Всем салют, дорогие друзья!
✅ Сегодня я вновь расскажу вам, на чем мне удалось заработать. Cегодня в статье не будет белой тематики, которую вы так привыкли видеть. Времени у меня, к сожалению, хватило лишь на одно дело - черное...
⚡️ Ну, а теперь перейдем к моему отчету!
Как я угнал биткойны у богатенького трейдера из Америки и заработал 4.099.996 руб.
Сегодня я подготовил для вас отчет, которого могло бы и не быть, если бы не одно НО...
Это дело берет свое начало ещё в июне уже ушедшего лета. Тогда я предпринимал попытку найти богатенького буратино на одном небезызвестном криптовалютном форуме - bitcointalk.org.
И я нашел, но все оказалось не так просто, как я рассчитывал...
Моя идея заключалась в том, что бы выложить на форуме полезную программу для оповещения о резких изменениях курсов криптовалюты по заданной паре. Она и в тему крипты вписывается, да и делать ее не долго. Дабы подогреть интерес, в топике на форуме я пообещал выдать всего 10 копий проги, первым 10 написавшим (само-собой я выдал больше - всем, кто попросил. Вышло 314 копий).
Сама программа была пустышкой, но ее интерфейс я сделал на высшем уровне, в меню можно было настраивать кучу параметров оповещений, выбрать интересующие пары и много других полезностей. Естественно я добавил к программе полезную нагрузку - РАТник, через который и планировалось похитить сбережения жертв.
Вот такая симпатичная штука вышла в итоге:
Скажу сразу, идея с программой зашла не плохо, заработал я около 2 лямов в пересчете на рубли. Но этот отчет совершенно не об этом...
Июнь. Рыбка ускользнула
Из всех жертв, которых я отрабатывал в ходе данного дела, выделялся один - богатенький американец. Он был одим из тех, кто скачал мое ПО. Благодаря его профилю на форуме я нарыл кое-какой инфы и выяснил, что его основной деятельностью был трейдинг, именно с помощью него он зарабатывал себе на безбедную жизнь. У него было 2 группы, посвященных трейдингу. Кстати, в основном благодаря им и удалось оценить его сбережения. Вообще, анализируя информацию о нем, у меня создалось впечатление, что его жизнь — один большой трейдинг.
Итак, первый шаг сделан, мы у него в машине.
Попав на машину я сразу начал перерывать файловую систему в поисках доступов. Только вот чуда не случилось, я не нашел ничего интересного. Посмотрев на установленные программы и компоненты я быстро понял, что это была виртуальная система, используемая для сторонней работы. Причем машину он настроил основательно, весь трафик шел через тор, а других устройств в локальной сети не было. Виртуалка для мусора? — Возможно.
В принципе, на этом моменте его отработка по большей части зашла в тупик. Я подумал, что будет проще за кого-то другого приняться, чем биться головой о его защиту, с концепцией которой он явно знаком. И, напоследок, все же закинул ему keylogger, лог с которого исправно писался еще с неделю...
Как оказалось, эта виртуалка у него часто запущенна в фоне. Под конец я просмотрел все логи, а там даже email не засветился ни разу. Так на биржу не попасть.
Поэтому было принято решение оставить эту цель в покое. Очень обидно, что пришлось оставить его отработку тогда. Потому, что получилась бы красивая атака с нестандартным подходом. Я получаю удовольствие не столько от вывода больших сумм, как от осознания того, что я проделал хорошую работу и смог обойти продуманную защиту. Для меня это была не просто мимолетная отработка, ведь я смог полностью погрузится в процесс, придумать новую схему атаки, добраться до его рабочей виртуалки. Как мне тогда казалось, все это было безрезультатно...
Сентябрь. А точно ли я все проверил?
Недавно я структурировал файлы и мне попался на глаза тот лог с кейлоггера, который я тогда забраковал. Keylogger, который я тогда использовал, мог работать со скопированным текстом. Я стал анализировать заново и заметил, что в буфер обмена часто попадают данные, которые можно посчитать за трейдинг активность. Цифры очень напоминали стоимость bitcoin'а в долларах, на время собирания логов. И тут я серьезно призадумался, а как такое вообще получается?! Вроде по логам никакой активности на бирже он не ведет, а тут прайс биткоина появляется. Я был 100% уверен, что он не торгует с той виртуалки, на которую был доступ: я все там проверил, вплоть до истории браузера, там нет ничего связанного с биржами.
И тут меня осенило — общий буфер обмена! Если у него эта виртуалка запущена на основной машине, с которой ведется трейдинг и у него настроен общий буфер обмена между системами, то это все объясняет и сильно меняет ситуацию. Я был намного ближе к цели, чем думал.
