Исследователь Тал Беери (Tal Be'ery), работающий в Microsoft, подозревает, что задержанный в Чехии, в начале октября 2016 года, российский хакер Евгений Никулин может быть связан со взломом криптовалютной биржи BitMarket, произошедшим в 2013 году. Напомню, что Никулина обвиняют во взломе Dropbox, Formspring и LinkedIn.
1/ I think I found some new details on "Yevgeniy Aleksandrovich Nikulin" accused of hacking #linkedin #DropBoxhttps://t.co/G8bfNitErK
— Tal Be'ery (@TalBeerySec) October 24, 2016
BitMarket.eu – биржа, основанная двумя польскими разработчиками Мацеем Требашем (Maciej Trębacz), известным как M4v3R, и Павлом Микульски (Paweł Makulski), известным как Makhul, существовавшая с 2011 по 2013 год. За недолгий срок своей «жизни» сервис успел пережить несколько взломов и, судя по сообщениям пользователей, так и не сумел до конца возместить пострадавшим потерянные средства.
Самый громкий инцидент, связанный с BitMarket, произошел в 2012 году. Тогда операторы биржи сообщили, что из-за атаки хакеров BitMarket лишился 18 787,72139217 биткоиов, что на сегодняшний день равняется более чем 12 млн долларов. Причем тогда проблема была в том, что операторы BitMarket решили создать хеджевый фонд, а для инвестиций биткоинов воспользовались сервисом Bitcoinica, который в 2012 году и подвергся взлому. В результате все средства были потеряны.
Однако Евгения Никулина связывают с другой атакой, произошедшей уже в 2013 году. Как ни странно, после неудачи с хеджевым фондом, у BitMarket по-прежнему были пользователи. В феврале 2013 года Требаш уведомил их о новой атаке на сервис. На этот раз взлому подвергся сам BitMarket: неизвестные злоумышленники воспользовались SQL-инъекцией и сумели похитить 620 биткоинов, то есть порядка 400 000 долларов по текущему курсу.
Тогда на форумах BitcoinTalk Требаш писал, что атакующий был зарегистрирован на сайте под ником chinabig01 и использовал адрес chinabig01@gmail.com. Также разработчик сообщал, что атака была осуществлена с IP-адреса 178.177.206.24, следов использования прокси нет, а значит, хакер действительно действовал из Москвы.
Тал Беери заметил, что в бумагах, опубликованных на днях Министерством юстиции США, фигурируют различные псевдонимы Никулина, в том числе и chinabig01. Судя по всему, в 2013 году Требаш сделал верные выводы и правильно понял, что злоумышленник практически не маскировался, использовав реальный IP-адрес и один из своих постоянных email-адресов.
2/ according to indictment papers https://t.co/MSOz28w4RE he didn't earn too much out of hacking "FormSpring" site, only 5.5K Euro. pic.twitter.com/A8rZLfFGVI
— Tal Be'ery (@TalBeerySec) October 24, 2016
Беери пишет, что через биткоин-адрес, судя по всему, принадлежавший Никулину и фигурировавший во время взлома BitMarket, суммарно прошло более миллиона долларов, которые потом были переведены на ряд других кошельков.
5/ The attacker's #bitcoin address associated with the hack https://t.co/qXFsYMDnjM had received ~$1M (in bitcoins) pic.twitter.com/tC1RRrlEUB
— Tal Be'ery (@TalBeerySec) October 24, 2016