Пример расследования кражи криптовалюты

Наша команда обладает огромным опытом расследования самого разного рода краж криптоактивов. На примере одного из них (конечно же обезличенного) мы хотим показать как это происходит.

Как правило, наше расследование делиться на 4 основных этапа:

Детальное интервьюирование жертвы.
Детальное интервью помогает нам собрать нужные данные и зацепки для последующих шагов.
Анализ цифровых следов злоумышленников с помощью OSINT (разведка по открытым источникам).
Собранная информация о взаимодействии жертвы со злоумышленниками внимательно разбирается аналитиками. Из содержания их переписок выделяются все ценные сведения (адреса в блокчейне, никнеймы, сайты, контакты и пр.), которые обогащаются данными из открытых источников.
Анализ перемещения украденных средств в блокчейне.
Для такого анализа мы используем нашу собственную разработку «ОКО», которая позволяет отслеживать перетекание средств между адресами, переход активов через DEX в другие блокчейн-сети, а также автоматически ищет по сотням различных баз данных новую ценную информацию.
Составление отчета для жертвы с результатами расследования и рекомендациями по дальнейшим действиям.
Итог работы - детальный отчет с максимально возможным количеством данных по инциденту.
Для правоохранительных органов этот отчет будет основанием возбудить дело, а также упростит и ускорит его ход, поможет в установлении личности злоумышленника.

Криптопользователь в определенный день обнаружил пропажу всех своих средств.
Догадок, как это могло произойти, не было: СИД-фразу от кошелька он хранил, как рекомендовано, на листке бумаги; доступ же к устройству был только у самого пользователя.

В результате интервьюирования нами было выявлено, что пару месяцев назад пользователь приобрел себе новое устройство и установил на него кошелек #Метамаск . Наша первичная догадка, что пользователь попал на фишинговый сайт, подтвердилась. Собрав всю доступную информацию, мы приступили к расследованию.

Вводные данные.

26 октября 2021 жертва устанавливала на свой новый ноутбук кошелек Метамаск. Его поиск осуществлялся с помощью поисковика #Яндекс по запросу «скачать metamask».Через сервис Яндекс.Директ жертва попала на фишинговый сайт metamask.io-ss.ru и, вероятнее всего, ввела свою СИД-фразу. Далее злоумышленники перекинули жертву на настоящий сайт, чтобы она ничего не заподозрила.

В данный момент поисковые системы уже уведомляют о том, что данный ресурс является опасным. Вероятно, были уже инциденты и обращения.

Игнорируя предупреждение браузера, переходим на фишинговый сайт и видим, что злоумышленник удалил его.

В веб-архиве по субдомену тоже пусто. Но по домену второго уровня есть данные в веб-архиве.

Упоминания сайта.

Указанный сайт находится в списке фишинговых ресурсов в аккаунте Github. Других упоминаний сайта не выявлено.

Whois, DNS

Данные Whois io-ss.ru.
Регистратор домена: Reg.ru, зарегистрирован 15.10.202.
Основной домен и исследуемый субдомен расположены на IP 31.31.196.98.
ASN 197695 | AS-REG

На данном IP размещены 6 048 доменов.
Иные субдомены не выявлены:
metamask.io-ss.ru
io-ss.ru

Возможные дальнейшие действия:

1. Запросить в ООО «Регистратор доменных имен РЕГ.РУ» информацию об IP регистрационных данных и платежных средствах лиц, купивших указанный домен; другие совпадения в разрезе доменов по IP, платежным данным, учетным данным пользователя запрашиваемого домена.
2. Запросить в ООО «Яндекс» информацию об IP, регистрационных данных и платежных средствах лиц, оплативших рекламу данного сайта; данные, рекламировали ли установленные лица другие сайты; другие совпадения данных по IP, платежным данным, учетным данным пользователя запрашиваемого домена.
3. После получения данных об используемых IP-адресах, направляем запросы в ООО «Яндекс», ООО «Гугл», ООО «ВКонтакте» с целью выявления учетных записей пользователей, которые авторизовывались с них. Какие поисковые запросы были сделаны данными пользователями, какие услуги использовали, их платежные и иные данные, а также другие IP-адреса авторизации.

Веб-архив

В веб-архиве имеются данные о следующих страницах изучаемого домена:

Анализ исходного сайта io-ss.ru на интернет-ресурсе web.archive.org выявил, что злоумышленник пользовался сервисом TDS.SO (распределение и фильтрация трафика) для создания массовых редиректов с целью обхода систем безопасности. Анализ указанных страниц изучаемого сайта дополнительных результатов не дал.

Возможные дальнейшие действия:
Запросить информацию о лицах, подключивших услугу TDS.SO к сайту io-ss.ru: IP, регистрационные и платежные данные.

Для выявления контактов представителей сервиса была проведена первичная деанонимизация админов официального Telegram-чата TDS.SO. Результатов не дала.

Исторические данные по домену:
Выявлена неточная информация о том, что исходный сайт мог располагаться и на другом IP: 136.243.214.242 (domenolog.ru/io-is.ru).Проверка была произведена в декабре 2021 года, скорее всего, до подключения сервиса TDS.SO.

