Национальное бюро расследований Финляндии отследило анонимные транзакции Monero

[INC.]

Финский новостной канал MTV Uutiset сообщил, что Национальному бюро расследований Финляндии (KRP) удалось отследить транзакции с использованием конфиденциальной криптовалюты Monero (XMR).

Журналисты рубрики MTV Crime Reporters канала MTV Uutiset сообщили со ссылкой на заявление регионального прокурора Паси Вайнио (Pasi Vainio), что экспертам KRP удалось отследить транзакции с использованием XMR, а также идентифицировать ее конечного получателя. До этого Monero считалась «неотслеживаемой криптвалютой».

В ходе расследовании резонансного уголовного дела о краже персональных данных в одной из психиатрических клиник Финляндии и вымогательстве криптовалюты в качестве платы за молчание было установлено, что XMR поступили на личные счета Юлиуса Кивимяки (Julius Kivimyaki), проживающего в Эстонии.

Руководитель группы расследования KRP Марко Лепосена (Marco Leposena) прокомментировал, что задача по выявлению злоумышленника была непростой, поскольку переводы средств в блокчейне Monero не являются публичными, а встроенные функции призваны максимально затруднить отслеживание.

Однако эксперты KRP успешно справились с этой задачей. Лепосена отказался сообщать журналистам конкретные детали расследования, пояснив, что данная информация является секретной, так как речь идет о технических методах полиции.

 

[Rehub]

Что то давненько уже небыло разоблачений Monero...

 

[sabahulnoor]

Звучит как разгон для устрашения, хотя так или иначе принимать даже Monero на какой-либо кошелёк который хоть как-то связан с тобой не совсем благоразумное дело, хотя и безопаснее чем просто лить таким образом BTC.

 

[Березовский]

пиздоболы

 

[ice80]

INC. сказал(а):
удалось отследить транзакции с использованием конфиденциальной криптовалюты Monero (XMR).

Пожалуйста, обратите внимание, что пользователь заблокирован

фины жестят - там термальный крипто-анализ. расходимся

 

[hackeryaroslav]

звучит страшно)

 

[SVG45qbVolk]

ice80 сказал(а):
фины жестят - там термальный крипто-анализ. расходимся

А как тогда нашли носителя информации для термального криптоанализа.

 

[Volts]

SVG45qbVolk сказал(а):
А как тогда нашли носителя информации для термального криптоанализа.

Он таблетки забыл принять.

 

[INC.]

• Source: https://www.mtvuutiset.fi/artikkeli...na-pidettya-kryptovaluuttaa/8864046#gs.3i5ilm

 

[Admin]

Интересно. Если кто-то встретит технические детали, сообщите, поделитесь ссылками.

 

[fuck_fbi]

Нашёл первоисточник на английском:

https://www.reddit.com/r/Monero/comments/19emsfe

Быстро пробежался по комментариям и там описаны довольно интересные (примерные) методы отслеживания Monero, может быть кто-то переведёт на русский сюда, либо подскажет новую информацию.

Из интересного в комментариях:
Tracing the WannaCry 2.0 Monero Transactions
Contributors: Nicolas A. Bax, PhD and an unnamed contributor.
medium.com

 

[ice80]

Пожалуйста, обратите внимание, что пользователь заблокирован
Eng:

Researchers traced Monero wallets by leveraging blockchain analysis techniques and utilizing various tools designed for analyzing transactions on the Monero blockchain. Here's an overview of the process:

Identify the target wallet: In this case, researchers started with the Monero wallet address associated with WannaCry 2.0 ransomware.
Use blockchain explorers: They employed blockchain explorers like MyMonero and XMRChain to examine transaction patterns and identify potential links between addresses. These platforms provide a user-friendly interface for analyzing the Monero blockchain, enabling researchers to access important information such as transaction details, wallet balances, and confirmed blocks.
Analyze transaction amounts: The researchers observed that transactions were primarily in multiples of 0.01 Monero (approximately $0.1), indicating that the ransomware requested payments in small increments.
Look for unusual patterns: They noticed some transactions with low fees or unusually long delays before confirmation, which suggested that the attacker intentionally slowed down deposits to evade detection. This behavior can help researchers identify suspicious transactions or activity related to malicious wallets.
Identify connections between wallets: By analyzing transaction flows and patterns, the researchers discovered links between WannaCry 2.0's Monero address and other addresses associated with malicious activities like TrickBot banking trojan and BTC-e exchange. These connections help establish a broader understanding of the criminal ecosystem surrounding the ransomware.
Analyze withdrawal patterns: They found instances where deposited Monero was split into smaller transactions before being withdrawn from the wallet. This practice is commonly used to obscure the origin of funds and hinder their tracing process.
In summary, researchers traced Monero wallets by utilizing blockchain explorers and analyzing transaction patterns, amounts, fees, delays, connections between wallet addresses, and withdrawal strategies. These techniques enabled them to uncover valuable insights about ransomware campaigns and their affiliations with other malicious actors and platforms.


