1111

Далеко не каждый взлом получается конвертировать в хорошую прибыль. Иногда я покидаю компьютер жертвы с пустыми руками, или моя схема проникновения обламывается на полпути. Обычно я не говорю о подобных атаках, но на этот раз начну я именно с "пустышки", ведь она привела меня к цели. 

Ищем жертву. Для поиска новых жертв, я продолжал сидеть на форумах поддержки кошелька bitcoin core. Крупного держателя крипты я обнаружил в теме по импорту бекапов старых кошельков. Судя по его постам в других ветках, я предполагал, что на счету у него должно быть нормально денег. 

В найденном мной посте он интересовался, как можно проверить, стоИт ли на бекапе пароль или нет. Судя по сообщению, он пытался импортировать старый кошелёк на котором, как он был уверен, не должно стоять пароля, но программа его не принимала. Из самого обсуждения уже можно было выудить много полезной информации. Например то, что там хранилась небольшая сумма по ценам на момент создания. Эта проблема никак не была связана с программной частью, поэтому рисковать и предлагать качать ему что-либо я не стал. Была задумка оформить это всё в виде чекера для проверки кошельков, но судя по всему, речь идёт о небольших суммах. Поэтому я решил просто предложить ему скинуть файл кошелька мне… Это не шутка. 

Конечно, надо было найти специальный подход. Я решил связаться с ним от лица человека с хорошей репутацией на форуме. Аккаунт для поиска жертв не годился, я специально не писал ничего с него, он был похож на ново созданный. Напиши я с него, он бы меня точно завернул. 

Получаем доверенный аккаунт. Изначально я хотел взломать кого-то с форума. Но удалось заполучить учётку мирным путём. Я нашёл человека, который продал мне свой аккаунт с большим количеством сообщений и регистрацией в 2014 году. 

Он недавно ушёл из крипто сообщества (о чём было написано в статусе) и его месяц не было в онлайне. Для связи с ним у меня был только email. Для покупки я придумал небольшую легенду. На форуме есть ветки, для просмотра которых надо набрать установленное количество сообщений. А я только вливаюсь в тему, и мне этот контент не доступен, но там есть интересующая меня сейчас информация. Поэтому и хочу купить аккаунт, чтобы не тратить время на набивание постов. Написав ему на емеил я предложил 70 долларов за его умирающий аккаунт. 

Заготовленную причину покупки не стал вываливать. Это важно для установления контакта. Если самому начать заваливать доводами, то это будет выглядеть подозрительно. Было важно, чтобы он сам у меня спросил цель покупки. 

К моему удивлению он продал мне акк без особых вопросов. Единственным условием было лишь то, что он удалит все личные сообщения до передачи. Может он сам подумал, что мне нужен доступ к закрытым тредам. Вряд ли он даже отдаленно догадывался, как на самом деле я собираюсь использовать аккаунт. 

Получив доступы, я выждал время, на случай если старый владелец из интереса заглянет на страницу. По сути, мне нужно было только удалить статус, ничего необычного. 

Работаем с жертвой. Утром следующего дня очистил страницу профиля и связался с жертвой. Начала с расспросов о том, на какой версии программы создавался кошелёк, какие типы адресов были в нём, когда последний раз он его использовал. 

Для взлома эта информация мне не понадобилась бы, разговаривала об этом только, чтоб создать диалог. О сумме на счету не спросил, по разговору было понятно, что он не из тех, кто сам сыпет информацией, стоит только наводящий вопрос задать. 

Вывести его на нормальную беседу не смог, но отступать не хотелось. И я просто предложил ему скинуть кошелёк для проверки у себя. Я сказал, что у меня есть опытный стенд с разными версиями программы, и я смогу подобрать именно ту, на которой этот кошелёк создавался. 

Расчёт был на то, что он доверится человеку с репутацией на форуме. К тому же он сам говорил, что там хранится небольшая сумма. Дело в том, что кошелёк предположительно создавался во времена, когда биткоин стоил в десятки раз дешевле. А какую цифру мы сейчас там увидим было под вопросом. 

