6月7日，在司法部的新聞發(fā)布會(huì)上，美國(guó)宣布其沒(méi)收了DarkSide勒索團(tuán)伙所使用的一個(gè)加密貨幣錢包，其中包含了來(lái)自 Colonial Pipeline的贖金。如何截獲并且成功打開(kāi)加密貨幣錢包?這一問(wèn)題成為很多人的疑問(wèn)，甚至出于對(duì)美國(guó)政府”控制“加密貨幣的懷疑而導(dǎo)致比特幣價(jià)格大跌。

目前存在有幾種可能：

(1)數(shù)字貨幣存在安全漏洞。不過(guò)這一可能性較小，因?yàn)橐矝](méi)有任何的跡象表明他們能夠破壞橢圓曲線數(shù)字簽名算法(ECDSA)。

(2)FBI執(zhí)法部門入侵了犯罪組織的IT基礎(chǔ)系統(tǒng)，進(jìn)入到他們存儲(chǔ)私鑰的服務(wù)器里，從而獲取了一個(gè)屬于DarkSide比特幣錢包的私鑰的控制權(quán)。也就是用私鑰打開(kāi)了錢包。

接著，我們來(lái)回顧一下簡(jiǎn)單的時(shí)間線：

• 5月7日，美國(guó)最大燃油管道公司Colonial Pipeline支付近500萬(wàn)美元贖金。
• 5 月14 日，勒索軟件團(tuán)伙曾聲稱無(wú)法訪問(wèn)他們的一臺(tái)支付服務(wù)器。
• 6月7日，美國(guó)宣布追回大筆贖金。

“勒索軟件團(tuán)伙曾聲稱無(wú)法訪問(wèn)他們的一臺(tái)支付服務(wù)器”這一消息似乎為第二個(gè)可能性提供了一些證明。再結(jié)合美國(guó)司法部堅(jiān)持其具備追蹤資金的能力的言論，而加密專家也表示比特幣錢包被FBI打開(kāi)更多是因?yàn)樗借€而非貨幣本身存在漏洞。

[[405152]]

截獲比特幣，很可能是FBI通過(guò)比特幣交易記錄一直追溯到一個(gè)數(shù)字錢包，從而鎖定資金的存儲(chǔ)地進(jìn)行資金封鎖，然后他們通過(guò)對(duì)DarkSide勒索團(tuán)伙的情報(bào)掌握，實(shí)現(xiàn)了對(duì)勒索軟件基礎(chǔ)設(shè)施的入侵，獲取了私鑰(這一點(diǎn)從DarkSide勒索團(tuán)伙此前表示“我們已經(jīng)無(wú)法訪問(wèn)我們的基礎(chǔ)設(shè)施，包括博客、支付服務(wù)器”中可以窺見(jiàn)，即美國(guó)執(zhí)法機(jī)構(gòu)是完全有可能獲取其基礎(chǔ)設(shè)施的訪問(wèn)權(quán)限的)。

雖然Colonial 贖金追回事件中如何入侵獲取私鑰的具體手法不明，但I(xiàn)ronside行動(dòng)中的策略已被公開(kāi)。

Ironside是由FBI在2018年開(kāi)展的一項(xiàng)全球性詐騙打擊活動(dòng)。FBI及其國(guó)際合作伙伴通過(guò)訪問(wèn)和使用犯罪分子的加密通信，從而順藤摸瓜順利收網(wǎng)，逮捕了包括澳大利亞頭號(hào)通緝犯，土耳其跨國(guó)販毒集團(tuán)老大Hakan Ayik在內(nèi)的超過(guò)100個(gè)有組織犯罪集團(tuán)，200多名犯罪嫌疑人。

繼截獲比特幣后，F(xiàn)BI還能訪問(wèn)加密通信?通過(guò)公開(kāi)的執(zhí)法令，可以發(fā)現(xiàn)此次行動(dòng)的關(guān)鍵在于“監(jiān)聽(tīng)”。

An0m：為犯罪分子定制的加密聊天蜜罐平臺(tái)

2018年，F(xiàn)BI查獲了Phantom Secure：一家向販毒者、雇傭殺人犯和其他有組織犯罪頭目出售加密手機(jī)的聊天服務(wù)公司。這家總部位于加拿大的企業(yè)購(gòu)買智能手機(jī)后，剝離了設(shè)備的GPS、通話、短信和互聯(lián)網(wǎng)接入功能，然后安裝一個(gè)加密的電子郵件系統(tǒng)，從而使手機(jī)處于閉環(huán)通信中——它們只能相互通話。并且，只有與經(jīng)銷商有直接聯(lián)系的人才能購(gòu)買到這樣一部定制手機(jī)。

