版权归原作者所有,如有侵权,请联系我们

韩国多个加密货币交易所因魔窟加密型勒索软件攻击被盗数亿美元

科学摘要
这是一个小小的窗口,会为您提供新鲜的科学知识和科学事件摘要。
收藏

1

标题:韩国多个加密货币交易所因魔窟加密型勒索软件攻击被盗数亿美元

来源:bing

摘要:

韩国多个加密货币交易所因魔窟加密型勒索软件攻击被盗数亿美元

2020年3月2日,哥伦比亚特区联邦检察官办公室工作人员蒂莫西·J·希雅说,某国公民田寅寅、李家东涉嫌实施洗钱犯罪行为,涉及物品为加密货币,价值1亿美元。涉案加密货币是东北亚某国的黑客于2018年从四个加密货币交易所盗窃的。这些加密货币交易所主要位于韩国。

该案分类为:网络犯罪、金融诈骗,案件编号为1:20-cv-00606,公诉人员包括:联邦检察官蒂莫西·J·希雅、奇亚·法卢奇、克里斯多夫·B·布朗、伊丽莎白·思韦恩斯、杰西卡·麦克柯米克。前任检察官李优立(音译)参加了本案的翻译工作。

指控的罪行有两项:一是洗钱共同犯罪,二是未经批准非法从事汇款业务。

蒂莫西说,黑客行为及洗钱行为对全球金融安全带来了威胁。这些行为是为了逃避联合国安理会及美方实施的制裁。

美方国税局刑事调查处处长唐·福特说,该处参与了调查工作。

联邦调查局刑事调查处副处长卡尔文·席维斯说,该处将尽最大努力打击金融犯罪行为。

席维斯说,2018年,东北亚某国黑客攻击虚拟货币交易所盗窃了2.5亿美元虚拟货币,涉案资金经过上百次自动资金转账进行了洗钱,目的是避免执法部门追踪资金来源。黑客提供伪造的照片和身份证明文件,规避了交易所的交易人员身份披露规则。部分洗钱资金用于购买实施金融黑客行为的工具。

2017年12月至2019年4月,田寅寅、李家东共计实施了价值1亿美元的洗钱行为,这些资金来自于上文所述的黑客。田寅寅、李家东为黑客提供账户,进行汇款,获取服务费。两名被告人在美方境内实施金融犯罪行为,并从未到金融犯罪执法网络进行注册。

起诉书称,黑客于2019年11月从韩国虚拟货币交易所盗窃了价值4850万美元的虚拟货币。证据显示,实施犯罪行为所使用的部分设备位于东北亚某国境内。

田寅寅、李家东在犯罪行为中,与拉扎鲁斯小组存在合作关系。该小组建立于2007年,曾经参与了实施了魔窟加密型勒索软件攻击事件,导致美方、加拿大、新西兰的约30万台计算机出现故障。从孟加拉中央银行敲诈了8000万美元。成功导致英国公共健康系统宕机,影响了成千病人就医,导致英国损失了1.12亿美元。

魔窟加密型勒索软件利用“永恒之蓝”漏洞,通过互联网对全球运行Microsoft Windows操作系统的计算机进行攻击,该软件是加密型勒索软件,也是一种蠕虫病毒。

该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币,使用Tor软件进行通讯,为WanaCrypt0r 1.0的变种。

田寅寅、李家东使用1448694美元购买了8823张Apple iTunes预付费礼品卡、虚拟货币种类为比特币。Apple iTunes预付费礼品卡被用于掩盖资金走向。

起诉书称,2018年年中时,韩国虚拟货币交易所的一名工作人员与一位未知客户进行电子邮件通信,在此过程,该工作人员点击运行了电子邮件中的恶意软件,该软件在运行后对交易所的计算机系统实施了攻击。软件攻击导致黑客得到了远程控制权限,黑客利用远程控制权限获取了控制加密钱包的私人秘钥。黑客利用私钥从该交易所共计盗窃了10777.94个比特币(价值2.5亿美元)、218790个以太币(价值9400万美元),此外还有价值1.31亿美元的其他种类虚拟货币。

在这些犯罪行为发生的同时,联邦调查局刑事调查处对东北亚某国互联网国际出口通信情况进行了监控发现,该互联网国际出口出现了大量的信息检索行为,其中涉及的信息包括:黑客、谷歌邮件黑客、钓鱼找、如何将以太币转换为比特币、韩国虚拟货币交易所情况及该交易所首席执行官的个人情况。

