La guerra russo-ucraina in corso ha fornito il miglior esempio fino ad oggi del legame tra criptovalute e conflitti geopolitici, con entrambe le parti che hanno utilizzato le criptovalute per sollecitare donazioni e finanziare lo sforzo bellico. Tuttavia, di recente Chainalys ha riferito di aver scoperto un utilizzo più diretto e aggressivo di Bitcoin per il controspionaggio, attraverso un’arma senza precedenti del campo OP_RETURN.
Un misterioso utente Bitcoin etichetta quasi 1.000 indirizzi come beni del governo russo nelle transazioni OP_RETURN
Non è un segreto che gli attori statali russi abbiano abbracciato le criptovalute. Chainalysis ha scritto in passato di attacchi ransomware a sfondo geopolitico condotti da gruppi russi contro obiettivi ucraini nel periodo precedente la guerra e, dopo l’invasione, i gruppi pro-Russia hanno sollecitato milioni di donazioni in criptovalute. Inoltre, i gruppi di criminalità informatica con sede in Russia, come quelli che fanno capo alla Evil Corp, hanno sospetti legami con l’intelligence russa.
In circostanze normali, sarebbe difficile individuare gli indirizzi di criptovaluta utilizzati da attori ostili, a meno che non li si stia cercando attivamente. Ma a partire dal 12 febbraio 2022 – settimane prima dell’invasione russa dell’Ucraina – e fino al 14 marzo 2022, un utente anonimo di Bitcoin ha lanciato l’allarme e ha segnalato quasi 1.000 indirizzi che, a suo dire, appartengono ad agenzie di sicurezza russe utilizzando il campo OP_RETURN. Quest’ultimo è un campo utilizzato per contrassegnare le transazioni Bitcoin come non valide, ma può anche essere usato per memorizzare del testo, consentendo di fatto agli utenti di allegare messaggi alle transazioni e di trasmetterli all’intera blockchain, dove verranno salvati per sempre. In questo caso, un individuo o un gruppo ha inviato migliaia di transazioni a un totale di 986 indirizzi Bitcoin unici, sostenendo che questi indirizzi erano collegati alle agenzie di intelligence russe. Ecco come appaiono alcune di queste transazioni nel Chainalysis Reactor.

Ogni transazione conteneva uno dei quattro messaggi seguenti, originariamente scritti in russo:
“GRU a SVR. Usato per l’hacking!”.
“GRU a GRU. Usato per l’hacking!”.
“GRU a FSB. Usato per l’hacking!”
“Aiuta l’Ucraina con i soldi del GRU Khakir”.
Ogni messaggio afferma che l’indirizzo in questione è stato utilizzato in operazioni di hacking da una delle tre agenzie russe: l’Agenzia di intelligence militare estera (GRU), il Servizio di intelligence estera (SVR) e il Servizio di sicurezza federale (FSB). Per rendere le cose ancora più interessanti, la maggior parte dei messaggi OP_RETURN proveniva da indirizzi che il vigilante OP_RETURN ha dichiarato appartenere al governo russo in altri messaggi dello stesso tipo. Supponendo che le accuse del vigilante siano vere, ciò significherebbe che questo individuo ha avuto accesso alle chiavi private degli indirizzi controllati dai russi, tramite hacking o collaborazione con un insider. In una serie di transazioni avvenute nell’aprile del 2022 – alcuni mesi dopo le altre e più di un mese dopo l’invasione – il vigilante OP_RETURN ha inviato fondi detenuti da quello che sostiene essere un indirizzo controllato dai russi a un indirizzo di donazione di aiuti ucraini, come indicato dall’ultimo dei quattro messaggi OP_RETURN – possiamo vedere questo indirizzo di donazione nell’angolo in alto a destra del grafico Reactor qui sopra.
L’indirizzo 1CMugHhsSf8Bzrp142BpvUynWBR1RiqMCk fornisce un buon esempio di un caso in cui il vigilante OP_RETURN potrebbe aver violato le chiavi private di indirizzi controllati dalla Russia. 1CMug… ha inizialmente inviato transazioni OP_RETURN accusando diversi altri indirizzi di appartenere al governo russo, bruciando il suo saldo di 0,059 BTC nel processo (1CMug… ha inizialmente ricevuto questi fondi nel 2020 da una fonte sconosciuta). In seguito, 1CMug… ha ricevuto transazioni OP_RETURN da altri indirizzi sostenendo di essere anch’esso collegato a operazioni del governo russo. Molti altri indirizzi hanno seguito uno schema simile. Supponendo che i messaggi OP_RETURN siano veri, un’attività come questa indicherebbe che il mittente OP_RETURN ha avuto accesso alle chiavi private di alcuni indirizzi GRU, tramite hacking o collaborazione con un insider.
