Как мошенники заработали на криптовалютах миллионы долларов и при чём здесь Украина

Вчера, 14 февраля, Департамент киберполиции НПУ отчитался о выявлении одной из самых масштабных фишинговых атак, направленных на пользователей криптовалют. Команда Сергея Демедюка рассказала о подставных доменах, похожих на blockchain.info, о самой работе схемы, однако умолчала о важных подробностях. Например, при чем здесь Украина и наша киберполиция в частности.   

InternetUA пытался разобраться в ситуации.

Как стало известно из блога подразделения "Talos" компании Cisco, они вместе с Департаментом Киберполиции НПУ  расследуют кампанию группы COINHOARDER по краже биткоинов уже более 6 месяцев.

Как воровали

24 февраля 2017 года Cisco зафиксировала массовую фишинговую кампанию в Украине, нацеленную на популярный сервис виртуального Bitcoin-кошелька blockchain.info с объемом клиентских запросов более 200 тысяч.

– Уникальность кампании состоит в том, что злоумышленники использовали Google Adwords для искажения результатов поиска пользователей. С того момента, как Cisco обратила внимание на этот метод, он стал более распространенным - нацеленным на множество разных криптовалютных электронных кошельков, – говорится в отчете о кампании.

Из отчета следует, что злоумышленники установили фишинговую ссылку среди других результатов поиска Google. При поиске ключевых слов, связанных с криптовалютами, например, "blockchain" или "bitcoin wallet", фишинговые ссылки отображаются в верхней части результатов поиска. При нажатии на них пользователь попадал на фейковый домен, где содержимое страницы было на родном языке жертвы – географический регион определялся по IP-адресу.

В феврале 2017 года Cisco зафиксировала резкий скачок DNS-запросов для фейковых криптовалютных сайтов, где отображались более 200 тысяч запросов в час. Вот два примера.

Домен block-clain[.]info использовался в качестве первоначального "входа" для жертв – после этого их сразу же перенаправляли на blockchalna[.]info, где и был размещен фишинговый контент. Эти мошеннические сайты в основном размещены на хостинг-провайдерах в Европе.

Вот как выглядел фишинговый сайт. Обратите внимание, насколько он схож с реальным сайтом, за исключением URL:

После исследования этих доменов и активности в Google Adwords, Cisco создала систему для маркировки схожих доменов как вредоносных. Это привело к тому, что DNS-запросы были заблокированы для указанных доменов. Кроме того, исследователи Cisco смогли отслеживать и контролировать связанные сети и информацию, в том числе, данные регистрации WHOIS.

Эта информация позволила Cisco выявить другие фишинговые домены, связанные с исходным сайтом. В этом примере зарегистрированный пользователь dsshvxcnbbu@yandex[.]Ru связан со многими другими фишинговыми сайтами:

Cisco также контролировала сети, на которых размещены эти домены. Ниже приведен снимок двух недавно активных IP-адресов для этой кампании 91.220.101.106 и 91.220.101.141 и ASN, связанных с этими доменами в Украине.

Мы видим, что домен второго уровня (SLD) соответствует аналогичной схеме blockchain.info, с изменениями строки "blockchain" вместе с "http", "https", "wallet" в SLD. Вот графическая визуализация доменов на этих инфраструктурах:

Как «попадался пользователь»

Департамент Киберполиции Нацполиции Украины поделился алгоритмом работы фишинговой схемы:

1. Пользователь открывает фейковый сайт.
2. Сервер злоумышленников, на базе Nginx + LuaJIT перенаправляет запрос на оригинальный blockchain.info. С помощью модуля языка программирования Lua в web-сервере Nginx сразу происходит изменение данных заголовков, а в некоторых случаях - запрет.
3. Как только пользователь входит в кошелек или создает новый, загружая с сайта JavaScript, Nginx на фейковом сервере подменяет его своим. Указанные функции, при инициализации кошелька отсылают по специальному адресу POST-запрос с данными: sharedkey, password, secondPassword, isDoubleEncrypted, pbkdf2_iterations, accounts. В "accounts" содержатся xpub и xpriv ключи для каждого кошелька. Если же данные кошелька зашифрованны двойным паролем, то он расшифровывает и отправляет эту информацию к себе на сервер. Интересный факт, что двухфакторная аутентификация в этом случае не поможет.
4. На фейковом сервере работает php-backend, который осуществляет взаимодействие с данными кошельков.