这些监控信息被作为证据使用。

执法机构聘请的第三方机构调查发现,田寅寅、李家东及其共犯实施的行为,虽然经过上百次转账隐藏,但这些行为还是被记录于区块链中。虚拟货币本来就是构筑于区块链技术之上的。

黑客使用盗窃资金设立了Celas公司(网址:celasllc.com)并通过该公司提供电子邮件服务、虚拟货币交易服务,celasllc.com存在计算机病毒及Fallchill恶意软件,提醒不要从该网站下载或运行任何软件。这个网站及这款病毒软件与2016年的另一起金融机构被攻击事件有关。

黑客提供电子邮件服务的目的是,发送上千封电子邮件,引诱收件人下载运行恶意软件,使用恶意软件获取用户的个人资料。

为了显得真实可靠,黑客还为Celas公司注册并编辑了个各种社交媒体账号。黑客将自己伪装了毕业于鹿特丹大学,并自命名为瓦力·达威士,并称瓦力·达威士是Celas公司的工作人员。

Marin Chain公司也是黑客们创建的公司,该公司负责为该国船舶行业提供加密货币服务。

起诉书称,APT38小组成功盗窃了10亿美元。这些资金大大部分用于导弹及核研发。

经过调查,执法部门发现,犯罪嫌疑人使用了虚拟个人网络软件,但真实IP地址位于东北亚地区。

田寅寅、李家东在2018年7月至2019年4月间,使用“snowsjohn” 、“khaleesi”这两个假名,对价值100812842.54美元的虚拟货币进行了转账操作,或帮助兑换为法定货币,并获取了服务费。

两名被告人在创建113个虚拟货币账号时,使用了真实世界的银行账号信息。执法部门通过调查真实银行账号,发现了两名被告人的真实身份。113个虚拟货币账号已经被检察机关扣押。

第三方商业机构参与本案调查,通过分析犯罪行为涉及的区块链,得到了虚拟货币地址用户的真实身份。调查结果被检察机关作为证据提交给了哥伦比亚特区联邦法庭。

犯罪嫌疑人还使用了“剥链”技术,以混淆掩盖资金通过区块链流动的痕迹。

起诉书称,拉扎鲁斯小组、APT38小组的上级主管部门是该地区侦查总局,该局涉及的行为有35起,涉及总金额约为20亿美元。从2019年开始,两个小组的工作重点转变为虚拟货币,对4个虚拟货币交易所进行了攻击,其中三个位于韩国境内。

黑客盗窃的虚拟货币汇入了两名被告人在另外两个虚拟货币交易所(不是上述被攻击的4个虚拟货币交易所)的账号。其中的一个账号为:LLzTJFu3UcwXRrwaq2gLKnJaWWt3oGHVMK

田寅寅、李家东将黑客汇入的虚拟货币兑换为法定货币并扣除服务费后,将法定货币汇给黑客。

田寅寅在第五个及第六个虚拟货币交易所的账号与他在广发银行的账号存在关联。该广发银行账号接收了来自于第五个虚拟货币交易所账号的491笔汇款,共计人民币233889970元。

李家东在第五个虚拟货币交易所的账号与他在农业银行、光大银行、中信银行、广发银行、民生银行、华夏银行、兴业银行、平安银行、浦发银行的账号存在关联。李家东的这些银行账号接收了来自于第五个虚拟货币交易所账号的约2000笔汇款,共计人民币229282960.97元。

田寅寅在第六个虚拟货币交易所的账号向李家东在第五个虚拟货币交易所的账号存在交易信息,总金额为2165.39个比特币。

被查封扣押的虚拟货币账号如下:

