6月7日,在司法部新闻发布会上,美国宣布没收了DarkSide勒索团伙使用的加密货币钱包,里面装有来自ColonialPipeline的赎金。如何拦截并成功打开加密货币钱包?这个问题已经成为很多人的疑问,甚至因怀疑美国政府“控制”加密货币而导致比特币价格暴跌。目前有几种可能:(1)数字货币存在安全漏洞。然而,这不太可能,因为没有迹象表明他们能够破解椭圆曲线数字签名算法(ECDSA)。(2)FBI执法部门侵入犯罪组织的IT基础设施系统,进入他们存放私钥的服务器,从而获得属于DarkSide比特币钱包的一把私钥的控制权。即钱包是用私钥打开的。接下来我们来回顾一下简单的时间线:5月7日,美国最大的燃料管道公司ColonialPipeline支付了近500万美元的赎金。5月14日,勒索软件团伙声称无法访问他们的一台支付服务器。6月7日,美国宣布追回大笔赎金。勒索软件团伙声称无法访问他们的其中一个支付服务器的消息似乎为第二种可能性提供了一些可信度。结合美国司法部坚持其资金追踪能力,加密专家也表示,比特币钱包被FBI打开更多是因为私钥存在漏洞,而不是货币本身。拦截比特币很可能是FBI通过比特币交易记录追溯到数字钱包,从而锁定资金存储进行资金封锁,进而通过DarkSide勒索团伙的情报实现对勒索软件基础设施的入侵,获得了私钥(这一点从DarkSide勒索团伙此前表示“我们已经失去了对我们的基础设施的访问权,包括博客和支付服务器”的事实就可以看出,即美国执法机构完全有可能访问他们的基础设施)。虽然私钥在Colonial赎金追回事件中如何被泄露的细节尚不清楚,但Ironside行动中使用的策略已经公开。Ironside是FBI于2018年发起的一项全球打击欺诈行动。通过访问和使用犯罪分子的加密通信,FBI及其国际合作伙伴已成功收集网络并逮捕了100多个有组织的犯罪集团,其中包括澳大利亚头号通缉犯HakanAyik,土耳其跨国贩毒集团的老大,以及200多名嫌疑人。拦截比特币后,FBI还能访问加密通信吗?通过公安执法令可以发现,此次行动的关键在于“听”。An0m:犯罪分子的加密聊天蜜罐平台2018年,FBI查获了PhantomSecure:一种向毒贩、受雇的杀人犯和其他有组织犯罪头目出售加密电话的聊天服务。这家总部位于加拿大的企业购买智能手机,剥离设备的GPS、通话、短信和互联网访问功能,然后安装加密电子邮件系统,让手机处于闭环通信状态——它们只能相互通话。而且,只有与经销商有直接联系的人才能购买这样的定制手机。PhantomSecure为FBI提供了灵感。他们决定发起一场Ironside行动,这次行动的主角是FBI专门为不法分子开发的加密聊天蜜罐平台An0m。在该工具的测试阶段,该行动的合作伙伴AFP(澳大利亚联邦警察)获得了一项法院命令,要求合法监控分发给澳大利亚个人或与澳大利亚有明显联系的个人的Anom设备。测试阶段总共分发了大约50台设备,监控非常成功。经过测试,FBI联系了第三国,后者同意加入TrojanShield调查,并建立自己的iBot服务器以支持操作。随后,行动正式开始,FBI招募了CHS(ClassifiedPersonnel),将加密通讯产品Anom引入跨国犯罪组织(TCO),此外,他们还将Anom设备分发给与TCO直连的加密通讯设备经销商,让TCO成员开始使用这个“不错”的设备。一开始,Anom的应用范围很小。2019年,Anom在犯罪圈子里走红。2020年,随着EncroChat和SkyECC平台的被禁,Anom不再需要卧底推广。它在犯罪圈子里很“火”,后来甚至有近9000名活跃用户。Anom是什么?简单来说,它就是一个蜜罐。该设备装有加密通信,被出售给犯罪分子。当犯罪分子开始使用它时,他们的通信信息将被FBI和AFP监控。为了取信于不法分子,钓到更大的鱼。FBI、AFP和CHS(机密官员)在现有的加密系统中内置了一个主密钥,该系统秘密附加到每条消息上,使执法部门能够按原样解密和存储消息传输,显然,Anom设备的那些用户是不知道主密钥的存在。对于位于美国境外的设备,通信的加密副本被路由到位于美国境外的“iBot”服务器,由专门的机密人员解密代码并重新加密传输。每个Anom用户都分配有一个特定的JabberID(JID)。JID是固定的、唯一的字母数字标识符。另一方面,Anom用户可以选择自己的用户名并更改用户名列表。对此,“幕后”FBI保存了一份JID和对应Anom用户网名的清单,用于跟踪调查。6月7日,因部分犯罪团伙发现信息监控线索,执法部门关闭行动。文件显示,执法机构累计翻译和汇编了来自90多个国家/地区的11,800台设备的超过2000万条消息。其中,排名前五的国家包括澳大利亚、德国、荷兰、西班牙和塞尔维亚。最终共发出搜查令525张,起诉224人,查封6个秘密实验室,化解21起凶杀威胁,缴获毒品3.7吨,枪支武器104支,缴获资产超过4500万澳元。旧的犯罪平台化为灰烬,新的网络犯罪服务、平台和工具将在别处重生。此后,网络犯罪分子可能会更加谨慎,甚至使用合法的端到端加密聊天服务。这场交锋还没有结束。