Phantom Secure為FBI提供了靈感。他們決定開(kāi)展一項(xiàng)Ironside行動(dòng)，而行動(dòng)的一大主角正是由FBI研發(fā)的一個(gè)專為犯罪分子定制的加密聊天蜜罐平臺(tái)An0m。

在工具測(cè)試階段，行動(dòng)的合作伙伴AFP(澳大利亞聯(lián)邦警察)獲得法庭命令，對(duì)分發(fā)給澳大利亞境內(nèi)個(gè)人或與澳大利亞有明顯聯(lián)系的個(gè)人的Anom設(shè)備進(jìn)行合法監(jiān)控。測(cè)試階段共計(jì)分發(fā)了大約 50 臺(tái)設(shè)備，并且監(jiān)控非常成功。

測(cè)試后，F(xiàn)BI和第三個(gè)國(guó)家接觸，并且該國(guó)家同意加入 TrojanShield 調(diào)查并建立自己的 iBot 服務(wù)器，支持此次行動(dòng)。

隨后，行動(dòng)正式開(kāi)始，F(xiàn)BI又招募了CHS(機(jī)密人員)，通過(guò)這些人員將加密通信產(chǎn)品Anom介紹給跨國(guó)犯罪組織(TCOs)，此外，他們還將Anom設(shè)備分發(fā)給與TCO有直接聯(lián)系的加密通信設(shè)備分銷商，從而讓TCOs的成員開(kāi)始用上了這款”不錯(cuò)“的設(shè)備。

剛開(kāi)始的時(shí)候，Anom的應(yīng)用范圍很小，到了2019年Anom開(kāi)始在犯罪圈子內(nèi)流行， 2020 年隨著EncroChat和Sky ECC平臺(tái)被取締， Anom 已經(jīng)不需要臥底特工來(lái)推廣了，它在犯罪圈“火了”，到后來(lái)甚至有近 9000 名活躍用戶。

Anom是個(gè)什么呢，簡(jiǎn)單來(lái)說(shuō)這是個(gè)蜜罐。以加密通信為包裝，將設(shè)備販賣給犯罪分子，當(dāng)犯罪分子開(kāi)始使用時(shí)，他們的通信信息就會(huì)被FBI及AFP所監(jiān)控。

為了更好地取信于犯罪分子，釣到更大的魚兒。FBI、AFP 和CHS(機(jī)密人員)在現(xiàn)有的加密系統(tǒng)中構(gòu)建了一個(gè)主密鑰，該系統(tǒng)秘密地附加到每條消息上，并使執(zhí)法部門能夠按原樣解密和存儲(chǔ)消息傳送，顯然，那些Anom設(shè)備的用戶是不知道主密鑰的存在。 而針對(duì)位于美國(guó)境外的設(shè)備，通信過(guò)程中的加密抄送則會(huì)被路由到位于美國(guó)境外的“iBot”服務(wù)器，在那里，專門的機(jī)密人員會(huì)進(jìn)行代碼解密，然后再重新加密傳送。

每個(gè)Anom用戶都會(huì)被分配到一個(gè)特定的Jabber標(biāo)識(shí)(JID)。JID是一個(gè)固定的、唯一的字母數(shù)字標(biāo)識(shí)。而Anom用戶可以選擇他們自己的用戶名，并改變他們的用戶名列表。對(duì)此，”幕后“的聯(lián)邦調(diào)查局保留了一份JID和相應(yīng)的Anom用戶的網(wǎng)名列表，用以追蹤與調(diào)查。

6 月 7 日，由于一些犯罪團(tuán)伙發(fā)現(xiàn)信息監(jiān)聽(tīng)的端倪，執(zhí)法機(jī)構(gòu)對(duì)這次行動(dòng)進(jìn)行收網(wǎng)。

根據(jù)文件，執(zhí)法機(jī)構(gòu)累計(jì)翻譯和編譯了來(lái)自 90 多個(gè)國(guó)家/地區(qū)的 11800 臺(tái)設(shè)備的超過(guò) 2000 萬(wàn)條消息。其中，前五個(gè)國(guó)家包括澳大利亞、德國(guó)、荷蘭、西班牙和塞爾維亞。最后，這次行動(dòng)共計(jì)發(fā)出525 份搜查令、使得224 人受到指控、6 個(gè)秘密實(shí)驗(yàn)室被取締，并避免了 21 次殺人威脅，查獲了 3.7 噸毒品、104 件槍支和武器以及超過(guò) 4500 萬(wàn)澳元的資產(chǎn)。

舊的犯罪平臺(tái)消失于灰燼，新的網(wǎng)絡(luò)犯罪服務(wù)、平臺(tái)、工具又將在別處重生。此后，網(wǎng)絡(luò)犯罪分子可能會(huì)更為謹(jǐn)慎，甚至使用合法的端到端加密聊天服務(wù)。這場(chǎng)對(duì)抗，依舊沒(méi)有終結(jié)。