1 113vSKMWvuM8Weee2neMScXqdtXFLvy8z7

2 12DCmGuX87aCzxCDneyAxZdVWapuza9UyR

3 12JSAKyUMFMFp2ao5Rqt3s3X4xrQMXMzkr

4 12urwZAF7JvdhiQcYVbNG7VtKP3165pPnf

5 13Bcq6AcWusG3YKsYadBRNwnfezUrhRDER

6 13u7zCciSC7yGKfe8qqvQxK7BnGiwpdAbQ

7 14jP1TjTjrFBVFKUMcGaPjGRHaWAK6QVr7

8 14umE3q9knsWKZhjPgLQyv4rrCNjfXpAuF

9 16RWbMVHvERVUjrh28rRugmrgeDW1nweoo

10 17PSv7hd2cvSmgMTFw8CA3hjdYtGWuPh98

11 18LX9wjgjDbmRZXYhDLzZWCQ3pkUGB6gFf

12 19RfkmQPS3wBF5XhjcZwnbpMkd96GoituJ

13 19V5YCatY8sfdNuskawrGmbrZEohLkqV3d

14 1Ax8m2gy1Ta6vQTMStnWdCh71oMX7Z4nen

15 1Bht2x8Y8tJLpXxqK9LX4ehtLNk6kh3FLk

16 1C3K6yYxr1xomotxkEbMLAcm3jVKDSyFBd

17 1C4hPundX3pBSiNbhkLpuLp246Ggc8gmwx

18 1C5S12fBSmeVedaEAqQzFf29H9hUucojPA

19 1JCWsAC86pokjDrvQsRWoU2jm9qA9Wc4qh

20 1K2FgtrdGk767RoLf8dN8tr5XsVc5st6RZ

21 1L5mPKvfKzGY2J99HtpoefxqbpLDxyMAZq

22 1LcsVyCd6yEyibDQS2WcxzTBT1iJGAqLhS

23 1MVkopW6PPWZtSAtP4295B6KfH93YKToZU

24 1Nmd7KBc3P6RgYcZ5n8ftdbw7z4jEzUSVj

25 1NMpPj2zUSPodncvZGp7owP2nttAgyFuY3

26 17UwTn7cVxu5ivkBnkPo83Gjtowi8dx75Q

27 1A3uGGvHFBauSmjZvdZFF6gjc8VSjgF7UY

28 1Bm659Wu5xVppUNRh7jKNFMboTbDepgmbm

29 18atn6kuyKzhnsWK554Uj6j1PAv3sPmx2p

30 18YNDeHouezsyxcvntohev9kANrMXiGBxr

31 1CD483mLYrMJwZF5drZnoPKSBbFTMSVvGf

32 1P8y7bj28tsq76anvKLgmhbbnTc1ZGcUVa

33 1Pa32FPFQJ5VdozwmMGE1ANNWVGB3XQJie

34 15pPmUErhTb8CaWF5x8iQggX3zK1y99ZN1

35 1EFWRRLUM3jy2poCpY7ALq2m7PPakyvns1

36 37JN1EDYCGYVabtofvyKKLtpA6uU3UBMLo

37 39PAYsdx2zi7GUhV71cx1zpp1N8495t58f

38 3ACmZQBNZsDDDs3UGoC6DeKMKHTe9RW1yu

Case 1:20-cv-00606 Document 1 Filed 03/02/20 Page 36 of 3839 3AUHHS4NQjJRAMbjdkeTdLDv9ZFeA9n1o3

