Wpadki cyberprzestępców są zawsze ciekawą lekturą. Nie inaczej jest w przypadku brazylijskiego moderatora pracującego w jednym z największych narkotykowych marketów, których wpadł w tak głupi sposób, że aż ciężko w to uwierzyć.
Kilka dni temu służby kilku krajów zamknęły kolejny duży narkotykowy market działający w sieci Tor. Tym razem los ten spotkał Wall Street Market. Historię identyfikacji lokalizacji serwera i administratorów marketu opiszemy pewnie jutro, a dzisiaj poczytajcie, jak wpadł jeden z jego moderatorów. To jest dobra historia i świetny przykład solidnego OSINT-u ze strony służb.
Jak przestępca szuka pracy
Marcos Paulo de Oliveira-Annibale – tak nazywa się (zdaniem FBI) jeden z głównych moderatorów Wall Street Marketu. Skąd ta pewność FBI, że ukrywający się pod pseudonimem Med3lin lub Med3l1n to właśnie Marcos z Sao Paulo? Wyjaśnia to akt oskarżenia, opublikowany niedawno w sieci.
Konto MED3L1N_WSM miało na Reddicie uprawnienia moderatora subredditu poświęconego WSM. Z kolei na forum WSM konto MED3L1N miało status „Menedżera społeczności” (tak, narkotykowe bazary z milionem klientów mają rozbudowane struktury odpowiedzialne za obsługę użytkownika). Ktokolwiek stał za tymi kontami, dysponował szeroką wiedzą na temat kulis funkcjonowania WSM. Ostateczne potwierdzenie roli moderatora funkcjonariusze znaleźli jednak w zdobytej bazie danych WSM (o tym, jak baza została pozyskana, opowiemy w kolejnym odcinku). Figurowała tam zaplanowana wypłata ok. 1200 dolarów za pełnioną rolę w obsłudze sklepu. Nic więc dziwnego, że MED3L1N stał się obiektem zainteresowania służb próbujących zlikwidować WSM.
W roku 2017, gdy służby zamknęły największy market, AlphaBay, jego użytkownicy udali się do drugiego pod względem popularności serwisu – Hansa. Nie wiedzieli jednak, że Hansę także kontroluje już policja. Tę skoordynowana akcję opisywaliśmy w zeszłym roku. MED3L1N także postanowił szukać wówczas szczęścia (i pracy) w nagle popularnym markecie. Wkrótce po rozpoczęciu exodusu sierot po AlphaBay zgłosił się na stanowisko moderatora Hansy, uzasadniając swoją aplikację nagłym napływem użytkowników i związanym z tym wzrostem zapotrzebowania na usługi moderatorów. Sprytne. Ale tylko trochę sprytne, bo MED3L1N nie wiedział wówczas, że jego aplikację rozpatrzy holenderska policja kontrolująca Hansę. A rozpatrywała ją bardzo wnikliwie…
Na początku MED3L1N musiał opisać swoje doświadczenie. Okazało się, że był już moderatorem w innych serwisach zajmujących się obrotem kryptowalutami. Brzmi dobrze. Przeszedł więc do kolejnego etapu rekrutacji, gdzie musiał podać języki, jakimi się posługuje oraz opisać swoje doświadczenie IT. Zrobił to dość drobiazgowo. Poinformował też o godzinach, w jakich może pracować. Na końcu podał swój adres e-mail i adres Jabbera oraz wynegocjował pensję w wysokości 600 dolarów miesięcznie.
Jak dostać adres przestępcy? Trzeba go poprosić
Na tym etapie policjanci poprosili kandydata do pracy o podanie adresu, pod który mogą mu wysłać token sprzętowy, niezbędny do uzyskania dostępu do panelu moderacji. MED3L1N najpierw narzekał, że przesyłki do Brazylii idą nawet 2 miesiące (ujawniając przy okazji, w jakim kraju mieszka), a potem… podał adres, pod który można wysłać token.
MED3L1N podał adres „Joao Batista Pupo de Moraes, Parque Industrial, miasto Campinas, stan Sao Paulo, Brazylia, 13031-690”, zaznaczając, że nie jest to jego adres, lecz adres jego znajomego, niejakiego Marcosa Paulo, który odbiera za niego przesyłki. Był to jednak jego własny adres. Marcos dopisał także:
Please, don”t send the cops to this address or anything like this hahahahahaha just kidding.
Policja została jednak wysłana pod ten adres.