ru:

Исследователи отследили кошельки Monero, используя методы анализа блокчейна и различные инструменты, предназначенные для анализа транзакций в блокчейне Monero. Вот обзор процесса:

Определите целевой кошелек: В данном случае исследователи начали с адреса кошелька Monero, связанного с вымогательской программой WannaCry 2.0.

Использование исследователей блокчейна: Для изучения моделей транзакций и выявления потенциальных связей между адресами исследователи использовали такие блокчейн-платформы, как MyMonero и XMRChain. Эти платформы предоставляют удобный интерфейс для анализа блокчейна Monero, позволяя исследователям получить доступ к такой важной информации, как детали транзакций, остатки на кошельках и подтвержденные блоки.

Проанализируйте суммы транзакций: Исследователи заметили, что суммы транзакций в основном были кратны 0,01 Monero (примерно 0,1 доллара США), что указывает на то, что программа-вымогатель запрашивала платежи небольшими суммами.

Ищите необычные закономерности: Они заметили некоторые транзакции с низкой комиссией или необычно долгими задержками перед подтверждением, что говорит о том, что злоумышленник намеренно замедлял ввод средств, чтобы избежать обнаружения. Такое поведение может помочь исследователям выявить подозрительные транзакции или активность, связанную с вредоносными кошельками.

Выявление связей между кошельками: Проанализировав потоки и схемы транзакций, исследователи обнаружили связи между адресом Monero в WannaCry 2.0 и другими адресами, связанными с вредоносными действиями, такими как банковский троян TrickBot и эксчендж BTC-e.



chatpgt+deepl

ps - очередная хрень, как обычно. все косвеные признаки.
Последнее редактирование: 28.01.2024

 

[INC.]

INC.;1277374 сказал(а):
что XMR поступили на личные счета Юлиуса Кивимяки (Julius Kivimyaki)

a.k.a Zeekill: https://xss.is/threads/75295/#post-719228

Национальное бюро расследований Финляндии (KRP) в рамках уголовного дела отследило транзакции анонимной криптовалюты Monero (XMR), связанные с хакером Юлиусом Кивимяки. Об этом сообщают местные СМИ.

22 января прокуратура представила новые доказательства, свидетельствующие о незаконных переводах, ведущих к банковскому счету Кивимяки.

По версии следствия, в 2020 году подозреваемый якобы потребовал 40 BTC, чтобы не публиковать личные данные более 33 000 пациентов психотерапевтического центра Vastaamo. Хакер использовал псевдоним ransom_man.


Письмо с требованиями хакера

«Мы не просим многого, примерно €450 000, что составляет менее €10 на пациента и лишь небольшую часть от €20 млн годового дохода компании», — заявлял ransom_man.

23 октября 2020 года хакер загрузил в даркнет большой файл, содержащий все украденные записи Vastaamo. Однако следователи обнаружили, что данные также содержали полную копию личной папки «ransom_man» — главная ошибка, которая позволила связать улики с Кивимяки.

Спустя время слитые файлы удалили, сопровождая подписью «упс». Однако их успели скачать другие пользователи, и, как следствие, правоохранители. Неизвестные создали отдельный веб-сайт со всей базой пациентов клиники.

Некоторые жертвы все же заплатили выкуп, но после того, как в сети обнаружили слитые данные, шантаж перестал действовать.

KRP выяснило, что хакер отправлял активы на биржу, которая не соответствовала требованиям KYC. Затем он обменивал биткоины на Monero и переводил их на личный кошелек.

После ряда манипуляций XMR поступали на счет Binance, где снова обменивались на первую криптовалюту. Потом монеты снова перемещались на различные кошельки.

