韓國加密貨幣交易所(韓國多個加密貨幣交易所因魔窟加密型勒索軟件攻擊被盜數億美元)
1
標題:韓國多個加密貨幣交易所因魔窟加密型勒索軟件攻擊被盜數億美元
來源:bing
摘要:
韓國多個加密貨幣交易所因魔窟加密型勒索軟件攻擊被盜數億美元
2020年3月2日,哥倫比亞特區聯邦檢察官辦公室工作人員蒂莫西·J·希雅說,某國公民田寅寅、李家東涉嫌實施洗錢犯罪行為,涉及物品為加密貨幣,價值1億美元。涉案加密貨幣是東北亞某國的黑客于2018年從四個加密貨幣交易所盜竊的。這些加密貨幣交易所主要位于韓國。
該案分類為:網絡犯罪、金融詐騙,案件編號為1:20-cv-00606,公訴人員包括:聯邦檢察官蒂莫西·J·希雅、奇亞·法盧奇、克里斯多夫·B·布朗、伊麗莎白·思韋恩斯、杰西卡·麥克柯米克。前任檢察官李優立(音譯)參加了本案的翻譯工作。
指控的罪行有兩項:一是洗錢共同犯罪,二是未經批準非法從事匯款業務。
蒂莫西說,黑客行為及洗錢行為對全球金融安全帶來了威脅。這些行為是為了逃避聯合國安理會及美方實施的制裁。
美方國稅局刑事調查處處長唐·福特說,該處參與了調查工作。
聯邦調查局刑事調查處副處長卡爾文·席維斯說,該處將盡最大努力打擊金融犯罪行為。
席維斯說,2018年,東北亞某國黑客攻擊虛擬貨幣交易所盜竊了2.5億美元虛擬貨幣,涉案資金經過上百次自動資金轉賬進行了洗錢,目的是避免執法部門追蹤資金來源。黑客提供偽造的照片和身份證明文件,規避了交易所的交易人員身份披露規則。部分洗錢資金用于購買實施金融黑客行為的工具。
2017年12月至2019年4月,田寅寅、李家東共計實施了價值1億美元的洗錢行為,這些資金來自于上文所述的黑客。田寅寅、李家東為黑客提供賬戶,進行匯款,獲取服務費。兩名被告人在美方境內實施金融犯罪行為,并從未到金融犯罪執法網絡進行注冊。
起訴書稱,黑客于2019年11月從韓國虛擬貨幣交易所盜竊了價值4850萬美元的虛擬貨幣。證據顯示,實施犯罪行為所使用的部分設備位于東北亞某國境內。
田寅寅、李家東在犯罪行為中,與拉扎魯斯小組存在合作關系。該小組建立于2007年,曾經參與了實施了魔窟加密型勒索軟件攻擊事件,導致美方、加拿大、新西蘭的約30萬臺計算機出現故障。從孟加拉中央銀行敲詐了8000萬美元。成功導致英國公共健康系統宕機,影響了成千病人就醫,導致英國損失了1.12億美元。
魔窟加密型勒索軟件利用“永恒之藍”漏洞,通過互聯網對全球運行Microsoft Windows操作系統的計算機進行攻擊,該軟件是加密型勒索軟件,也是一種蠕蟲病毒。
該病毒利用AES-128和RSA算法惡意加密用戶文件以勒索比特幣,使用Tor軟件進行通訊,為WanaCrypt0r 1.0的變種。
田寅寅、李家東使用1448694美元購買了8823張Apple iTunes預付費禮品卡、虛擬貨幣種類為比特幣。Apple iTunes預付費禮品卡被用于掩蓋資金走向。
起訴書稱,2018年年中時,韓國虛擬貨幣交易所的一名工作人員與一位未知客戶進行電子郵件通信,在此過程,該工作人員點擊運行了電子郵件中的惡意軟件,該軟件在運行后對交易所的計算機系統實施了攻擊。軟件攻擊導致黑客得到了遠程控制權限,黑客利用遠程控制權限獲取了控制加密錢包的私人秘鑰。黑客利用私鑰從該交易所共計盜竊了10777.94個比特幣(價值2.5億美元)、218790個以太幣(價值9400萬美元),此外還有價值1.31億美元的其他種類虛擬貨幣。
在這些犯罪行為發生的同時,聯邦調查局刑事調查處對東北亞某國互聯網國際出口通信情況進行了監控發現,該互聯網國際出口出現了大量的信息檢索行為,其中涉及的信息包括:黑客、谷歌郵件黑客、釣魚找、如何將以太幣轉換為比特幣、韓國虛擬貨幣交易所情況及該交易所首席執行官的個人情況。
這些監控信息被作為證據使用。
執法機構聘請的第三方機構調查發現,田寅寅、李家東及其共犯實施的行為,雖然經過上百次轉賬隱藏,但這些行為還是被記錄于區塊鏈中。虛擬貨幣本來就是構筑于區塊鏈技術之上的。
黑客使用盜竊資金設立了Celas公司(網址:celasllc.com)并通過該公司提供電子郵件服務、虛擬貨幣交易服務,celasllc.com存在計算機病毒及Fallchill惡意軟件,提醒不要從該網站下載或運行任何軟件。這個網站及這款病毒軟件與2016年的另一起金融機構被攻擊事件有關。
