背景調查
2024年12月11日,最新研究揭示,一家註冊於加拿大的金融公司正在為多家俄羅斯加密貨幣交易所及面向俄語客戶的網絡犯罪服務網站提供支付處理。有趣的是,調查中發現該公司在溫哥華的街道地址同時也是多家外幣交易商、資金轉移業務及加密貨幣交易所的登記地址,然而這些企業實際上並不在該地址運營。
調查發現
區塊鏈分析師兼調查員理查德·桑德斯(Richard Sanders)曾於2023年大部分時間在烏克蘭進行調查,隨同烏克蘭士兵繪製俄羅斯加密貨幣交易所的變遷地圖,這些交易所被指控為地區毒品網絡洗錢。最近,桑德斯專注於研究受歡迎的網絡犯罪服務如何接受客戶支付並將加密貨幣收入轉化為現金。
涉及平台
桑德斯的研究鎖定了122個服務,其中包括:
- 提供濫用友好或“防彈”託管服務的網站,如 anonvm[.]wtf 和 PQHosting。
- 出售年長的電子郵件、金融或社交媒體賬戶的網站,如 verif[.]work 和 kopeechka[.]store。
- 提供匿名或“代理”服務的網站,如 crazyrdp[.]com 和 rdp[.]monster。
- 匿名短信服務平台,如 anonsim[.]net 和 smsboss[.]pro。
Cryptomus 的角色
桑德斯指出,所有122個服務都通過一家名為 Cryptomus 的公司處理交易。這家公司聲稱自己是位於加拿大不列顛哥倫比亞省溫哥華的加密貨幣支付平台,並且其母公司 Xeltox Enterprises Ltd.(前稱 certa-pay[.]com)在加拿大金融交易和報告分析中心(FINTRAC)註冊為貨幣服務商(MSB)。
俄羅斯銀行的交易
據桑德斯所收集的支付數據顯示,至少有56家加密貨幣交易所使用 Cryptomus 處理交易,其中包括名為 casher[.]su, grumbot[.]com, flymoney[.]biz, obama[.]ru 和 swop[.]is 的金融實體。這些平台面向俄語使用者,並宣傳能匿名交換加密貨幣,甚至能將加密貨幣兌換為現金存入俄羅斯大銀行的賬戶中,這些銀行幾乎都受到美國及其他西方國家的制裁。
技術基礎設施分析
調查顯示,這些交易所幾乎都使用俄羅斯的電子郵件提供商,其中大部分直接託管在俄羅斯或由俄羅斯支持的歐洲基礎設施供應商中(如 Selectel、Netwarm UK、Beget、Timeweb 和 DDoS-Guard)。同時,幾乎所有56家交易所都使用位於舊金山的全球內容交付網絡 Cloudflare 的服務。
桑德斯對 KrebsOnSecurity 表示,“這些平台表面上是為公司提供接受加密貨幣支付以換取商品或服務的渠道。但遺憾的是,幾乎找不到任何使用 Cryptomus 的網站上有商品出售,這些服務似乎主要分為兩類:促成與受制裁俄羅斯銀行的交易,以及提供網絡攻擊的基礎設施和手段。”