Реконструкция событий: как российские шпионы использовали биткоин в ходе президентских выборов в США

«В блокчейне биткоина все открыто», — Тим Коттен проанализировал транзакции между биткоин-кошельками русских разведчиков и рассказал, как они отмывали деньги по ходу вмешательства в американские президентские выборы в 2016 году. Публикуем расследование эксперта: взлом компьютеров Демократической партии, обвинение спецпрокурора Роберта Мюллера и таинственная сумма 0,26043 BTC.

Тим Коттен проанализировал транзакции между биткоин-кошельками русских разведчиков и рассказал, как они отмывали деньги по ходу вмешательства в американские президентские выборы в 2016 году.

Публикуем расследование эксперта: взлом компьютеров Демократической партии, обвинение спецпрокурора Роберта Мюллера и таинственная сумма 0,26043 BTC.

Оригинал материала на Medium.


Комментарий United Traders.

Алексей Марков, ведущий трейдер:

«В последнее время на Medium все чаще встречаются детективные истории, связанные с криптовалютами. Для меня немного странно, что в основном их преподносят с негативным оттенком.

Что касается этого расследования, то здесь я вижу одни плюсы. Конечно, давать оценку объективности автора и доходить до обвинений я не стану, но тем не менее...

Все мы прекрасно знаем, что теневой сектор мировой экономики весьма велик, и в какой-то момент он должен стать прозрачнее. Как раз биткоин и может стать таким инструментом — с одной стороны, он дает определенную свободу, с другой — невозможность отката записей о транзакциях. Все все друг про друга знают. Так и в этом случае: даже если преступления совершались, то следы уже не замести, и виновные, скорее всего, получат по заслугам.

Лично у меня эта история не вызвала удивления: очевидно, что гики и хакеры уже очень давно активно используют крипту в своих делах. Тут масла в огонь подлила именно политика.

Что я сделал после прочтения? Докупил битка и долларов)».


Отмывание денег с помощью биткоина и двенадцать подозреваемых Мюллера

Анализ блокчейна на основании представленных 13 июля обвинений по результатам расследования спецпрокурора Мюллера

В настоящей статье дается обзор того, как обвиняемые российские шпионы использовали биткоин для покупки услуг, таких как BitVPN, с помощью которых осуществили взлом сетей Национального комитета Демократической партии в ходе президентских выборов в США в 2016 году. Мы приводим простую реконструкцию наиболее очевидных операций с биткоином, связанных с документальными свидетельствами, которые приводятся в обвинительном акте расширенной коллегии присяжных от 13 июля 2018 года.

13 июля 2018 года расширенная коллегия присяжных округа Колумбия предъявила 12 разведчикам Главного управления Генштаба Вооруженных сил России обвинения по 11 пунктам, связанным со взломом компьютеров Национального комитета Демократической партии США.

Данное обвинительное заключение является непосредственным результатом расследования спецпрокурора Мюллера о российском вмешательстве в американские выборы в 2016 году, а также одним из наиболее примечательных случаев упоминания блокчейн-технологий в международном уголовном деле. Целый раздел обвинительного заключения (пункт обвинения 10) посвящен отмыванию денег с использованием биткоина для оплаты услуг, задействованных во взломе.

PBS опубликовали документ на своем сайте и дали прямую ссылку на него: https://d3i6fh83elv35t.cloudfront.net/static/2018/07/Muellerindictment.pdf

Биткоин использовался для запутывания следов, покупки доменов, оплаты хостинга веб-серверов и для «осуществления иных платежей, способствовавших осуществлению хакерской деятельности».

Пункт 10 (заговор с целью отмывания денег)

  1. Пп.1-19, пп.21-49 и п.55 заявляются повторно и включаются в настоящий пункт обвинения путем отсылки как полноценные обвинения.
  2. Для содействия в приобретении элементов инфраструктуры, используемых для хакерской деятельности, в том числе взлома компьютеров физических лиц и организаций США, которые были задействованы в президентских выборах США в 2016 году, и публикации украденных документов, ответчики вступили в сговор с целью отмывания более 95 000 долларов США в эквиваленте через цепь операций, выстроенных с целью извлечения выгоды из условной анонимности криптовалют, таких как биткоин.