Gli indirizzi incriminati appartengono davvero ai servizi segreti e di sicurezza russi?
Il valore dell’analisi di cui sopra dipende dal fatto che si creda o meno alle affermazioni del vigilante. Chiunque può dire quello che vuole in un messaggio OP_RETURN, ma come possiamo sapere che gli indirizzi che il nostro vigilante ha etichettato sono davvero collegati ad attività di hacking russe?
Chainalys afferma di avere buone prove per almeno tre degli indirizzi. Due di essi – 1DLA46sXYps3PdS3HpGfdt9MbQpo6FytPm e 1L5QKvh2Fc86j947rZt12rX1EFrCGb2uPf – sono citati in un post di blog ormai archiviato della società di cybersicurezza HYAS, in cui l’azienda indica che l’SVR russo ha utilizzato gli indirizzi per acquistare l’infrastruttura utilizzata nel famigerato hack Solarwinds.
Il terzo indirizzo sembra essere stato utilizzato come parte di una campagna di disinformazione russa. Nel periodo precedente alle elezioni presidenziali statunitensi del 2016, la GRU russa ha creato di nascosto il sito web DCLeaks.com e lo ha utilizzato per pubblicare materiale hackerato relativo a personaggi politici statunitensi. L’accusa del DOJ contro gli agenti dell’intelligence russa coinvolti nella campagna di disinformazione afferma che gli agenti hanno pagato in Bitcoin per affittare il server DCLeaks.com da un provider di web hosting malese. L’indirizzo utilizzato per affittare il server – 18N9jzCDsV9ekiLW8jJSA1rXDXw1Yx4hDh – è stato anche etichettato dal nostro vigilante OP_RETURN come appartenente al GRU.

Il grafico Reactor qui sopra mostra 18N9j… che invia fondi a un provider di hosting malese nel dicembre 2015 per affittare un server per DCLeaks.com. A sinistra, vediamo il messaggio contenente l’OP_RETURN che indica 18N9j… come una risorsa della GRU.
Il fatto che i messaggi OP_RETURN sembrino essere stati accurati per tre degli indirizzi conferisce credibilità alle affermazioni relative anche agli altri. Inoltre si deve prestare attenzione a quanto denaro ha rinunciato il mittente di OP_RETURN per diffondere questi messaggi. Un OP_RETURN contrassegna una transazione come non valida, bruciando di fatto tutti i Bitcoin inclusi nella transazione. Se si volesse semplicemente inviare un messaggio a un’altra persona tramite OP_RETURN, non avrebbe senso includere nulla di più di una quantità di Bitcoin pari alla polvere, poiché tali fondi verrebbero resi inaccessibili. Tuttavia, il nostro mittente OP_RETURN ha incluso somme consistenti nella maggior parte di queste transazioni, bruciando in totale oltre 300.000 dollari di Bitcoin. L’ipotesi di Chainalys è che il mittente OP_RETURN abbia fatto questo per rendere più probabile la scoperta delle transazioni e le accuse ad esse associate. Il fatto che il mittente OP_RETURN fosse disposto e in grado di bruciare centinaia di migliaia di dollari di Bitcoin per diffondere il proprio messaggio rende le informazioni potenzialmente più credibili. Inoltre si deve sottolineare che il mittente OP_RETURN ha smesso di bruciare fondi dopo che l’invasione russa era in corso. A questo punto ha iniziato a inviare fondi a indirizzi di assistenza ucraini, suggerendo intenzioni relativamente pure e chiarendo il proprio sostegno alla causa ucraina.
Come si inserisce Bitcoin nel futuro della guerra informatica?
È emerso che un libro mastro pubblico, permanente e immutabile non è solo una solida base per un nuovo sistema finanziario trasparente. Potrebbe anche avere un ruolo nel futuro della guerra informatica. Supponendo che i loro messaggi siano veri, il mittente di OP_RETURN ha fatto qualcosa di molto potente quando ha codificato le sue accuse sulla blockchain. Oltre al fatto che il governo russo ha perso l’accesso a quei Bitcoin grazie alla funzione OP_RETURN, ora sarà molto difficile per le agenzie russe utilizzare quegli indirizzi per scopi simili in futuro, o finanziare nuovi indirizzi con i Bitcoin attualmente in possesso degli indirizzi accusati. La possibilità che il mittente di OP_RETURN abbia acquisito le chiavi private degli indirizzi controllati dai russi suggerisce inoltre che le operazioni di crittografia del regime di Putin non sono sicure. Soprattutto, questi messaggi OP_RETURN rimarranno per sempre: nessun governo o società potrà eliminarli. Il caso unico del vigilante OP_RETURN sottolinea quanto sia importante per i militari e le agenzie di intelligence del XXI secolo comprendere e utilizzare la tecnologia blockchain, compromettendo al contempo la capacità dei loro nemici di farlo.