получает «ключи от царства».
Очень похоже, что американские федеральные службы именно таким образом смогли доказать, что переводы биткоинов Росса Ульбрихта – это те же, транзакции, что делал администратор Silk Road под ником Dread Pirate Roberts. Отличие только в том, что ФБР в этом случае не нужно было взламывать его компьютер, федералы просто забрали ноутбук Ульбрихта в момент ареста, когда он был авторизован как администратор в панели управления Silk Road.
Используя решение от Hacking Team, не имеет значения, даже если файл wallet.dat жертвы зашифрован, и даже если жертва пользовалась онлайн-кошельком какого-то сервиса. Встроенный в шпионский софт кейлоггер перехватил бы нужные пароли. Кроме того, в одном из всплывших писем говорится, что «денежный модуль» позволял автоматически экспортировать такие данные в секцию «доказательства» (“evidence”) пакета Remote Control System.
Отличная работа!
Один из разработчиков Hacking Team Альберто Орнаги в одном из писем описывал коллегам еще некоторые детали:
Всем привет. Начиная с версии 9.2, наш софт будет поддерживать модуль MONEY для всех платформ. Мы отслеживаем транзакции цели в криптовалютах (см. историю с silk-road), и в демо-режиме мы можем также сделать перевод биткоинов с целью покупки наркотиков, чтобы в форме корреляции определить, кто в конечном итоге получает деньги (DEA, вам уже интересно? : P). Мы можем получить следующие данные: адресная книга (список всех контактов и локальных аккаунтов цели), файлы (сам файл кошелька, содержащий средства и закрытые ключи), транзакции (история входящих и исходящих переводов цели, необходимая для построение корреляций).
Несколько дней спустя операционный директор компании по имени Даниель Милан писал уже следущее:
Уверен, все вы слышали про биткоины, тем не менее, есть еще кое-что в их отношении, на что стоит обратить внимание: криптовалюты позволяют делать неотслеживаемые денежные переводы, и все мы знаем, как преступники любят легко отмывать, пересылать и инвестировать «грязные» деньги. [Правоохранительные органы], используя наш модуль Intelligence с этой новой функцией, могут проводить взаимосвязи в использовании криптовалют, устраняя тем самым непрозрачность, которую они дают.
