Finnische Polizei behauptet, Monero-Transaktionen entschleiern zu können
Finnischer Wald im Winter, beleuchtet vom Polarlicht. Bild von Alan & Flora Botting, Lizenz: Creative Commons
Die Zentrale Kriminalpolizei Finnlands (Keskusrikospoliisi, KRP) hat den Erpresser einer finnischen Klinik für psychische Krankheiten identifiziert. Die Spur des Geldes führte auch über Monero. Haben finnische Forensiker die angeblich anonyme Kryptowährung geknackt?
MTV Oy, Finnlands führender Privatsender, nennt es eine „große Enthüllung“: die Zentrale Kriminalpolizei KRP hat den Vastaamo-Hacker überführt, indem sie der Spur seines Geldes gefolgt ist, die auf dem privaten Bankkonto des Finnen Aleksanteri Kivimäki endete.
Vastaamo ist eine private psychiatrische Klinik, die im Herbst 2020 von einer Ransomware infiziert wurde. Dabei gelangten die hochsensiblen Daten von 40.000 Patienten in die Hände des Hackers. Er verlangte zunächst 40 Bitcoin, was zu dieser Zeit etwa 400.000 Euro waren. Nachdem die Klinik die Zahlung verweigert hatte, kontaktierte er einzelne Patienten und forderte 200 Euro in Bitcoin, um die Veröffentlichung der Daten zu verhindern.
Wie sie der Spur des Geldes konkret gefolgt ist, verrät die KRP nur auszugsweise. Sie habe 0,1 Bitcoin an eine Adresse gesendet, die der Erpresser in einem Schreiben genannt hatte. Die Polizei verfolgte die Spur dieses Geldes weiter, die erst zu anderen Adressen führten, dann zu einer KYC-freien Börse, auf der die Bitcoins gegen Monero gewechselt wurden. Diese Information hat die KRP offenbar von der Börse selbst erhalten.
Dann wird es spannend: Irgendwie ist es der KRP gelungen, die Spur an dieser Stelle nicht abbrechen zu lassen, sondern zur Börse Binance zu verfolgen, wo der Hacker mithilfe von zwei Accounts die Monero gegen Bitcoin und diese gegen Euro wechselte, welche schließlich über mehrere „Money Mules“ im Bankkono von Julius Aleksanteri Kivimäki landeten.
Wie genau dies möglich war, sagt die Polizei aber nicht. Laut MTV Oy will sie weder Kriminellen noch sonst jemandem verraten, wie die anonyme Kryptowährung nachverfolgt wurde.“ Es war, erfährt man immerhin, „nicht einfach“; die Methode war „heuristisch“, so dass sie keinen konkreten Beweis erbringt, sondern eher Hinweise, über die man weiterforschen kann.
Auch klassische Ermittlungen scheinen eine Rolle gespielt zu haben, etwa als die Polizei einen Estländer vernahm, der irgendwie in die Transaktionsströme involviert war, oder als sie bei den „Money Mules“ nachforschte, deren Überweisungen schließlich im Bankkonto von Kivimäki zusammenliefen. Sie gibt sich aber überzeugt, einen Beweis führen zu können.
Kivimäkis Anwalt widerspricht: Er bestreitet die Gültigkeit der Beweise, denn es sei nicht möglich, die Transaktionsströme wie von der Polizei behauptet zu erhellen. Daher dementiert der Beschuldigte die gesamte Anklage.
Die Monero-Community ist ob dieser Nachricht skeptisch. Ein ehemaliges Mitglied des MAGIC Monero Funds, Csilla Brimer, meint, dass nicht Monero selbst gebrochen sei, doch beim wiederholten Tausch gegen Bitcoin unerwünschte Informationen entweichen können. Wenn man ohne tiefere Sachkenntnis und einem guten System-Setup Bitcoins gegen Monero tauscht – vermutlich als eine Art Atomic Swap – „entstehen wahrscheinlich Informationen.“
Eventuell meint Brimer damit einen „Eve-Alice-Eve“-Angriff, durch den Chainalysis die Urheber der WannaCry-Ransomware-Welle identifiziert haben. Auch hier war der Wechsel gegen Bitcoin über die (damals) KYC-freie Börse Shapeshift der Schlüssel.
Entdecke mehr von BitcoinBlog.de - das Blog für Bitcoin und andere virtuelle Währungen
Melde dich für ein Abonnement an, um die neuesten Beiträge per E-Mail zu erhalten.