Правоохранители не раскрыли методологию анализа транзакций. В конечном итоге следствие вышло на Кивимаки через его Twitter-аккаунт. В октябре 2022 года ему предъявили уголовные обвинения.

Uskon että KRP toi tämän nyt julkisuuteen vaikuttaakseen juuri hovioikeudessa käsitellyn vanhan teinivuosien juttuni päätöksentekoon, molemmissa jutuissa on samat henkilöt tutkimassa.https://t.co/mlqGfJoda9
— Aleksanteri Kivimaki (@AlexKivimaeki) October 28, 2022

«Я считаю, что KRP довело это до сведения общественности, чтобы повлиять на принятие решения по моему старому делу еще с подросткового возраста, которое только что рассматривалось в апелляционном суде — оба расследуются одними и теми же людьми», — написал Кивимаки.

Как выяснилось, еще в 17-летнем возрасте подозреваемого осудили за кражу засекреченных данных Военно-воздушных сил США и взлом сайта American Airlines. Тогда его приговорили к одному году условно по обвинению в мошенничестве и краже конфиденциальных данных.

Сейчас прокуратура требует для Кивимаки реального тюремного срока.

Interesting day in Finland. #vastaamo pic.twitter.com/FupGQ9fWWE
— Joe Tidy (@joetidy) January 19, 2024

«Молодой человек совершал киберпреступления из [финского города] Эспоо с 15 лет, и эти действия пришлось тщательно расследовать с помощью международной юридической поддержки», — заявила сторона обвинения.

Власти также предъявили обвинения руководителю Vastaamo Вилле Тапио из-за нарушений требований к безопасности персональных данных. Он ушел с поста сразу после атаки.

При этом утечка могла произойти еще в 2018 году, а Тапио намеренно скрывал инцидент почти полтора года.

Бывший член комитета MAGIC Monero Fund Чилла Бример в комментарии Decrypt заявила, что следователям, скорее всего, просто удалось отследить некоторые транзакции из-за плохого соблюдения правил безопасности со стороны хакера, а не из-за взлома самой сети Monero.

«Если вы не будете осторожны со своей операционной безопасностью и продолжите переключаться между биткоином и XMR, существует риск слить некоторую информацию. Регулирующие органы могут использовать эту ошибку, чтобы заявить об отслеживании Monero», — объяснила она.

По словам Бример, Monero «надежно защищает детали транзакций», но не способна спасти пользователей от их собственных ошибок.

 

[INC.]

INC. сказал(а):
Молодой человек совершал киберпреступления из [финского города] Эспоо с 15 лет

10.07.2015

Несовершеннолетний финский хакер Джулиус Кивимаки получил два года тюремного заключения условно. Об этом сообщает The Daily Dot со ссылкой на финскую газету Kaleva.

17-летний Кивимаки, известный под псевдонимом zeekill, был признан виновным в совершении 50,7 тысячи кибер-преступлений для группы хакеров Lizard Squad, членом которой он был. Кроме того, судебное решение предписывает ему «бороться с кибер-преступностью». Как именно это должно происходить, не уточняется.

Спустя несколько часов после оглашения приговора в Twitter-аккаунте zeekill появилась запись, комментирующая мягкое наказание: «Люди, которые говорили, что мы сгнием в тюрьме, не хотят понять того, о чем мы говорили с самого начала: нас нельзя посадить».

Личность Кивимаки раскрыл пишущий на тему информационной безопасности американский журналист Брайан Кребс в конце 2014 года. Он предположил, что Кивимаки и есть тот член группы Lizard Squad, который дал интервью каналу Sky News. Вскоре после публикации материала Кребса финского хакера арестовали. Интервью вышло через несколько дней после того, как Lizard Squad остановил работу PlayStation Network и Xbox Live от Microsoft в канун католического Рождества.

В интервью хакер под псевдонимом Райан говорит о том, что атака на системы PlayStation и Xbox Live должна была продемонстрировать, насколько они не защищены от вторжений несмотря на то, сколько пользователи платят за подписку.

По данным финской газеты Kaleva, первой сообщившей о решении суда, Кивимаки совершал кибер-правонарушения с 15 лет.

