Амеры предупреждают, что малые и средние криптоканалы и криптомосты стали мишенью для атаки, в ходе которой применялись сценарии bgp spoofing и был реализован bgp hijacking путём подмены и обхода трафика были переведены значительные криптовалютные активы, эквивалентные миллионам долларов, которые впоследствии перечислялись на криптокошельки китайских дропов и обменивались на фиатные деньги.
Уведомление о произошедшем скачивании денег со счетов, изданное ФБР, обвиняет Китай в киберпреступной операции от которой предприятия малого и среднего бизнеса США потерпели убытки в размере 18 миллионов долларов за 2013 год.
ФБР предупредило, что они выявили 20 случаев, когда данные закрытых ключей крипто кошельков подвергались утечке при использовании обхода и подмены маршрута с помощью bgp при помощи которых криптовалюта была залита на кошельки расположенных в Китае дропов, а также экономических и торговых компаний. Нарушители пытались сделать процессинг крипты с помощью bgp в общей сложности в эквиваленте около 200 миллионов долларов в период с марта по сентябрь прошлого года.
Самое поразительное в докладе ФБР – небывалое количество информации, которое бюро предоставило средствам массовой информации, криптобиржами и банкам. Были изложены шаги и пути, использованные нарушителями, а также географическое положение и поддельные имена компаний, дропов и их дроповодов. ФБР утверждает, что залитая крипта была переведена дропам и компаниям, расположенным в китайской провинции Хэйлунцзян, использующим в именах компаний китайские порты Raohe, Fuyuan и Jixi City, а также слова “экономический и торговый”, “торговля” и “LTD.”.
Объем процессинга крипты варьировался в эквиваленте от 50 000 долларов до 985 000 долларов США, но большая часть криптовалютных транзакий превышала порог в 900 000 долларов. Согласно ФБР, процессоры крипты добились наибольшего успеха в выкачивании BitCoin именно тогда, когда переводили в эквиваленте менее 500 000 долларов США за раз. Когда крипта была перекачена на кошелёк дропа, её немедленно переводили в фиат и снимали, или переводили на другие крипто кошельки. Дроповоды также использовали неразводных дропов в США. “Нарушители также перекачивали криптовалюту на кошельки неразводных дропов в США, которые осуществляли перевод на другие кошельки и вывод в фиат за несколько минут. Локальные переводы на карты местных дропов с биржи при обмене криптовалюты на фиатные деньги составляли от 200 долларов до 200 000 долларов США. Получателями являлись денежные мулы – лица, с которыми владелец криптокошелька – жертва сотрудничал в прошлом, а в одном случае – общественное предприятие, расположенное в другом штате США”, – заявило ФБР. Эти переводы со скомпрометированных криптовалютных кошельков варьировались в эквиваленте от 222 500 долларов до 1.3 миллиона долларов.
Микки Будэй, генеральный директор Trusteer, считает, что ФБР опубликовало информацию о нелегальных криптовалютных транзакциях с использованием сценариев bgp spoofing в первую очередь для того, чтобы иметь под рукой действующую разведывательную информацию. “Уникальная особенность этого дела – то, что все криптовалютные активы скачивались в один и тот же регион. Перевод крипты сам по себе уникальным никогда не был”.
“На данный момент неизвестно кто стоит за этим скачиванием денег со счетов, были ли китайские счета конечным пунктом перекачки денег или деньги переводились еще куда-то, а также почему законные компании получали незаконные денежные переводы. Перекачивание денег на счета компаний, которые содержат похожие на описанные выше особенности, должны быть внимательно изучены”, – сказано в сообщении ФБР.
Специализированное ПО, использованное в некоторых попытках слива крипты через обход с реализацией bgp hijacking и сценариев bgp spoofing – WireShark, Ettercap NG, а также Insinuator и Nmap. Амеры отмечают, что одна из организаций-жертв не смогла даже исследовать свой криптоканал, потому что жесткий диск сервера был дистанционно стёрт.
Дэвид Йеванс, председатель Anti-Phishing Working Group и генеральный директор IronKey говорит, что хоть и рано говорить о том, кто именно стоит за этим сливом криптовалюты и перехватом bgp сессий провайдеров, но можно утверждать, что Китай тоже может быть “горячей точкой” киберугроз, а не только кибершпионажа. “Эта ситуация показывает то, что размах киберхулиганства растет и киберугрозы криптоканалам выходят на мировой рынок”, – говорит он. “Если Китай выйдет на этот рынок, этот рынок может вырасти в 5 или даже в 10 раз”.
Эксперты в сфере киберугроз говорят, что процессинг крипты – дело рук одной команды. “Очевидно, что мы имеем дело с одной группировкой, триадой, которая и стоит за всем этим”, – говорит Будэй из компании Trusteer.
“Общая сумма в 20 миллионов долларов в криптовалюте – результат только одной из проводимых операций по перехвату закрытых ключей при помощи реализации bgp hijacking и обналичиванию денег в сети интернет”, – говорит он. “Это – большая сумма для такого периода времени, но и она может быть увеличена в десятки раз из-за нелегальной деятельности китайских группировок, существующих сегодня в США”.
Амеры предупредили свои банки и криптобиржи внимательно следить за своими криптовалютными кошельками и транзакциями в пользу китайских городов Raohe, Fuyuan, Jixi City, Xunke, Tongjiang и Dongning, а также посоветовали предупредить своих клиентов.
Полное сообщение ФБР о произошедшем выкачивании денег можно посмотреть на сайте.
