Сотрудники Отдела по борьбе с организованной преступностью Юго-Восточного региона Великобритании (SEROCU) задержали в Оксфорде 36-летнего мужчину, обвиняемого в краже криптовалюты IOTA на сумму около 10 млн евро. От действий мошенника пострадало более 85 человек по всему миру.

Задержание стало результатом совместной операции SEROCU, Национального агентства Великобритании по борьбе с преступностью (NCA), Европола и полиции Гессена.

Расследование началось в январе 2018 года после того, как несколько жителей Германии обратились в правоохранительные органы с заявлением о краже токенов IOTA. Изучая дело, полицейские обнаружили мошеннический ресурс iotaseed.io, генерирующий секретные ключи (seed) для криптокошельков. Позже удалось установить, что сайт создал злоумышленник, зарегистрированный в Сети под ником Norbertvdberg. Он вращался в кругах ценителей IOTA и оказывал поддержку начинающим криптолюбителям.

Секретный ключ для IOTA-кошелька должен состоять из 81 символа — букв латинского алфавита и цифры 9. На его основе впоследствии создается приватный ключ. Таким образом, зная seed кошелька, можно в любой момент получить к нему доступ.

Поскольку создание последовательности из 81 случайного символа — задача нетривиальная, услуга Norbertvdberg, как и другие подобные сервисы, пользовалась спросом. Чтобы создать иллюзию легитимности, злоумышленник даже зарегистрировался на GitHub и создал для iotaseed.io репозиторий, куда выложил исходный код генератора.

Британский студент Алекс Стадер (Alex Studer) сравнил код на GitHub c генератором на сайте и обнаружил в последнем бэкдор. Скрипт, замаскированный под лого, модифицировал одну из функций программы так, что все ключи, выданные пользователям сайта iotaseed.io, строились на основе предсказуемой последовательности цифр — 4782588875512803642 плюс переменная, которая увеличивалась на единицу с каждым новым обращением к генератору.

Вредоносный сайт проработал полгода, с августа 2017-го по январь 2018-го. Затем злоумышленник закрыл его и удалил свои аккаунты на GitHub, Reddit и Quora. А 19 января преступник начал авторизироваться в кошельках своих жертв и переводить деньги на свой счет. Мошенничество совпало с серией DDoS-атак на серверы IOTA, поэтому сначала никто не обратил на него внимания.

Несмотря на принятые Norbertvdberg меры предосторожности, в июле 2018 года полиция Германии смогла вычислить подозреваемого. После этого к расследованию подключилась Объединенная рабочая группа по борьбе с киберпреступностью (J-CAT) Европола, которая координировала международную операцию.

Подозреваемый обвиняется в мошенничестве, краже и отмывании денег. Ему предстоит экстрадиция в Германию, где он и предстанет перед судом.

Категории: Мошенничество, Хакеры