• Source: dailydot.com/crime/lizard-squad-indicted-julius-kivimaki/?tw=dd
• Source: kaleva.fi/uutiset/kotimaa/17-vuotias-tuomittiin-murtautumisesta-yli-50-000-palvelimelle/701586/

 

[ALPAN]

INC. сказал(а):
признан виновным в совершении 50,7 тысячи кибер-преступлений

Они там не обсчитались случайно XD

 

[am0n]

ALPAN сказал(а):
Они там не обсчитались случайно XD

Очевидно Кребс помогал считать

 

[g-man-original]

Правоохранительным органам Финляндии удалось проследить транзакции Monero для идентификации хакера-вымогателя, несмотря на анонимные особенности криптовалюты. В октябре 2023 года началось судебное разбирательство по делу Юлиуса Алексантери Кивимяки, обвиняемого во взломе базы данных психиатрической клиники Vastaamo и вымогательстве.

После получения отказа платить выкуп в размере 40 биткоинов (BTC) хакер начал вымогать деньги у пациентов клиники, получая от них платежи в криптовалюте, которые затем обменивал на Monero. По данным финской полиции, около 22 000 жертв сообщили о попытках вымогательства по €500 с каждого.

Полиция отметила, что киберпреступник отправил средства на криптовалютную биржу без процедуры KYC (Know Your Customer), затем конвертировал их в Monero, после чего переводил обратно в биткоины через различные кошельки. Власти сохранили конфиденциальность расследования, но подтвердили успешное отслеживание транзакций в блокчейне.

Monero считается неотслеживаемой из-за технологий конфиденциальности, таких как RingCT, кольцевые подписи (ring signature) и скрытые адреса. Однако данный случай показывает, что форензика криптовалюты способна отслеживать денежные потоки, даже при использовании функций анонимности, отмечает Securitylab.

Прошлые исследования также показали, что транзакции Monero были прослеживаемы до 2017 года. Ситуация ставит под сомнение представления о полной конфиденциальности и может вызвать переосмысление роли анонимных криптовалют монет. Судебный процесс над Кивимяки подчеркивает возможности правоохранительных органов по деанонимизации незаконных действий в блокчейнах.

В конце октября 2022 года Кивимяки было предъявлено обвинение (по словам финских властей, он также были заочно арестован, так как находился за границей) в попытке вымогательства денег у центра психотерапии Vastaamo. 21 октября 2020 года клиника Vastaamo стала целью шантажа, когда злоумышленник потребовал заплатить 40 биткоинов в обмен на обещание не публиковать конфиденциальные записи терапевтических сессий.

За свою деятельность Юлиус Алексантери Кивимяки, который в 17 лет обвинялся более чем в 50 000 киберпреступлениях, в 2022 году попал в список самых разыскиваемых Интерполом преступников, в феврале 2023 года он был арестован во Франции.

Взято с http_://www.securitylab.ru/news/545607.php

А теперь собственно вопрос. Кто и что думает по этому поводу?

 

[Березовский]

Кто и что думает по этому поводу?

думаю что нужно юзать поиск по форуму, перед созданием темы

 

[g-man-original]

Сорян, Плохо искал и не увидел тему. Если можно то удалите)

 

[bratva]

Нами моделируются примеры, когда две вступившие в сговор стороны «E» пытаются заполучить информацию о пользователе «A», отправляя выходы пользователям и отслеживая график их транзакций. Такие сговорившиеся стороны могут провести мощный статистический анализ и получить важную информацию, особенно, если транзакции проводятся на регулярной основе, в то время как обычно они происходят случайно.

Основная идея состоит в том, что кто-то покупает книгу, а затем следует целая цепочка «хранителей» этих денег, которые в конечном счёте попадают в руки банка, следующего правилу «знай своего клиента» (KYC). Как только деньги попадут в банк, можно будет попытаться связать реальную личность с оригинальными покупками, а также обнаружить внутренние отрезки транзакций. К сожалению, проект Monero столкнулся с этой проблемой.

