6月7日，在司法部的新聞發(fā)布會上，美國宣布其沒收了DarkSide勒索團伙所使用的一個加密貨幣錢包，其中包含了來自 Colonial Pipeline的贖金。如何截獲并且成功打開加密貨幣錢包?這一問題成為很多人的疑問，甚至出于對美國政府”控制“加密貨幣的懷疑而導致比特幣價格大跌。

目前存在有幾種可能：

(1)數(shù)字貨幣存在安全漏洞。不過這一可能性較小，因為也沒有任何的跡象表明他們能夠破壞橢圓曲線數(shù)字簽名算法(ECDSA)。

(2)FBI執(zhí)法部門入侵了犯罪組織的IT基礎系統(tǒng)，進入到他們存儲私鑰的服務器里，從而獲取了一個屬于DarkSide比特幣錢包的私鑰的控制權。也就是用私鑰打開了錢包。

接著，我們來回顧一下簡單的時間線：

• 5月7日，美國最大燃油管道公司Colonial Pipeline支付近500萬美元贖金。
• 5 月14 日，勒索軟件團伙曾聲稱無法訪問他們的一臺支付服務器。
• 6月7日，美國宣布追回大筆贖金。

“勒索軟件團伙曾聲稱無法訪問他們的一臺支付服務器”這一消息似乎為第二個可能性提供了一些證明。再結合美國司法部堅持其具備追蹤資金的能力的言論，而加密專家也表示比特幣錢包被FBI打開更多是因為私鑰而非貨幣本身存在漏洞。

[[405152]]

截獲比特幣，很可能是FBI通過比特幣交易記錄一直追溯到一個數(shù)字錢包，從而鎖定資金的存儲地進行資金封鎖，然后他們通過對DarkSide勒索團伙的情報掌握，實現(xiàn)了對勒索軟件基礎設施的入侵，獲取了私鑰(這一點從DarkSide勒索團伙此前表示“我們已經(jīng)無法訪問我們的基礎設施，包括博客、支付服務器”中可以窺見，即美國執(zhí)法機構是完全有可能獲取其基礎設施的訪問權限的)。

雖然Colonial 贖金追回事件中如何入侵獲取私鑰的具體手法不明，但Ironside行動中的策略已被公開。

Ironside是由FBI在2018年開展的一項全球性詐騙打擊活動。FBI及其國際合作伙伴通過訪問和使用犯罪分子的加密通信，從而順藤摸瓜順利收網(wǎng)，逮捕了包括澳大利亞頭號通緝犯，土耳其跨國販毒集團老大Hakan Ayik在內的超過100個有組織犯罪集團，200多名犯罪嫌疑人。

繼截獲比特幣后，F(xiàn)BI還能訪問加密通信?通過公開的執(zhí)法令，可以發(fā)現(xiàn)此次行動的關鍵在于“監(jiān)聽”。

An0m：為犯罪分子定制的加密聊天蜜罐平臺

2018年，F(xiàn)BI查獲了Phantom Secure：一家向販毒者、雇傭殺人犯和其他有組織犯罪頭目出售加密手機的聊天服務公司。這家總部位于加拿大的企業(yè)購買智能手機后，剝離了設備的GPS、通話、短信和互聯(lián)網(wǎng)接入功能，然后安裝一個加密的電子郵件系統(tǒng)，從而使手機處于閉環(huán)通信中——它們只能相互通話。并且，只有與經(jīng)銷商有直接聯(lián)系的人才能購買到這樣一部定制手機。

Phantom Secure為FBI提供了靈感。他們決定開展一項Ironside行動，而行動的一大主角正是由FBI研發(fā)的一個專為犯罪分子定制的加密聊天蜜罐平臺An0m。

在工具測試階段，行動的合作伙伴AFP(澳大利亞聯(lián)邦警察)獲得法庭命令，對分發(fā)給澳大利亞境內個人或與澳大利亞有明顯聯(lián)系的個人的Anom設備進行合法監(jiān)控。測試階段共計分發(fā)了大約 50 臺設備，并且監(jiān)控非常成功。

測試后，F(xiàn)BI和第三個國家接觸，并且該國家同意加入 TrojanShield 調查并建立自己的 iBot 服務器，支持此次行動。

隨后，行動正式開始，F(xiàn)BI又招募了CHS(機密人員)，通過這些人員將加密通信產(chǎn)品Anom介紹給跨國犯罪組織(TCOs)，此外，他們還將Anom設備分發(fā)給與TCO有直接聯(lián)系的加密通信設備分銷商，從而讓TCOs的成員開始用上了這款”不錯“的設備。

剛開始的時候，Anom的應用范圍很小，到了2019年Anom開始在犯罪圈子內流行， 2020 年隨著EncroChat和Sky ECC平臺被取締， Anom 已經(jīng)不需要臥底特工來推廣了，它在犯罪圈“火了”，到后來甚至有近 9000 名活躍用戶。

Anom是個什么呢，簡單來說這是個蜜罐。以加密通信為包裝，將設備販賣給犯罪分子，當犯罪分子開始使用時，他們的通信信息就會被FBI及AFP所監(jiān)控。

為了更好地取信于犯罪分子，釣到更大的魚兒。FBI、AFP 和CHS(機密人員)在現(xiàn)有的加密系統(tǒng)中構建了一個主密鑰，該系統(tǒng)秘密地附加到每條消息上，并使執(zhí)法部門能夠按原樣解密和存儲消息傳送，顯然，那些Anom設備的用戶是不知道主密鑰的存在。 而針對位于美國境外的設備，通信過程中的加密抄送則會被路由到位于美國境外的“iBot”服務器，在那里，專門的機密人員會進行代碼解密，然后再重新加密傳送。

每個Anom用戶都會被分配到一個特定的Jabber標識(JID)。JID是一個固定的、唯一的字母數(shù)字標識。而Anom用戶可以選擇他們自己的用戶名，并改變他們的用戶名列表。對此，”幕后“的聯(lián)邦調查局保留了一份JID和相應的Anom用戶的網(wǎng)名列表，用以追蹤與調查。

6 月 7 日，由于一些犯罪團伙發(fā)現(xiàn)信息監(jiān)聽的端倪，執(zhí)法機構對這次行動進行收網(wǎng)。

根據(jù)文件，執(zhí)法機構累計翻譯和編譯了來自 90 多個國家/地區(qū)的 11800 臺設備的超過 2000 萬條消息。其中，前五個國家包括澳大利亞、德國、荷蘭、西班牙和塞爾維亞。最后，這次行動共計發(fā)出525 份搜查令、使得224 人受到指控、6 個秘密實驗室被取締，并避免了 21 次殺人威脅，查獲了 3.7 噸毒品、104 件槍支和武器以及超過 4500 萬澳元的資產(chǎn)。

舊的犯罪平臺消失于灰燼，新的網(wǎng)絡犯罪服務、平臺、工具又將在別處重生。此后，網(wǎng)絡犯罪分子可能會更為謹慎，甚至使用合法的端到端加密聊天服務。這場對抗，依舊沒有終結。