Еще более потрясающе то, что в обвинительном заключении приводятся примеры операций с биткоином, в том числе ссылки на уникальную операцию от 1 февраля 2016 года на сумму 0,026043 BTC в блоке №396123.

  1. Организованная преступная группа использовала несколько специальных адресов электронной почты для отслеживания основной информации о биткоин-транзакциях и проведения платежей поставщикам в биткоинах. Один из таких специальных адресов, зарегистрированный на имя пользователя «gfadel47», получил сотни запросов на оплату в биткоинах приблизительно от 100 различных электронной адресов. Например, ориентировочно 1 февраля 2016 года аккаунт пользователя gfadel47 получил следующий запрос: «пожалуйста, отправьте ровно 0,026043 биткоина на» определенный биткоин-адрес из 34 знаков. Вскоре после этого транзакция ровно с такими инструкциями была добавлена в блокчейн.

В п.60 обвинительного заключения конкретно указывается, что аккаунт «gfadel47» получил запрос на «перевод ровно 0,026043 биткоина» на «определенный 34-значный биткоин-адрес».

Анализ блокчейна биткоина за 1 февраля 2016 год (в том числе один день до и один день после) показывает, что сумма 0,026043 биткоина фигурирует только в одной транзакции:

Если вкратце, то мы можем быть уверены, что в предполагаемом преступном сговоре использовался вот этот биткоин-адрес:  1LQv8aKtQoiY5M5zkaG8RWL7LMwNzVaVqR. Далее мы можем установить другие адреса, связанные с этим и, в некоторой степени, различные расходные операции, которые совершали российские разведчики для взлома серверов Демократической партии.

В блокчейне биткоина все открыто

Блокчейн биткоина не обезличивает и не скрывает данные о своих пользователях в отличие от альтернативных блокчейнов, как Monero. Кроме того, вся история блокчейна, включая пустые адреса и адреса с полностью израсходованными средствами, хранится нодами в отличие от более новых криптовалют вроде Mochimo (которая использует технологию ChainCrunch, которая резюмирует состояние реестра на определенных интервалах).

Таким образом, все транзакции с биткоином записываются в реестр навсегда, и существует множество способов для связи IP-адресов с транзакциями, которые регистрируются в сети. Фактически связать IP-адреса с биткоин-адресами вполне возможно, всего лишь подключившись к достаточно активным нодам в сети биткоина и «прислушавшись» к ним.

Важно понимать, что сам блокчейн биткоина не хранит IP-адреса, но архитектура нодов биткоина не предпринимает никаких специальных усилий для затруднения поиска или сокрытия IP-адресов, которые отправляют транзакции нодам, осуществляющим майнинг. Нет никаких сомнений, что различные организации и разведывательные органы контролируют достаточное количество нодов в популярных блокчейн-сетях для ведения приватных реестров IP-адресов пользователей и связанных с ними биткоин-адресов.

Разве IP-адреса нельзя скрыть с помощью прокси или VPN? Подобная защита помогает скрыть лишь определенный тип активности. Например, в обвинительном заключении спецпрокурора Мюллера конкретно описывается использование VPN и допущенные оперативниками ошибки, позволившие идентифицировать таких личностей как Guccifer 2.0, а также использование ими биткоина.

Краткий обзор: 12 подозреваемых Мюллера

Главное разведывательное управление или ГРУ (сейчас Главное управление Генерального штаба Вооруженных Сил Российской Федерации) – это орган военной разведки Российской Федерации.

В обвинительном заключении прямо указываются два внутренних подразделения (воинские части) №26165 и №74455, сотрудники которых участвовали в кибер-операциях с целью вмешательства в президентские выборы в 2016 году.

12 российских разведчиков

Расширенная коллегия присяжных предъявила обвинения 12 российским оперативным сотрудникам: Виктор Борисович Нетыкшо, Борис Алексеевич Антонов, Дмитрий Сергеевич Бадин, Иван Сергеевич Ермаков, Алексей Викторович Лукашев, Сергей Александрович Моргачев, Николай Юрьевич Козачек, Павел Вячеславович Ершов, Артем Андреевич Малышев, Александр Владимирович Осадчук, Алексей Александрович Потемкин и Анатолий Королев.