Как уже было сказано, есть некая Ив (Eve), отправляющая средства на какой-то определённый адрес Monero. Они получают информацию, когда она берёт средства и переводит их на биржу или же какому-то другому, принимающему участие лицу. Неважно, кто это будет, самое главное, что Ив взаимодействует с этой биржей или с этой стороной. Сторона A взаимодействует со стороной B. Опять же, это не указывает на то, кем именно являются эти стороны. Допустим, Ив отправила транзакцию на тот адрес, и они создали кольцевую подпись, как показано здесь. Вот они используют реальный выход, который связан с Ив, а затем создают транзакцию с двумя выходами. Один выход передаётся на тот адрес, назовём его выходом A, а другой адрес возвращается назад Ив. Таким образом, Ив не беспокоит это, она не отслеживает этот выход. Допустим, Ив возвращается, заглядывает в блокчейн и замечает, что уже есть три транзакции с этим выходом (A) в их кольцевых подписях. Они не связаны по времени или каким-либо другим образом, скажем так, есть просто три транзакции. Сторонний наблюдатель не может быть уверен в том, что выход A был потрачен в этих кольцевых подписях, он может быть ложным во всех трёх случаях, но они по-прежнему пытаются получить информацию относительно этой ситуации. Скажем, в случае с этой второй транзакцией, например, кто-то выложил этот выход на бирже. Этот жёлтый выход отправлен на биржу, а Элис была тем пользователем, который отправил средства на биржу. Таким образом, в этом примере EAE Ив (Eve) обозначается как первая E, Элис (Alice) стоит посередине, а замыкает всё биржа (Exchange). Здесь нужно отметить, что биржа может заподозрить связь с Ив, и что Элис является владельцем этого адреса Monero. Это эвристика, уровень анализа не высок, тем более, речь идёт всего об одном частном случае. Нам не ясно, что здесь происходит на самом деле. Возможно, Элис просто использовала выход в качестве ложного, и если это произошло лишь единожды, то весьма велика вероятность, что это произошло случайно, и что Элис не является тем лицом, которое контролирует адрес. , согласно которому Ив отправила множество транзакций на этот адрес, и у этого адреса есть несколько депозитов на бирже, и все связаны со счетом Элис. Таким образом, биржа и Ив получают большой объём информации, согласно которой можно прийти к выводу, что вероятность того, что лицо, которое переводит средства на биржу, возможно, недавно потратило выходы, закреплённые за этим адресом, довольно мала, то есть весьма мала вероятность того, что это произошло случайно. В результате мы можем предположить, что имеется достаточное количество свидетельств того, что Элис и является тем лицом, которому принадлежит этот адрес.
Нажмите, чтобы раскрыть...

Вместо Элис, отправляющей четыре разных транзакции на биржу, допустим, она будет менее осторожной и решит провести одну большую транзакцию, и у этой транзакции будет четыре кольца. Есть четыре входа и по одному кольцу для каждого. Видите, они обозначены как A, B, C и D, и эта транзакция проходит на биржу на счёт Элис. Теперь всё стало совсем ясно. Какова вероятность того, что транзакция будет содержать все эти четыре выхода, которые наблюдаются в каждом независимом кольце? Она очень и очень мала, особенно по мере увеличения количества отслеживаемых транзакций, в ключе одного пользователя — всё становится еще более маловероятным. Это, определённо, случай, когда Элис, если она взаимодействовала с биржей, должна озаботиться тем, что она раскрывает свою связь с этим объектом, этим адресом, поскольку очень вероятно, что это произошло не случайно. Вероятность ошибки очень низка. В обоих примерах мы имеем только один уровень разделения, когда только один человек отправляет средства посреднику, который потом переводит эти средства на биржу.

Если кратко, это применимо к любой форме применения такого статистического анализа, чем больше информационных точек есть у пользователя, чем больше деревьев может построить Ив, биржа или какой-то абстрактный наблюдатель, а потом проверить дерево на наличие выходов, тем лучше будет статистический анализ. Чем больше у вас информации о пользователе и чем меньше расхождений и неопределённости в такой информации, тем сильнее будет статистический анализ.

Существуют тысячи различных нюансов или других вещей, которые можно использовать, чтобы сделать статистический анализ более или менее точным на практике. Представьте, что было бы, появись у злоумышленников доступ к метаданным IP-адресов. Они смогли бы тогда сказать, с какого IP пришла та или иная транзакция, и это была бы уже гораздо более полная информация.

Нашел единственное описание атаки на русском Называется - «Отравленные» выходы (атака EAE) / Poisoned Outputs (EAE Attack).

Описание (из видео, что уже приводили выше):







Источник: https://docs.xmr.ru/breaking/breaking009/