Ihr Hübschen:
Wo ist hier der Kommentar des ansonsten allgegenwärtigen Paul Janowitz, Kreuzritter von Monero, Hohepriester und Verteidiger aller hehrer ideeller Kryptowerte, theoretischer Vernichter falscher Kryptoideen, geschätzter Kommentator monetärer Zeitgeschichte?
Er wollte, hatte aber probleme mit dem Kommentarsystem
Vielen Dank für Deine Aufmerksamkeit!
Ja, mein initialer Kommentar ist leider in den Tiefen von WordPress verschwunden, aber seis drum.
Monero hat keinerlei relevanten Angriffspunkt aus heutiger Sicht. Es sind wenn, dann Metadaten, die man Hinterlässt.
So Leute, es ärgert mich zwar wirklich, dass mein erster Kommentar durch eine „Nonce“ nicht durchgekommen ist und ich ihn leider nicht lokal gespeichert habe (was ich eigentlich hier mache, weil ich weiß, dass die Kommentarfunktion nicht immer so tickt wie ich) – seis drum, ich schreibe so viel wie ich mir merken konnte nochmal auf – Christoph hat es für seine ununterbrochene Leistung so vieler Jahre verdient!
Erstmal LOL.
Monero ist erstmal das wohl selbstkritischste Projekt im Kryptobereich überhaupt. Nein, Monero ist nicht Alpha und Omega und vielleicht noch Gamma. Wir hinterfragen uns gegenseitig, immer. Bester Beweis dafür (und auch echt empfehlenswert) ist die „Breaking Monero“ Serie auf YT: https://www.youtube.com/watch?v=WOyC6OB6ezA&list=PLsSYUeVwrHBnAUre2G_LYDsdo-tD0ov-y
Wir haben auf Reddit auch jede Woche einen Skepticism Sunday, ohne Moderation.
Zur Sache: Die finnischen Behörden halten sich bedeckt, aber wahrscheinlich wurde eine EAE oder EABE „Attacke“ ausgeführt. Wenn ich Christoph von Kraken 0,9833791 XMR schicke, ist das ziemlich eindeutig. Schickt er das zu 100% an seinen Kraken Account zurück, muss man nur die (öffentliche) Fee abziehen und man hat einen 100%-igen Treffer.
Ich kenne wahrscheinlich alle Schwachstellen Bitcoins und auch Moneros, fragt gerne!
Im Grunde sagt der Artikel genau das ja auch bereits aus, die Beweise die man hat sind heuristisch aber sie waren sicher genug für eine Verhaftung. Folglich muss es ungefähr so sein wie Paul zwar absolut richtig erklärt aber auch schon so im Artikel steht (zumindest dann wenn man 3 Sekunden über das Gelesene nachdenkt :)) Die Medienmeldung könnte auch dem Wunschdenken geschuldet sein so was würde Kriminelle davon abhalten Monero zu nutzen.
Es gibt jetzt etwas mehr Klarheit, ich verlinke hier auf einen Post auf Twitter zum gesamten Text (auf Englisch): https://twitter.com/cryptonator1337/status/1756373102559100947
1. Der Hacker hat in Finnisch mit den Behörden Kommuniziert, man konnte den Kreis der Verdächtigten also schon sehr verdichten, denn mit einer Bevölkerung von 5,5 Mio. Einwohnern und laut Wikipedia 5 Millionen Sprechern weltweit beschränkt das den Täterkreis in etwa auf Berlin.
2. Da es dem Hacker nicht schnell genug ging, hat er ein 11GB „Sample“ ins Darknet als .tar File hochgeladen, welches keine Kompression beinhaltet, sondern lediglich die Dateien aneinander verkettet. In diesem File hat er dummerweise seinen ssh Folder, seine Host Files und wohl einige andere identifizierbare Daten vergessen, aber da so ein Transfer über Tor ja ewig dauert, die Datei noch gelöscht, bevor sie jemand komplett hatte. Dummerweise eben ein .tar File, welches ausreichend Daten beinhaltet hat, um ihn zu identifizieren.
Wenn man den Täter kennt, dann ist es kein Hexenwerk mehr bei allen Börsen entsprechende Anfragen zu stellen… Mit Monero hatte das herzlich wenig zu tun 😉