黑客提供電子郵件服務的目的是,發送上千封電子郵件,引誘收件人下載運行惡意軟件,使用惡意軟件獲取用戶的個人資料。
為了顯得真實可靠,黑客還為Celas公司注冊并編輯了個各種社交媒體賬號。黑客將自己偽裝了畢業于鹿特丹大學,并自命名為瓦力·達威士,并稱瓦力·達威士是Celas公司的工作人員。
Marin Chain公司也是黑客們創建的公司,該公司負責為該國船舶行業提供加密貨幣服務。
起訴書稱,APT38小組成功盜竊了10億美元。這些資金大大部分用于導彈及核研發。
經過調查,執法部門發現,犯罪嫌疑人使用了虛擬個人網絡軟件,但真實IP地址位于東北亞地區。
田寅寅、李家東在2018年7月至2019年4月間,使用“snowsjohn” 、“khaleesi”這兩個假名,對價值100812842.54美元的虛擬貨幣進行了轉賬操作,或幫助兌換為法定貨幣,并獲取了服務費。
兩名被告人在創建113個虛擬貨幣賬號時,使用了真實世界的銀行賬號信息。執法部門通過調查真實銀行賬號,發現了兩名被告人的真實身份。113個虛擬貨幣賬號已經被檢察機關扣押。
第三方商業機構參與本案調查,通過分析犯罪行為涉及的區塊鏈,得到了虛擬貨幣地址用戶的真實身份。調查結果被檢察機關作為證據提交給了哥倫比亞特區聯邦法庭。
犯罪嫌疑人還使用了“剝鏈”技術,以混淆掩蓋資金通過區塊鏈流動的痕跡。
起訴書稱,拉扎魯斯小組、APT38小組的上級主管部門是該地區偵查總局,該局涉及的行為有35起,涉及總金額約為20億美元。從2019年開始,兩個小組的工作重點轉變為虛擬貨幣,對4個虛擬貨幣交易所進行了攻擊,其中三個位于韓國境內。
黑客盜竊的虛擬貨幣匯入了兩名被告人在另外兩個虛擬貨幣交易所(不是上述被攻擊的4個虛擬貨幣交易所)的賬號。其中的一個賬號為:LLzTJFu3UcwXRrwaq2gLKnJaWWt3oGHVMK
田寅寅、李家東將黑客匯入的虛擬貨幣兌換為法定貨幣并扣除服務費后,將法定貨幣匯給黑客。
田寅寅在第五個及第六個虛擬貨幣交易所的賬號與他在廣發銀行的賬號存在關聯。該廣發銀行賬號接收了來自于第五個虛擬貨幣交易所賬號的491筆匯款,共計人民幣233889970元。
李家東在第五個虛擬貨幣交易所的賬號與他在農業銀行、光大銀行、中信銀行、廣發銀行、民生銀行、華夏銀行、興業銀行、平安銀行、浦發銀行的賬號存在關聯。李家東的這些銀行賬號接收了來自于第五個虛擬貨幣交易所賬號的約2000筆匯款,共計人民幣229282960.97元。
田寅寅在第六個虛擬貨幣交易所的賬號向李家東在第五個虛擬貨幣交易所的賬號存在交易信息,總金額為2165.39個比特幣。
被查封扣押的虛擬貨幣賬號如下:
1 113vSKMWvuM8Weee2neMScXqdtXFLvy8z7
2 12DCmGuX87aCzxCDneyAxZdVWapuza9UyR
3 12JSAKyUMFMFp2ao5Rqt3s3X4xrQMXMzkr
4 12urwZAF7JvdhiQcYVbNG7VtKP3165pPnf
5 13Bcq6AcWusG3YKsYadBRNwnfezUrhRDER
6 13u7zCciSC7yGKfe8qqvQxK7BnGiwpdAbQ
7 14jP1TjTjrFBVFKUMcGaPjGRHaWAK6QVr7
8 14umE3q9knsWKZhjPgLQyv4rrCNjfXpAuF
9 16RWbMVHvERVUjrh28rRugmrgeDW1nweoo
10 17PSv7hd2cvSmgMTFw8CA3hjdYtGWuPh98
11 18LX9wjgjDbmRZXYhDLzZWCQ3pkUGB6gFf
12 19RfkmQPS3wBF5XhjcZwnbpMkd96GoituJ
13 19V5YCatY8sfdNuskawrGmbrZEohLkqV3d
14 1Ax8m2gy1Ta6vQTMStnWdCh71oMX7Z4nen
15 1Bht2x8Y8tJLpXxqK9LX4ehtLNk6kh3FLk
16 1C3K6yYxr1xomotxkEbMLAcm3jVKDSyFBd
17 1C4hPundX3pBSiNbhkLpuLp246Ggc8gmwx
18 1C5S12fBSmeVedaEAqQzFf29H9hUucojPA
19 1JCWsAC86pokjDrvQsRWoU2jm9qA9Wc4qh
20 1K2FgtrdGk767RoLf8dN8tr5XsVc5st6RZ
