В 2016 году группа хакеров Shadow Brokers выложила в открытый доступ эксплойты Агентства национальной безопасности США (АНБ). Эти эксплойты позже использовались в масштабных атаках WannaCry и Petya. Также Shadow Brokers торговали онлайн дополнительными эксплойтами и инструментами через «ежемесячные сливы» (monthly dump service).
Недавно группа исследователей из Университетского колледжа Лондона (UCL) обнаружила возможные доказательства оплаты этих эксплойтов, изучив транзакции zcash — одной из криптовалют с повышенной анонимностью, которую принимали Shadow Brokers. Более того, специалистам удалось отследить путь Zcash до криптовалютной биржи.
Документ был опубликован на сервисе arXiv в мае и представлен на этой неделе во время первой конференции Zcash в Монреале. В нём освещаются не только методы, которые могут определять активность пользователей Zcash, но и то, как следователи способны отслеживать и находить тех, кто мог купить инструменты АНБ.
Летом прошлого года Shadow Brokers на протяжении нескольких месяцев продавали эти эксплойты за 100 zec ($15 900 сегодня и около $22 800 на период продажи). Исследователи отобрали ряд транзакций на ту же сумму, что в то время запрашивали Shadow Brokers. Сара Мейкледжон, член исследовательской команды UCL, дала Motherboard следующий комментарий:
Идея в том, что, основываясь на времени и объёмах транзакций (и других метаданных), мы получили сведения о том, что кто-то отправлял деньги хакерам Shadow Brokers. В частности, исследователи определили одну июньскую транзакцию на 100 ZEC, одну в июле на 200 ZEC и на 500 ZEC в августе, что в точности соответствует ценам Shadow Brokers. Эти средства принадлежали новому пользователю, и большая часть его денег поступала напрямую с bitfinex.
На основании этой информации следователи могли бы запросить у Bitfinex информацию о владельце аккаунта. Конечно, она не ответит на вопрос о том, кто стоит за Shadow Brokers, но поможет выяснить, кто пытался купить эксплойты.
Кэрол Кратти из пресс-службы Федерального бюро расследований отказалась комментировать вопрос о том, связывались ли сотрудники ведомства с Bitfinex. Представитель Bitfinex сообщил Motherboard:
Мы регулярно получаем юридические запросы от правоохранительных органов и регуляторов, которые проводят расследования. Наша политика — не комментировать подобные запросы.
Что касается исследования, Мэтью Грин, учёный, старший преподаватель и специалист по криптографии в Университете Джона Хопкинса, а также один из основателей проекта Zcash, сказал Motherboard, что «это именно те аспекты, которые команда и сообщество должны улучшить». Зуко Уилкокс, основатель криптовалюты и CEO компании Zcash, сослался на майский пост в блоге, в котором объясняются некоторые из проблем, вскрытых исследованием.
В августе прошлого года специалистам удалось идентифицировать адреса электронной почты людей, подписавшихся на monthly dump service. Они подсчитали, что Shadow Brokers тогда заработали до $88 000 в Monero. Незадолго до этого анонимный пользователь утверждал, что после оплаты хакеры предоставили инструменты низкого качества. Сами Shadow Brokers в последний раз выкладывали свои дампы в сентябре прошлого года.
По материалам Motherboard