Диагноз 

Он мне сбросил (как он сказал) wallet.dat, который у него не получалось импортировать. Так называется база bitcoin core, бекапится действительно этот файл. 

wallet.dat.zip, новый вид бекапа, блин. Для тех, кто не понял в чём дело, так этот файл выглядит со стандартными настройками винды, если попытаться открыть этот файл архиватором

Насколько я понимаю, он изначально попытался открыть этот бекап двойным щелчком. А когда система попросила выбрать приложение для просмотра, он выбрал bitcoin core, после чего расширение пропало. 

И все следующие попытки восстановить доступ он делал уже с этим "wallet.dat". Также всплывает ещё один важный момент: в системе не стоит архиватор. Не знаю, либо он переустановил систему (что объясняет причину, по которой он полез восстанавливаться с бекапов), либо он работает с отдельного ноута для крипты, либо просто использует виртуалки. 

Перед тем как копать глубже стоило заглянуть в сам кошелёк. Ведь если там лежит приличная сумма и пароля на импорт нет, то я просто сливаю все средства и концы в воду. 

И правда, пароля не было. Данные подцепились сразу после перезапуска кошелька. Кстати, пароль, это не единственное, чего там не было. Также там не было денег((. На нём лежала сумма которая еле-еле переваливала за доллар. 

Он правильно ответил в треде, что средств было немного. Я бы даже уточнил, что там не было нихуя. Так зачем он вообще этот кошелёк восстанавливать хотел? 

Это всё было похоже на обычную проваливающуюся атаку. Я подумал, что первоначальные оценки его состояния были неверными и хотел уже отключаться. Но перед этим решил проверить историю кошелька.  

Как оказалось, раньше он достаточно часто использовался. С него было много маленьких переводов в разные места. Моё внимание привлёк последний перевод. Это был большой вывод на 3 биткоина, который выметал весь остаток со счёта. Это была моя последняя надежда. У него есть (по крайней мере было) много крипты, я это вижу, и этот перевод может привести меня к ней. 

С этого момента атака сильно усложнялась, я и сам начал сомневаться в успехе, поэтому действовать с максимальной осторожностью у меня не было никакого желания. Хотелось просто закинуть ему стиллер, и если ничего не обнаружится, то просто забить и сосредоточится на чём-то другом. 

У меня уже была заготовка лендинга под winrar, в одно время она помогла мне сорвать несколько тысяч долларов. Кстати, я ещё никогда не рассказывал об этом. 

Где-то полтора-два года назад я поднял "официальную" страницу продаж архиватора и распространял свою версию winrar. В моей версии не было вирусов, но через 40 дней триала все функции блокировались, и шло перенаправление на мою страницу продаж. 

Эта схема была сделана по фану. Просто в какой-то момент мне пришло в голову, какого чёрта winrar можно использовать бесплатно после триала, его же так вообще покупать никто не будет. Как оказалось, вложив деньги в лендинг и рекламу моей версии, продажи пошли нормально). 

Но вернёмся к нашему случаю. Я залил вирусную версию winrar на лендинг, и отписал тому типу, что у него кошелёк может быть упакован, и ему надо скачать winrar (ссылку на которую я любезно оставила), и распаковать файл. 

Я не стал сразу вываливать всю информацию, и говорить, что всё работает. 

Это, пожалуй, основное правило при атаках - всегда оставляй себе место для манёвра. Чтобы, если что-то пойдёт не так, можно было подкорректировать схему. 

Поэтому я сказал ему, что на то, что это архив указывает опредилитель типов файлов в linux. И я сейчас работаю с него, поэтому тестовый стенд не могу запустить, и ему надо проверить архиватором файл пока я перезагружу систему и проверю всё нормально. 

Его реакция: "у меня уже стоит winrar, он его не открывает". Полный бред! Может он мне файл в архиве скинул, а сам на .dat пробовал? - но тогда бы у него импортировалось всё. Спрашиваю подробнее - он отвечает, что в пуске находит winrar, у файла wallet.dat иконки якобы нет. То, что этот файл - архив, он пропускал мимо ушей, и настаивал, чтобы я его проверил на программах. 

