Фінська влада відстежила хакера, який використовує Monero – ForkLog UA
Національне бюро розслідувань Фінляндії (KRP) у рамках кримінальної справи відстежило транзакції анонімної криптовалюти Monero (XMR), пов’язані з хакером Юліусом Ківімякі. Про це повідомляють місцеві ЗМІ.
22 січня прокуратура представила нові докази, які свідчать про незаконні перекази, що ведуть до банківського рахунку Ківімякі.
За версією слідства, у 2020 році підозрюваний нібито зажадав 40 BTC, щоб не публікувати особисті дані понад 33 000 пацієнтів психотерапевтичного центру Vastaamo. Хакер використовував псевдонім ransom_man.
Лист із вимогами хакера. Джерело: KrebSonSecurity.
«Ми не просимо багато, приблизно €450 000, що становить менше ніж €10 на пацієнта і лише невелику частину від €20 млн річного доходу компанії», — заявляв ransom_man.
23 жовтня 2020 року хакер завантажив у даркнет великий файл, що містить усі вкрадені записи Vastaamo. Однак слідчі виявили, що дані також містили повну копію особистої теки «ransom_man» — головна помилка, яка дала змогу пов’язати докази з Ківімякі.
Через деякий час злиті файли видалили, супроводжуючи підписом «упс». Однак їх встигли завантажити інші користувачі, і, як наслідок, правоохоронці. Невідомі створили окремий вебсайт з усією базою пацієнтів клініки.
Деякі жертви все ж заплатили викуп, але після того, як у мережі виявили злиті дані, шантаж перестав діяти.
KRP з’ясувало, що хакер відправляв активи на біржу, яка не відповідала вимогам KYC. Потім він обмінював біткоїни на Monero і переводив їх на особистий гаманець.
Після низки маніпуляцій XMR надходили на рахунок Binance, де знову обмінювалися на першу криптовалюту. Потім монети знову переміщалися на різні гаманці.
Правоохоронці не розкрили методологію аналізу транзакцій. Зрештою слідство вийшло на Ківімакі через його Twitter-акаунт. У жовтні 2022 року йому висунули кримінальні обвинувачення.
Uskon että KRP toi tämän nyt julkisuuteen vaikuttaakseen juuri hovioikeudessa käsitellyn vanhan teinivuosien juttuni päätöksentekoon, molemmissa jutuissa on samat henkilöt tutkimassa.https://t.co/mlqGfJoda9
— Aleksanteri Kivimaki (@AlexKivimaeki) October 28, 2022
«Я вважаю, що KRP довело це до відома громадськості, щоб вплинути на ухвалення рішення за моєю старою справою ще з підліткового віку, яку тільки-но розглядали в апеляційному суді, — обидві розслідуються одними й тими самими людьми», — написав Ківімакі.
Як з’ясувалося, ще в 17-річному віці підозрюваного засудили за крадіжку засекречених даних Військово-повітряних сил США і злом сайту American Airlines. Тоді його засудили до одного року умовно за звинуваченням у шахрайстві та крадіжці конфіденційних даних.
Наразі прокуратура вимагає для Ківімакі реального тюремного терміну.
Interesting day in Finland. #vastaamo pic.twitter.com/FupGQ9fWWE
— Joe Tidy (@joetidy) January 19, 2024
«Молодий чоловік скоював кіберзлочини з [фінського міста] Еспоо з 15 років, і ці дії довелося ретельно розслідувати за допомогою міжнародної юридичної підтримки», — заявила сторона обвинувачення.
Влада також висунула звинувачення керівнику Vastaamo Вілле Тапіо через порушення вимог до безпеки персональних даних. Він пішов з посади відразу після атаки.
При цьому витік міг статися ще 2018 року, а Тапіо навмисно приховував інцидент майже півтора року.
Колишня членкиня комітету MAGIC Monero Fund Чілла Брімер у коментарі Decrypt заявила, що слідчим, найімовірніше, просто вдалося відстежити деякі транзакції через погане дотримання правил безпеки з боку хакера, а не через злам самої мережі Monero.
«Якщо ви не будете обережні зі своєю операційною безпекою і продовжите перемикатися між біткоїном і XMR, існує ризик злити деяку інформацію. Регулюючі органи можуть використовувати цю помилку, щоб заявити про відстеження Monero», — пояснила вона.
За словами Брімер, Monero «надійно захищає деталі транзакцій», але не здатна врятувати користувачів від їхніх власних помилок.
Нагадаємо, у січні 2024 року Binance зарахувала Monero і Zcash до високоризикових криптоактивів, присвоївши їм «теги моніторингу».