Госдеп США предупреждает, что малые и средние криптоdfk.nyst мосты стали мишенью для bgp route leaking, в ходе реализации которой применялись сценарии bgp route injection и был реализован полноценный bgp route hijacking путём подмены маршрутной информации и создание обхода трафика через транзитную Autonomous System теневых трейдеров, в результате чего были переведены значительные криптовалютные активы, эквивалентные миллионам долларов, которые впоследствии перечислялись на криптокошельки китайских дропов и обменивались на фиатные деньги.
Уведомление о произошедшей утечке криптовалютных активов, изданное ФБР, обвиняет Китай в нелегальной операции от которой предприятия малого и среднего бизнеса США потерпели убытки в размере 18 миллионов долларов за прошлый год.
ФБР предупредило, что они выявили 20 случаев, когда данные закрытых ключей крипто кошельков подвергались утечке при использовании сервера обхода и подмены маршрута с помощью bgp route injection при помощи которых криптовалюта и была отлита на кошельки проживающих в Китае дропов, а также экономических и торговых компаний. Нарушители пытались сделать процессинг крипты с помощью bgp route hijacking в общей сложности на сумму в эквиваленте около 200 миллионов долларов в период с марта по сентябрь прошлого года.
Самое поразительное в докладе ФБР – небывалое количество информации, которое бюро предоставило средствам массовой информации, криптобиржами и обменным площадкам. Были изложены шаги и пути, использованные нарушителями, а также географическое положение и поддельные имена компаний, дропов и их теневых трейдеров. ФБР утверждает, что отлитая крипта была переведена дропам и компаниям, расположенным в китайской провинции Хэйлунцзян, использующим в именах компаний китайские порты Raohe, Fuyuan и Jixi City, а также слова “экономический и торговый”, “торговля” и “LTD.”.
Объем процессинга крипты варьировался в эквиваленте от 50 000 долларов до 985 000 долларов США, но большая часть криптовалютных транзакий превышала порог в 900 000 долларов. Согласно ФБР, процессоры крипты добились наибольшего успеха в выкачивании BitCoin именно тогда, когда переводили в эквиваленте менее 500 000 долларов США за один раз. Когда крипта была перекачена на кошелёк дропа, её немедленно переводили в фиат и снимали, или переводили на другие крипто кошельки. Дроповоды также использовали неразводных дропов в США. “Нарушители также перекачивали криптовалюту на кошельки неразводных дропов в США, которые осуществляли перевод на другие кошельки и вывод в фиат за несколько минут. Локальные переводы на карты местных дропов с биржи при обмене криптовалюты на фиатные деньги составляли от 200 долларов до 200 000 долларов США. Получателями являлись денежные мулы – лица, с которыми владелец криптокошелька – жертва сотрудничал в прошлом, а в одном случае – общественное предприятие, расположенное в другом штате США”, – заявило ФБР. Эти переводы со скомпрометированных криптовалютных кошельков варьировались в эквиваленте от 222 500 долларов до 1.3 миллиона долларов.
Микки Будэй, генеральный директор Trusteer, считает, что ФБР опубликовало информацию о нелегальных криптовалютных транзакциях с использованием сценариев bgp route leaking в первую очередь для того, чтобы иметь под рукой действующую разведывательную информацию. “Уникальная особенность этого дела – то, что все криптовалютные активы скачивались в один и тот же регион. Перевод крипты сам по себе уникальным никогда не был”.
“На данный момент неизвестно кто стоит за этим отмыванием денег, были ли китайские счета конечным пунктом назначения фиатных денег или они переводились еще куда-то, а также почему законные компании получали незаконные денежные переводы со своих счетов на криптовалютных биржах. Отмывание денег через счета компаний, которые содержат похожие на описанные выше особенности, должны быть внимательно изучены”, – сказано в сообщении ФБР.
Специализированное программное обеспечение, использованное в некоторых попытках слива крипты через сервер обхода с реализацией bgp route hijacking и сценариев bgp route injection – WireShark, Ettercap NG, а также Insinuator и Nmap. Американский Госдепартамент отмечает, что одна из организаций-жертв не смогла даже исследовать свой крипто кошелёк, потому что жесткий диск сервера был дистанционно стёрт.
Дэвид Йеванс, председатель Anti-Phishing Working Group и генеральный директор IronKey говорит, что хоть и рано говорить о том, кто именно стоит за этим сливом криптовалюты и перехватом bgp сессий телекоммуникационных провайдеров, но можно утверждать, что Китай тоже может быть “горячей точкой” киберугроз, а не только кибершпионажа. “Эта ситуация показывает то, что размах теневого трейдерства и процессинга криптовалюты растет и киберугрозы криптобиржам выходят на мировой рынок”, – говорит он. “Если Китай выйдет на этот рынок, этот рынок может вырасти в 5 или даже в 10 раз”.
Эксперты в сфере киберугроз говорят, что процессинг крипты – дело рук одной команды. “Очевидно, что мы имеем дело с одной группировкой, триадой, которая и стоит за всем этим”, – говорит Будэй из компании Trusteer.
“Общая сумма в 20 миллионов долларов в криптовалюте – результат только одной из проводимых операций по перехвату закрытых ключей при помощи реализации bgp route hijacking и обналичиванию денег через приватные обменники в даркнет”, – говорит он. “Это – большая сумма для такого периода времени, но и она может быть увеличена в десятки раз из-за нелегальной деятельности китайских группировок, существующих сегодня в США”.
Американское правительство уже предупредило свои банки и криптобиржи и попросило внимательно следить за своими криптовалютными кошельками и транзакциями в пользу китайских городов Raohe, Fuyuan, Jixi City, Xunke, Tongjiang и Dongning, а также посоветовали предупредить своих клиентов.
Полное сообщение ФБР о произошедшем криптовалютном инциденте можно посмотреть на их официальном сайте.
Более подробно обсудить со мной вопрос практического применения описанных инструментов можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.