Дополнительная информация:
Выявлены похожие на сайт злоумышленника интернет-ресурсы

IO-LL.RU (зарегистрирован 12.09.2021)
METALKMSK.RU (10.01.2022)
IO-CC.RU (19.01.2022)
METANMSK.RU (24.01.2022)
O-RR.RU (10.02.2022)

Все указанные домены связаны с <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2Freg.ru%2F&postId=479168" rel="nofollow noreferrer noopener" target="_blank">Reg.ru</a> и являются полными копиями официального сайта кошелька Метамаск. Часть ресурсов также указаны на <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fgithub.com%2Fpolkadot-js%2Fphishing%2Fblob%2Fmaster%2Fall.json&postId=479168" rel="nofollow noreferrer noopener" target="_blank">Github</a> как фишинговые.

Возможные дальнейшие действия:
Отправка аналогичных запросов по доменам IO-LL.RU, METALKMSK.RU, IO-CC.RU, METANMSK.RU, IO-RR.RU, как и по домену io-ss.ru.

Исследуемый адрес: 0xbfe... в сети FTM Fantom. Средства похищены в сети FTM, поэтому мы идем на эксплорер (блокчейн-обозреватель) #Fantom и ищем транзакции в нем.

Похищение

Вечером 24 марта с 19:24 по 19:25 злоумышленник вывел с адреса жертвы на адрес 0xbfe... следующие средства:
1) 971,662 YOSHI / эквивалент 1.4 млн USD
2) 260,310 1ART / эквивалент 26 тыс. USD
3) 3,632 FTM / эквивалент 5,266 USD

Движение ERC-20 (протокол токенов в сети Ethereum) токенов YOSHI и 1ART, FTM токенов мы видим в обозревателе <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fbscscan.com%2F&postId=479168" rel="nofollow noreferrer noopener" target="_blank">BSCSCAN.COM</a>.

Далее выясняем, что злоумышленник сделал с токенами:
→ Переходим в обозревателе на адрес злоумышленника.
→ Смотрим более ранние транзакции и ищем те из них, которые поступили с адреса жертвы — значит, последующие транзакции являются выводом украденных средств.
→ В последующих транзакциях мы видим обмен токенов YOSHI и 1ART на токен anyFTM.

Смарт-контракт для обмена YOSHI: <i>0x51d...f653e</i>. Смарт-контракт для обмена 1ART: <i>0x671...ca8df.</i>

В деталях транзакции видим, что был совершён обмен YOSHI на FTM:

Соответствующая транзакция в обозревателе — совпадение мы видим как по сумме, так и по ID.

Вывод средств

Вывод средств осуществлялся несколькими путями (расчеты ниже в USD):
→ 1.18 млн было отправлено в сеть #ETH на этот же адрес злоумышленника 0xef7...
→ 113 тыс. конвертировано в #USDC через #DEX в сети FTM
→ Отправлено на #Binance :
• 101 тыс. на адрес 0xf32... (70 тыс. FTM)
• 20 тыс. на адрес 0x89b... (14 тыс. FTM)
• 87 тыс. на адрес 0xd04... (60 тыс. FTM)

Биржа Binance была определена тем, что с указанных трех адресов средства попали на адрес 0xbb3..., с которого исходящие транзакции осуществляются только на один адрес — 0x28C..., подписанный на эксплорере #Etherscan как «Binance 14».

Три транзакции обмена 85 тыс. FTM на 113 тыс. USDC посредством DEX SpookySwap

Почему через SpookySwap? Потому что при открытии транзакции мы видим контракт SpookySwap и сумму в USDC

Основная часть средств отправлена в сеть ETH через AnySwap (Multichain)

Соответствующие транзакции в сети ETH на этом же адресе

Сеть ETH

В сети ETH средства отправлены на адрес 0x077..., по которому присутствует множество жалоб о переводе украденных средств. Возможно, это анонимный обменник changenow.io — предположение на основе тех же комментариев на Etherscan.
Также с адреса злоумышленника средства отправлены на адрес 0xca6..., который отправляет их в том числе на указанный выше 0xbb3... (Binance). На этом адресе также есть комментарии о ворованных средствах. Транзакции на нем происходят гораздо реже, чем на 0x077....
Взаимодействие с 0x077... и 0xca6... происходит через транзитные адреса — вероятно, генерируемые обменником для пополнения.

Схема транзакций

Возможные дальнейшие действия:
Обращение в Binance по факту мошенничества.

В зависимости от обстоятельств дела, мы рекомендуем обращаться в правоохранительные органы по месту нахождения: жертвы / бирж, на которые были выведены средства / злоумышленника (если его предполагаемое местонахождение стало известно в ходе нашего расследования) / по месту с более удачно зарегулированным законодательством. Каждый из вариантов имеет свои особенности.

Получив от правоохранительных органов бумагу о заведении дела, мы рекомендуем отправить по форме Binance всю информацию. Это позволит установить Binance пользователя, чей аккаунт был использован для неправомерных действий, а правоохранительные органы смогут получить все необходимые данные для соответствующих запросов.