21 1L5mPKvfKzGY2J99HtpoefxqbpLDxyMAZq
22 1LcsVyCd6yEyibDQS2WcxzTBT1iJGAqLhS
23 1MVkopW6PPWZtSAtP4295B6KfH93YKToZU
24 1Nmd7KBc3P6RgYcZ5n8ftdbw7z4jEzUSVj
25 1NMpPj2zUSPodncvZGp7owP2nttAgyFuY3
26 17UwTn7cVxu5ivkBnkPo83Gjtowi8dx75Q
27 1A3uGGvHFBauSmjZvdZFF6gjc8VSjgF7UY
28 1Bm659Wu5xVppUNRh7jKNFMboTbDepgmbm
29 18atn6kuyKzhnsWK554Uj6j1PAv3sPmx2p
30 18YNDeHouezsyxcvntohev9kANrMXiGBxr
31 1CD483mLYrMJwZF5drZnoPKSBbFTMSVvGf
32 1P8y7bj28tsq76anvKLgmhbbnTc1ZGcUVa
33 1Pa32FPFQJ5VdozwmMGE1ANNWVGB3XQJie
34 15pPmUErhTb8CaWF5x8iQggX3zK1y99ZN1
35 1EFWRRLUM3jy2poCpY7ALq2m7PPakyvns1
36 37JN1EDYCGYVabtofvyKKLtpA6uU3UBMLo
37 39PAYsdx2zi7GUhV71cx1zpp1N8495t58f
38 3ACmZQBNZsDDDs3UGoC6DeKMKHTe9RW1yu
Case 1:20-cv-00606 Document 1 Filed 03/02/20 Page 36 of 3839 3AUHHS4NQjJRAMbjdkeTdLDv9ZFeA9n1o3
40 3GAwA7PvLiHKjcmN2nsrHEpN7Qt9jwMQ4h
41 3HoJydELfq2kyZk9M6yug6CLQmYCS7FrJj
42 3M23QTysjRsfmJz4aDdc9RpaXjVZmbWKEt
43 3Nis34RW9uGV5mbovNidNNsxRTWwwqb1PS
44 User ID 36020326 at VCE10
45 User ID 35802038 at VCE10
46 User ID 35977393 at VCE10
47 User ID 35978286 at VCE10
48 0x8bdd991a7b8e2fe1bfcb6b19ac3cf3e146cba415
49 User ID 38785599 at VCE10
50 1FKMe2Nyue2SDufB4RciiXsEEpAxtuBxD3
51 0xc4f9ee31626c8dee0ec02744732051e8b416e63e
52 User ID 9fdbd2ca-3994-411b-9ddb-f5318b63049d at VCE3
53 VCE12 internal transaction ID Fnc4bjm7ehwhdk6h4d
54 VCE12 internal transaction ID pd7e8fxxkuy2gfge7f
55 1EfMVkxQQuZfBdocpJu6RUsCJvenQWbQyE
56 Account 1000079600 at VCE6
57 134r8iHv69xdT6p5qVKTsHrcUEuBVZAYak
58 14kqryJUxM3a7aEi117KX9hoLUw592WsMR
59 15YK647qtoZQDzNrvY6HJL6QwXduLHfT28
60 1F2Gdug9ib9NQMhKMGGJczzMk5SuENoqrp
61 1PfwHNxUnkpfkK9MKjMqzR3Xq3KCtq9u17
62 Account 1000021204 at VCE6
63 0xA4b994F1bA984371ecCA18556Fe1531412D5C337
64 User k*****@****** at VCE1
65 17UVSMegvrzfobKC82dHXpZLtLcqzW9stF
66 19YVKCETP8yHX2m2VbEByVgWgJUAZd5tnS
67 User IDs 458281 & 4582819 at VCE5