Изначально я проверял только данные для входа на биржу: email и пароль и т.п. Но, поскольку через буфер обмена просачиваются данные с основной машины, список потенциально полезных данных был сильно расширен, и я пересмотрел лог еще раз, обращая особое внимание на копируемые данные.
Непонятные адреса
При повторном осмотре мое внимание пало на два странных адреса “крипто-кошельков”, которые перехватила функция мониторинга буфера обмена. Это были 2 строки из 43 случайных символов (маленькие + большие буквы и цифры).
Вроде бы адрес и адрес, но по публичному ключу доступ все равно не получить. Может пароль? — Но логина то рядом не видно. Стойте-ка, это точно не адрес bitcoin, слишком длинный он для него. Мне вообще не удалось найти валюту, адреса которой были бы похожи на мои находки. Я спросил у знакомого кодера, что это за валюта быть может, и после нескольких минут он сказал, что это похоже на api-ключи.
Из собранной информации было известно, что жертва пользуется сервисом bitfinex, так как на тематическом форуме он советовал именно эту платформу. В bitfinex можно создавать ключи, чтобы давать доступ сторонним программам к аккаунту. А при создании ключа можно выдать по нему полный доступ к аккаунту. Вот это уже интересно. Только пока не понятно, что может полученный ключ.
Кстати, для подтверждения действий через ключи двухфакторная авторизация и даже пароль не нужны, но уведомление на почту по результатам работы прийти может.
У меня появилась гигантская надежда, что получится что-то достать. Осталось проверить, что может этот ключ. До баланса получилось добраться быстро. Для этого потребовалось лишь несколько строчек кода, скриншот которого с результатом работы я приложу. Это python3, и для его запуска надо установить библиотеку BitEx, и, само собой, вписать свои ключи:
Вот так просто удалось получить балансы аккаунтов. Теперь было достоверно известно, что:
1) Пара ключей была все еще рабочая
2) Есть права, как минимум, на чтение данных об аккаунте
3) Удалось узнать суммы на счетах. Основная часть у него хранилась в bitcoin, их там оказалось 1.4, по тому курсу это было $38.449 (3.827.871 рублей). Так же там были доллары и немного других ненулевых балансов. В общей сумме 41.183$ (4.099.996 рублей).
Ставки известны, но на тот момент не было понятно, удастся ли хоть что-то вывести. У биржи bitfinex когда-то был api /v1/key_info, который выдавал все возможности ключа, однако оказалось, что его запретили. В итоге мне не удалось найти метод проверки ключа, поэтомк решил действовать на удачу: отправить запрос на вывод, а там как получится.
Решил сначала вывести биткойны, предварительно конвертировав их в монеро, а потом конвертировать другие валюты и так же их вывести.
Почему не все за 1 раз? Чтобы меньше шума поднимать.
Я точно не знал тогда, действительно ли он не получит никаких уведомлений, поэтому самый лакомый кусок старался увести как можно быстрее. Решено было начинать поздно ночью. Из анализа активности социальных сетей была информация о том, что он допоздна не засиживается - ложится спать рано, поэтому за компьютером его точно не будет.
Вывод средств
Я до ночи не мог успокоится. Еще не было известно, получится ли у меня что-то, но я был на кураже. Не хотелось заглядывать в будущее, потому что я уже один раз обломался с ним на прошлой атаке, когда ничего не нашел, но мысль о том, что сейчас с неба могут упасть более 4 миллионов рублей постоянно вертелась в голове. Час X наступил немного раньше, чем я думал, в два с половиной часа.
Для вывода средств у bitfinex есть API /v1/withdraw. Главная интрига была лишь в том, есть ли у ключа права на вывод. При выводе надо помнить правило номер 1 — не выводить на уже использованные кошельки! Если его не соблюдать, то тебя будет проще найти после слива. Поэтому был создан новый кошелек. А т.к. это Monero, их можно хоть сотнями штамповать так.
После запроса API в ответ пришло “Success”. Сейчас единственный способ остановить слив - отменить транзакцию, пока биржа не начала ее отправлять (а для monero отправка начинается быстро). Ночное время атаки было выбрано удачно, от жертвы ноль активности. Возможно, это был самый дорогой сон в его жизни. Через несколько минут поступил перевод на адрес нового кошелька и вуаля, 1.4 btc у меня в кармане. По API, удалось и баксы конвертировать в Монеро, после чего слить по старой схеме.
В итоге заработано:
276.840032 XMR
=
$41.183
=
4.099.996 рублей
Вывод
И все-таки это не вся сумма, что была у моей жертвы. Как я понял, это был его относительно новый аккаунт, который он хотел привязать к торговому боту. Я выяснил, что у него существует основной акк с 45 BTC на балансе. Если повезет, то в будущем доберусь и до него.
Друзья, благодарю вас за внимание ❤️
Оставайтесь на связи, я готовлю для вас кое-что интересное, скоро все расскажу 🔥