Они обвиняются в получении несанкционированного доступа к компьютерам лиц, участвовавших в президентских выборах 2016 года, а также в краже документов с таких компьютеров и организации их публикации через другие организации.

11 пунктов обвинения

Пункт 1 и 11: сговор с целью совершения преступления против Соединенных Штатов

Первый и последний пункты обвинения подробно описывают как офицеры российской военной разведки, занимавшиеся хакерской деятельностью, взломали компьютерные системы и сети Комитета по выборам в конгресс Демократической партии США и Национального комитета Демпартии.

Кампании адресного фишинга использовались для взлома электронной почты, а анализ сети и зондирование систем безопасности проводились с целью выявления уязвимостей, вредоносное ПО устанавливалось на роутерах, разработанное российскими разведчиками хакерское ПО, как X-Agent, использовалось (и оставалось в системе несмотря на попытки его удалить), а документы похищались в массовом порядке.

Далее, оперативники вступали в сговор с другими организациями с целью публикации документов для широкой общественности.

Пункты 2-9: Кража персональных данных с отягчающими обстоятельствами

Обвинения в краже персональных данных, в общем, касаются фишинга и взлома ящиков электронной почты, в том числе обезличивания c использованием идентификационных данных.

Обратите внимание, что приблизительные даты взломов приходятся на март-апрель, в то время как указанная в начале статьи транзакция с биткоинами (оплата неназванных услуг, как, например, регистрация доменного имени или ежемесячный платеж за веб-хостинг) произошла 1 февраля: значительно раньше.

Пункт 10: Сговор с целью отмывания денежных средств

Основная часть нашей статьи посвящена 10-му пункту обвинения, в котором использование биткоина (и других криптовалют) рассматривается как способ, использованный оперативниками для приобретения оборудования и услуг, задействованных в хакерских атаках и кампании по распространению информации.

  1. С целью приобретения необходимых элементов инфраструктуры, использованных в их хакерской деятельности, в том числе во взломе компьютеров физических лиц и организаций США, участвовавших в выборах президента США в 2016 году, и публикации похищенных документов, ответчики вступили в сговор с целью отмывания более 95 000 долларов в эквиваленте через цепь операций, выстроенных с целью извлечения выгоды из условной анонимности криптовалют, таких как биткоин.

Следует отметить, что федеральное правительство США рассматривает использование криптовалют с целью обхода идентификации транзакции или попытку анонимного приобретения ресурсов как доказательство отмывания денег.

Стоимость биткоина в 2016 году

1 февраля цена биткоина на открытии рынка составила приблизительно 369,35 $, по данным CoinMarketCap.

Соответственно, стоимость вот такой транзакции: https://www.blockchain.com/en/btc/tx/3c4c026ce8a285ddc281f78e5f9d00df2c19d627904165696faf8263a6f34761 , в которой были потрачены 0,026043 биткоина, на тот момент была приблизительно равна 9,62$.

Кроме того, остаток средств в размере 4,54325747 биткоина, или приблизительно 1 678,05$, после этой транзакции был переведен на новый адрес: https://www.blockchain.com/en/btc/address/1AK79g9gpvZ8jn2C9MsWQpijMFA5JaTdqP.

Иными словами, эта транзакция является одной из многих в длинной цепочке произвольных расходных операций для оплаты услуг, которые были необходимы группе для осуществления своей деятельности. Они отправляли деньги для оплаты определенных внешних услуг (например, регистрацию домена), затем в большинстве случаев пересылали остаток средств на балансе на единый «адрес для сдачи».

Это позволяет нам частично восстановить ход событий и отследить историю платежей лишь проследив за входящими и исходящими операциями, связанными с данным адресом.

Простая реконструкция событий

Похоже, что у многих транзакций с этих адресов было лишь два типа выводов: оплата поставщику каких-то услуг и адрес для сдачи, использовавшийся для хранения нового, снизившегося остатка «счета».