Специалисты украинской киберполиции также нашли подтверждение того, что злоумышленники причастны к созданию нескольких так называемых HYIP-проектов, таких как: flexibit.bz, verumbtc.com, hashminers.biz, которые являются так называемым «скамом» (scam).

Сколько украли и у кого

Одним из наиболее интересных аспектов этого кибермошенничества является географическое расположение жертв. Используя данные запросов Umbrella Client Requester Distribution на фейковые домены, специалисты Cisco увидели значительное количество запросов DNS из таких стран, как Нигерия, Гана, Эстония.

– Похоже, что злоумышленники были нацелены на жертв из развивающихся стран, где банковская деятельность более сложная, а местная валюта нестабильна по сравнению с криптовалютами, – говорят в Cisco. – Кроме того, более легкая цель для преступников – страны, где английский не является основным языком.

Cisco доказала, что группа COINHOARDER занималась кражей биткоина с 2015 года. Предположительно, было украдено десятки миллионов долларов в криптовалюте:

– Мы оцениваем, что группа COINHOARDER заработала более 50 млн долларов за последние три года. Отметим, что стоимость биткоина резко выросла за 2017 год, начиная с 1000 долларов в январе до 20000 долларов в декабре. Невзирая на выгоду, полученную из-за роста курса, преступникам было довольно сложно конвертировать криптовалюту в другие валюты, например, доллары.

При чем здесь Украина

Работая с правоохранительными органами Украины, Cisco смогла идентифицировать адреса биткоин-кошельков злоумышленников и, таким образом, отслеживать их активность за период с сентября 2017 года по декабрь 2017 года. Только за это время украдено около 10 млн долларов. Всего за 3,5 недели они похитили 2 млн долларов. Вот скриншот одного из кошельков преступников:

Украина в отчете специалистов Cisco выступает не только как помощница – её также назвают «очагом» для такого типа атак и «домом» для известных «пуленепробиваемых» хостинг-провайдеров:

– В прошлом году Cisco зафиксировала значительный рост финансовых кампаний из этого региона и нацеленных на Украину. Одна из главных задач Cisco - сотрудничество со странами по всему миру и улучшение уровня кибербезопасности. Некоторые IP-адреса злоумышленников, которые размещают домены, используя IDN и сертификаты SSL - 176.119.1.88 и 176.119.5.227 – украинские.

В Департаменте Киберполиции, в контексте информации о группе COINHOARDER, также недвусмысленно намекают на некие украинские криптовалютные проекты:

 – В последнее время в Украине создается все больше "распиаренных" криптовалютних проектов, которые создают свои криптовалюты и пытаются привлечь инвестиции. В большинстве случаев такие проекты ориентированы на быстрый сбор денежных средств с населения при отсутствии каких-либо гарантий дохода, – утверждают в украинской киберполиции.  – В дальнейшем, существует несколько сценариев развития: сообщение о якобы взломе проекта/биржи, отсутствие роста самой криптовалюты или банальное исчезновения основателей со всеми средствами. В связи с этим, рекомендуем более осторожно относиться к инвестициям в подобные проекты.

Активность группы упала, но надолго ли?

В 2018 году активность этой группы значительно упала, отмечают в Департаменте Киберполиции:

– Мы связываем это с введением дополнительных правил модерации рекламных сообщений в Google Adwords. Это также подтверждается анализом активности лиц на закрытых форум-площадках, которые предлагают услуги по ведению мошеннических рекламных кампаний.

Cisco обещают продолжить наблюдение за происходящими событиями и координировать свои действия с международными правоохранительными группами в 2018 году, чтобы помочь защитить пользователей и организации от киберпреступности.

Украинские киберполицейские говорят о том, что отслеживают деятельность еще нескольких групп, занимающихся похищением криптовалюты, и в ближайшее время обещают поделиться результатами новых расследований.