68 1AXUTu9y3H8w4wYx4BjyFWgRhZKDhmcMrn
69 1Hn9ErTCPRP6j5UDBeuXPGuq5RtRjFJxJQ
70 User IDs 1473600 & 14736005 at VCE5
71 39eboeqYNFe2VoLC3mUGx4dh6GNhLB3D2q
72 39fhoB2DohisGBbHvvfmkdPdShT75CNHdX
73 3E6rY4dSCDW6y2bzJNwrjvTtdmMQjB6yeh
74 3EeR8FbcPbkcGj77D6ttneJxmsr3Nu7KGV
75 3HQRveQzPifZorZLDXHernc5zjoZax8U9f
76 3JXKQ81JzBqVbB8VHdV9Jtd7auWokkdPgY
77 3KHfXU24Bt3YD5Ef4J7uNp2buCuhrxfGen
78 3LbDu1rUXHNyiz4i8eb3KwkSSBMf7C583D
79 3MN8nYo1tt5hLxMwMbxDkXWd7Xu522hb9P
Case 1:20-cv-00606 Document 1 Filed 03/02/20 Page 37 of 3880 3N6WeZ6i34taX8Ditser6LKWBcXmt2XXL4
81 LLzTJFu3UcwXRrwaq2gLKnJaWWt3oGHVMK
82 0x01facd1477e6df9e27fe9f0a459aaa0769c9af82
83 User 881051 at VCE7
84 3F2sZ4jbhvDKQdGbHYPC6ZxFXEau2m5Lqj
85 0X7175D1FA4461676AB8831483770FF84483F26501
86 Account 14167009 at VCE 11
87 0X93D8EDBC42E547C571CE5AF95F70C291D706925C
88 Account 14166934 at VCE 11
89 0XB35DFF36FF3D686A63353FA01327F3FF4874CF21
90 Account 14166961 at VCE 11
91 BC1Q39HKR7TA25E65D7U0PM09L99JVFNY4LP3VAM4Q
92 0X81B34F7A426B31E77E875B8D00D830F8A5B044CB
93 User DavidniColinDC3 at VCE4
94 0XFC3D6AEE062C45B31E946BA49A7AA5ADDF1B53C6
95 User Ep4444 at VCE4
96 0XBD72F2CFB28ED38B7CEA94E26603983CE028C927
97 User Sma414 at VCE4
98 17KS1C6DxViF68YaSAhWUrnaCtxzbMq7CB
99 1MP62xKDtbL79wQ8f8LbAg9dPpUHFTEVbJ
100 1GsAS3z7eG4Vw2QbyVqnR7cRQmpeRsCpt1
101 1K7cMd9RgwhThXi6VDu3Roti2W4241MLfG
102 1FhsTJ7hQKvpFXPRFFjsFPHQT4pQMQpgw1
103 1FzKR8XDmdrTRYfMcZRf3NPvSgyrUoG8kq
104 1AsHQhhCYwgd71cxnHA9a8dWeEh22ivdqn
105 1DZdJNQsEutzud3YX28DFXfzKVyEfoN8t2
106 1K83LzD1QR2iUVtHckFMUzzdF3xUhtNdYb
107 1DX3zJV4djK9CgCP48Ym3LEryq5RVdhWH8
108 1EFNjtGnJ7WohXd8L17NGA4N5osKRj98QN
109 1EU4tNd1RbhDCfkiQrtj6nfzxeRxRA9rBm
110 17Wx3A1tmiTnxJ9FAq7em1n6SxtXSG4r5F
111 1QBbEUUhG7CRJzJrSEnUvwrycYZzKB8YEq
112 1K1fa3ydmpWMuX8gWHk5W6gnVFX7nGQJsu
113 0xC137c3135EB8E94aa303D52c607296Ba470E1a57
結尾部分:
摘要:
韓國多個加密貨幣交易所因魔窟加密型勒索軟件攻擊被盜數億美元
#
編譯:朱川