Двигаясь по блокчейну в обратном направлении мы видим, что на самом верху цепочки с подобным паттерном транзакций был этот адрес: 1KgUcHDuWLVzFxVnwp3u5jZw3FmorjG1jD

В самом начале, 16 декабря 2015 года, на этом адресе было 11,8445 биткоинов, 0,8 из которых были потом потрачены. В общей сложности на счете на тот момент находились 5 510,18 $ по курсу 465,21$.

Эти 11,8445 биткоинов были переведены на этот адрес с четырех других адресов, которые мы рассмотрим в следующем разделе этой статьи. Пока же, давайте пойдем по первичному следу и понаблюдаем за поведением данного адреса.

В большинстве случаев мы будем следить за «адресами для сдачи», на которые отправлялись остатки средств после каждой транзакции, а также зафиксируем, что делали со средствами адреса-получатели, если это будет возможно.

Примечание: Все суммы в долларах США указываются по курсу на такой день (цена открытия).

16 декабря 2015 года (начало нашего расследования)

Биткоин-транзакция: https://www.blockchain.com/en/btc/tx/a17c8fb31f628d41242a86dbd79b9d899e4f0e0779e90fb077b4058596b81d5b

Учитывая эту транзакцию и последующую историю операций, похоже, что адрес-получатель контролируется одной и той же группой, поскольку он начинает демонстрировать то же поведение, что и первоначальный адрес из нашего расследования: отправлять небольшие суммы и пересылать сдачу, а не, скажем, аккумулировать ее на более крупном счете (как, например, поставщик услуг аккумулировал бы небольшие полученные суммы за услуги в более крупных кошельках).

Обратите внимание, что такая круглая сумма как 0,8 BTC обычно указывает на «предпочтение владельца» в отношении того, на какую именно сумму пополнить счет (например, вы кладете на свой сберегательный счет ровно 500$, а вот при погашении задолженности по кредитной карте вы бы перевели ровно 512,32$).

18 декабря 2015 года

Биткоин-транзакция: https://www.blockchain.com/en/btc/tx/5f18fbc2c6814ea3400afba93bca61f8fda418e4af8990c984683ff44785a743

Адрес получатель в этом случае переслал 0,388493 биткоина в течение 7 часов на другой адрес, на котором остатки смешиваются и происходит аккумулирование все большего количества биткоинов. Вероятно, данный получатель являлся поставщиком услуг или крипто-миксером.

21 декабря 2015 года

Биткоин-транзакция: https://www.blockchain.com/en/btc/tx/b7af4b15789f6084e6d0f732b47089c6e67697e1ee8867f449e879f1a837ccad

Здесь мы видим тот же паттерн – вероятно 109,81$ были отправлены еще одному поставщику услуг, после чего эти средства были объединены с другими средствами в более крупном кошельке.

23 декабря 2015 года (BitVPN)

Биткоин-транзакция: https://www.blockchain.com/en/btc/tx/e33a3951183d86eb7e6c214fe1c320e6322774663a17b5bea3c74785f23477ad

В этом случае адрес-получатель пересылает более крупную сумму компании BitVPN, предоставляющей доступ к виртуальной защищенной сети (VPN) и принимающей платежи в биткоинах. (с адреса 13ov4UBJYJQBC1Tv5vEvijShn2vWS3vPrJ на адрес  1BitVPNqCdyG4LEbP7EQE1mvyMvBNWuEtE)

Благодаря сервису интернет-архива (Internet Archive Wayback Machine), мы можем узнать, что стоимость VPN-сервиса на один год в 2015-2016 гг. составляла 39,95$, сумму, практически равную сумме транзакции выше, если учесть колебания цены биткоина в течение дня.

Великий раскол

5 биткоинов налево, 5,3 биткоина направо

Биткоин-транзакция: https://www.blockchain.com/en/btc/tx/0324196472c52f58a89de1e491afae0033ee3cb8537694f40c7150f16fcc15a6

В рамках этой транзакции общее количество средств у адреса было поделено примерно поровну – 5 BTC одному, и 5,3 BTC другому. Адрес с 5,3 BTC после нескольких транзакций в итоге приводит нас к тому адресу, который упоминается в обвинительном заключении.