Единственная версия, которая у меня осталась - у него не стоит ассоциации .zip с приложением, только .rar. Попытки убедить переустановить архиватор результата не давали. Причём он отвечал мне так будто у него 2 диплома по этому архиватору защищено. Будто он уверен в том, что winrar у него стоит, больше, чем он уверен в том, что земля круглая, а я тут пытаюсь заставить его уверовать в плоскую землю. 

Ситуация слишком интересная, чтобы просто на неё забить. Больше похоже на то, что у него глубокая стадия маразма вперемешку с тяжелыми галлюцинациями. Это мой клиент, такого я просто так не оставлю! 

Вторая попытка взлома 

Уже была ночь, но я принялся за разработку нового плана проникновения. Пусть даже в финале меня ждёт пустой кошелёк или ещё 1 доллар, это уже вопрос чести. 

Так, что мы знаем о нём? Возможно, у него есть много крипты, с компьютерами он не очень хорошо знаком, но про безопасность он наслышан. Всякие дурацкие схемы, типа "выполни эту команду и всё будет отлично" с ним не прокатят. 

И тут я вспомнил свою старую задумку. Она похожа на схему с winrar (многие ведь не знают, что у него бесплатный вечный триал). Сейчас многие привыкли, что есть куча методов восстановления паролей. В bitcoin core это невозможно, но ведь не все это знают. 

Я понял, что для того человека табу на скачивание и запуск незнакомых файлов. Это большой красный флаг для него. А что если всё будет в вебе, и ничего не нужно будет качать? - тогда подступиться будет проще. 

Решено было сделать страницу восстановления кошелька. 

Легенда - есть старый и новый тип кошельков. И чтобы старые кошельки работали, bitcoin core клиент должен был быть хоть раз запущен в период неделей раньше SegWit (хард форк биткоина). 

Поскольку хард форк битка уже случился, всё - фиаско. Грузить старые версии, отматывать время на компе - всё это бесполезно. Остаётся только импортировать историю и средства через онлайн страницу segwit, которая хранит состояние блокчейна до разделения. 

Объяснение просто идеальное, осталось только создать саму страницу и подвести к восстановлению. Дизайн страницы восстановления я отдал знакомому верстальщику фейков. У товарища с уверенным знанием английского языка попросил расписать мою легенду на хорошем английском. 

Я чувствовал, что он изучит этот сайт вдоль и поперёк, так что была добавлена отдельная страница, которая расписывала процесс переноса транзакций и истории, faq и т.п., что можно встретить на подобных сайтах. 

Содержание основной страницы было достаточно простое. Так же были дополнительные страницы с описанием. Но внутри это достаточно сложная система, которая проверяет даже отправляемые кошельки в автоматическом режиме. 

Зачем проверяются кошельки? А это и есть центральное место схемы. В качестве кошелька приемника должен выступать кошелёк, который был создан в определённый промежуток времени после хард форка. 

На самом деле условия достаточно расплывчатые, я просто проверяла, сколько средств на целевом кошельке и подходит ли пароль для расшифровки. Я уверена, что у него где-то лежит кошелёк с большой суммой, надо было подвести его к тому, чтобы он импортировал именно его. 

Был поставлен порог в 1.2 биткоина. Если на счету меньше, то выдаём ошибку, что целевой кошелёк не подходит. Если больше - средства автоматически сливаются мне. 

Добиваем 

После запуска фейка я ещё раз связался с ним с новой теорией, почему его кошелёк не импортируется. На этот раз я сказал, что прогнал его кошелёк по всем версиям программы, но он везде не импортировался. Такой ход событий его более чем устроил. 

Он сразу же стал писать мне что-то вроде "ну я же говорил тебе, он не работает". Затем я написал, что у него, по всей видимости, старый тип кошелька. Потому что ранние версии bitcoin core не просто бракуют файл, а выдают ошибку сети, расписала легенду про segwit и направила на страницу восстановления. 

И план сработал. Проверка балансов помогла. Он, видя что новые кошельки система не принимает, загрузил свой основной кошель. Я потом проверил, это на него переводилось средства со старого кошелька. Вот так, тот доллар привёл меня к практически четырём с половиной биткам.