40 3GAwA7PvLiHKjcmN2nsrHEpN7Qt9jwMQ4h

41 3HoJydELfq2kyZk9M6yug6CLQmYCS7FrJj

42 3M23QTysjRsfmJz4aDdc9RpaXjVZmbWKEt

43 3Nis34RW9uGV5mbovNidNNsxRTWwwqb1PS

44 User ID 36020326 at VCE10

45 User ID 35802038 at VCE10

46 User ID 35977393 at VCE10

47 User ID 35978286 at VCE10

48 0x8bdd991a7b8e2fe1bfcb6b19ac3cf3e146cba415

49 User ID 38785599 at VCE10

50 1FKMe2Nyue2SDufB4RciiXsEEpAxtuBxD3

51 0xc4f9ee31626c8dee0ec02744732051e8b416e63e

52 User ID 9fdbd2ca-3994-411b-9ddb-f5318b63049d at VCE3

53 VCE12 internal transaction ID Fnc4bjm7ehwhdk6h4d

54 VCE12 internal transaction ID pd7e8fxxkuy2gfge7f

55 1EfMVkxQQuZfBdocpJu6RUsCJvenQWbQyE

56 Account 1000079600 at VCE6

57 134r8iHv69xdT6p5qVKTsHrcUEuBVZAYak

58 14kqryJUxM3a7aEi117KX9hoLUw592WsMR

59 15YK647qtoZQDzNrvY6HJL6QwXduLHfT28

60 1F2Gdug9ib9NQMhKMGGJczzMk5SuENoqrp

61 1PfwHNxUnkpfkK9MKjMqzR3Xq3KCtq9u17

62 Account 1000021204 at VCE6

63 0xA4b994F1bA984371ecCA18556Fe1531412D5C337

64 User k*****@****** at VCE1

65 17UVSMegvrzfobKC82dHXpZLtLcqzW9stF

66 19YVKCETP8yHX2m2VbEByVgWgJUAZd5tnS

67 User IDs 458281 & 4582819 at VCE5

68 1AXUTu9y3H8w4wYx4BjyFWgRhZKDhmcMrn

69 1Hn9ErTCPRP6j5UDBeuXPGuq5RtRjFJxJQ

70 User IDs 1473600 & 14736005 at VCE5

71 39eboeqYNFe2VoLC3mUGx4dh6GNhLB3D2q

72 39fhoB2DohisGBbHvvfmkdPdShT75CNHdX

73 3E6rY4dSCDW6y2bzJNwrjvTtdmMQjB6yeh

74 3EeR8FbcPbkcGj77D6ttneJxmsr3Nu7KGV

75 3HQRveQzPifZorZLDXHernc5zjoZax8U9f

76 3JXKQ81JzBqVbB8VHdV9Jtd7auWokkdPgY

77 3KHfXU24Bt3YD5Ef4J7uNp2buCuhrxfGen

78 3LbDu1rUXHNyiz4i8eb3KwkSSBMf7C583D

79 3MN8nYo1tt5hLxMwMbxDkXWd7Xu522hb9P

Case 1:20-cv-00606 Document 1 Filed 03/02/20 Page 37 of 3880 3N6WeZ6i34taX8Ditser6LKWBcXmt2XXL4

81 LLzTJFu3UcwXRrwaq2gLKnJaWWt3oGHVMK

82 0x01facd1477e6df9e27fe9f0a459aaa0769c9af82

83 User 881051 at VCE7

84 3F2sZ4jbhvDKQdGbHYPC6ZxFXEau2m5Lqj

85 0X7175D1FA4461676AB8831483770FF84483F26501

86 Account 14167009 at VCE 11

87 0X93D8EDBC42E547C571CE5AF95F70C291D706925C

88 Account 14166934 at VCE 11

89 0XB35DFF36FF3D686A63353FA01327F3FF4874CF21

90 Account 14166961 at VCE 11

91 BC1Q39HKR7TA25E65D7U0PM09L99JVFNY4LP3VAM4Q

92 0X81B34F7A426B31E77E875B8D00D830F8A5B044CB

93 User DavidniColinDC3 at VCE4

94 0XFC3D6AEE062C45B31E946BA49A7AA5ADDF1B53C6

95 User Ep4444 at VCE4

96 0XBD72F2CFB28ED38B7CEA94E26603983CE028C927

97 User Sma414 at VCE4

98 17KS1C6DxViF68YaSAhWUrnaCtxzbMq7CB

99 1MP62xKDtbL79wQ8f8LbAg9dPpUHFTEVbJ

100 1GsAS3z7eG4Vw2QbyVqnR7cRQmpeRsCpt1

101 1K7cMd9RgwhThXi6VDu3Roti2W4241MLfG

102 1FhsTJ7hQKvpFXPRFFjsFPHQT4pQMQpgw1

103 1FzKR8XDmdrTRYfMcZRf3NPvSgyrUoG8kq

104 1AsHQhhCYwgd71cxnHA9a8dWeEh22ivdqn

105 1DZdJNQsEutzud3YX28DFXfzKVyEfoN8t2

106 1K83LzD1QR2iUVtHckFMUzzdF3xUhtNdYb

107 1DX3zJV4djK9CgCP48Ym3LEryq5RVdhWH8

108 1EFNjtGnJ7WohXd8L17NGA4N5osKRj98QN

109 1EU4tNd1RbhDCfkiQrtj6nfzxeRxRA9rBm

110 17Wx3A1tmiTnxJ9FAq7em1n6SxtXSG4r5F

111 1QBbEUUhG7CRJzJrSEnUvwrycYZzKB8YEq

112 1K1fa3ydmpWMuX8gWHk5W6gnVFX7nGQJsu

113 0xC137c3135EB8E94aa303D52c607296Ba470E1a57

结尾部分:

摘要:

韩国多个加密货币交易所因魔窟加密型勒索软件攻击被盗数亿美元

#

编译:朱川