Часть этой суммы, похоже, была переведена на более крупный кошелек, через который прошли сотни тысяч биткоинов – скорее всего это кошелек криптовалютной биржи.

История продолжается

Многие из сумм в ниже указанных транзакциях смешиваются и сливаются с другими адресами таким образом, что это кажется искусственным: как в случае использования крипто-миксера для сокрытия настоящих владельцев средств.

https://www.blockchain.com/en/btc/tx/025c81f2d6e1993374986e5cb58bb38a665e12ebc501777a69994462c852af9d

https://www.blockchain.com/en/btc/tx/f86365040e6def26236551f73fbf9682f7dd6a6122d183091492d356821f2deb

https://www.blockchain.com/en/btc/tx/d9b22db8ab348b8e72b6a27473d9d577936fb89d255be4401e4c9684fbe6bb36

https://www.blockchain.com/en/btc/tx/bc0131734347ac6db914d19fdc9b129a3e2a61940f2e111e4ec21315922b2eec

https://www.blockchain.com/en/btc/tx/9b458572b8fb5fbf6384640688e504caf61b5af2e6c26eee683069d0d96ac8d0

https://www.blockchain.com/en/btc/tx/005610ed868772a8b74122c3ef4ba47641c9d209f685dd246efc6b9cc6656cb0

https://www.blockchain.com/en/btc/tx/3c4c026ce8a285ddc281f78e5f9d00df2c19d627904165696faf8263a6f34761

И вот мы снова оказываемся там, где наша история началась: транзакция на таинственную сумму 0,26043 BTC.

Обнаруженный нами паттерн сохраняется до тех пор, пока простые платежи не заканчиваются, а биткоины не смешиваются с другими адресами вот в этой транзакции:

https://www.blockchain.com/en/btc/tx/23e7879eaa2c2757d049f1a22a176dda4907be407aa70fdcc3ea4a5b57754f52 

Здесь мы завершаем наш простой обзор одного аспекта связи блокчейна с обвинительным заключением. Для более глубокого анализа нужно изучить четыре первоначальных адреса, которые вносили средства на адрес самого верхнего уровня, различные «круглые» суммы, которые с него уходили, а также окончательное распределение средств.

Заключение

Во-первых, мы точно знаем, что сумма 0,026043 BTC, указанная в обвинительном заключении, не фигурирует больше ни в каких записях в блокчейне в течение 24 часов до и после 1 февраля 2016, кроме той, которую мы обнаружили.

Во-вторых, мы можем показать, что, как минимум, один платеж был сделан в адрес BitVPN, что подтверждает заявления в обвинительном заключении об использовании VPN-сетей в работе разведчиков для взлома компьютеров Демпартии.

Мы также можем показать движение средств предположительно через крипто-миксеры, а также, вероятно, на адреса криптовалютной биржи, что подкрепляет обвинения в отмывании денег.

Кроме того, с учетом поступления средств на биткоин-адреса в начале 2015 года, а также систематические платежи на суммы, совпадающие со стоимостью как минимум одного полезного сервиса, мы можем заключить, что у сотрудников спецслужбы все было готово еще за несколько месяцев до того, как они предпринимали действия, вменяемые им в других пунктах обвинительного заключения.

Что мы еще можем из этого вынести:

  • Операции в биткоинах не являются анонимными (мы писали о конфиденциальности блокчейна ранее на UT Magazine — Ред.);
  • IP-адреса можно сопоставить с биткоин-адресами;
  • Анонимные схемы верификации, в рамках которых отправляются «случайные» суммы биткоина для создания счета, на самом деле упрощают идентификацию истории платежей в блокчейне (например, 0.026043).

Конечно, такой простой анализ может помочь выявить лишь толику общей картины, однако даже обнаруженное нами выглядит убедительно: у команды спецпрокурора есть доступ к данным за много лет, в которых отражены преступные деяния ровно в том виде, в котором они были совершены – и все эти данные находятся в блокчейне.