Skąd FBI miało pewność
Akt oskarżenia poświęca wiele stron na opisanie wszystkich profili w mediach społecznościowych, kont, historii logowań i innych śladów zostawionych w sieci przez Marcosa, ale skupmy się na tych najciekawszych (osoby wnikliwe odsyłamy do oryginalnego dokumentu):
- brazylijska policja potwierdziła, że pod wskazanym adresem faktycznie mieszka Marcos Paulo de Oliveira-Annibale, urodzony 26 marca 1990 roku,
- Marcos prowadził firmę zajmującą się naprawami komputerów,
- FBI znalazło jego konto na eBayu (marcosannibale1) i poprosiło o historię zakupów, w której znalazło czytnik kart magnetycznych, czyste karty czipowe i magnetyczne oraz urządzenie do zapisywania kart, bardzo popularne wśród carderów (MCR200 EMV),
- na forum WSM znaleziono wpis użytkownika MED3L1N, który chwalił się, że takie urządzenie posiada,
- na jego koncie Flickra znaleziono informację o tym, że jest fanem gier komputerowych,
- na rosyjskim forum znaleziono wyciek haseł graczy zawierający informację o koncie marcosannibale posługującym się hasłem campinas000 i powiązanym z grą Team Fortress 2,
- na forum bitcointalk.org znaleziono wzmiankę o Marcosie Annibale z linkiem do witryny firmy Paxful, która nie zawierała informacji o Marcosie,
- jednak starsza kopia witryny z Archive.org zawierała zdjęcie Marcosa:
- za głową Marcosa widać książkę „Gomorra” autorstwa Roberto Savianodo,
- z kolei na forum WSM użytkownik MED3L1N przyznał, że przeczytał tę książkę i bardzo mu się podobała,
- Marcos w serwisie Paxful używał pseudonimu “banqueiro”,
- konto “banqueiro” znajdowało się w bazie serwisu AlphaBay i miało hasło campinas000 – kojarzycie je może z poprzednich punktów?
Lista zbiegów okoliczności wydaje się wystarczająca, by przekonać sędziego do wydania nakazu aresztowania Marcosa. Może gdyby nie podał swojego domowego adresu policjantom…
Komentarze
Markety obracające milionami dolarów. Góry Basków a jak przychodzi co do czego t oczłowiek pracuje za 600 dolców. No fajnie :)
Dokładnie to samo pomyślałem :) śmieszne
A co mają obroty i zyski marketów do zarobków ciecia? Bo taką funkcję pełnił.
Poza tym ile może dostać za bycie moderatorem? Pół roku w zawiasach?
Już zarobki świadczą, że był nikim w tym markecie.
tyle wysiłku policji, aby złapać, jak to mówisz, „ciecia” xD
no beka w ch*j z policji w takim razie.
chyba, że liczą, że kogoś sypnie, ale kogo może sypnąć „cieć”? xD
Może liczą że jakiś portfel wspólny bitcoin będzie miał ;)
moderator to nie wlasciciel, wlasciciel duzo pewnie zarabial
Moje TORy chodzą w RAM-dysku. Otwarcie szafy z serwerami -> wyłączenie zasilania -> dyski persistent są szyfrowane i podmontowywane ręcznie po starcie.
Jest miejsce na rynku po zamknięciu WSM :-)
Czyli szafe otwieramy szlifierką kontową z boku a koledze ładujemy rządowego trojana. Dziękuję dobranoc.
*kątową
On chyba lepiej wie jakich narządzi używa.
Tej Gomorry to nawet krzywy Ubek nie obejmie. Nie ma za co ;)
600 dolkow? coooooo…?
Właściciele marketu zarabiają miliony, ale to nie znaczy, ze muszą się nimi dzielić z pracownikami. Kapitalizm pełną gębą – są chętni do pracy za 600 dolarów to pracują. W takiej Brazylii, szczególnie w mniejszym mieście, to całkiem dobra pensja.
Czytanie ze zrozumieniem się kłania. 600 dolarów zaoferowała mu policja. We wcześniejszej robocie dostawał 1200, bo taka zaplanowana wypłata wisiała.
W późniejszej ;)
Czyli autor własnego artykułu nie potrafi przeczytać ze zrozumieniem?
Tak dla przypomnienia w Polsce nawet w Warszawie 600 dolarów (2 292 PLN) na czysto to niezłą pensja ( w Polsce żeby tyle dostać do ręki trzeba mieć pensję 3186.28). O tym często zapominają ludzie z Warszawy związani z profesjonalnym IT.
Biorac pod uwage jak kluczowy jest dobry IT-czniak w takim przedsiewzieciu, sadze ze kierowanie sie prostymi zasadami kapitalizmu jest krotkowzroczne. Oczywscie moge sie mylic, bo nigdy takie przesiebiorstwa nie prowadzilem i moze mi sie wydaje :)
Lepsze są oczywiście zasady komunistyczne, czyli nagant przy potylicy lub zakładnicy w postaci rodziny. Dostał pracę bo miał wystarczające kwalifikacje.
Wszystko co posłużyło ci do napisania twojego postu powstało dzięki prostym zasadom kapitalizmu
Skoro twierdzisz, ze zasady komunistyczne sa lepsze to ja nie potrafie z Toba dyskutowac. Matuszka Rosija na pewno chetnie Cie przygarnie.
My dokładnie się przyjrzymy przedsiębiorstwom które Pan prowadził ;)
Przecież on był tylko modem. To nie jakaś wymagająca funkcja, więc 600$ to wcale nie tak mało.
Tak zupełnie poza tematem – Gomorrę napisał Saviano, nie Savianodo ;)
to i tak by byla kwestia czasu jak taki grubas by dostal zawalu. takze namierzanko niepotrzebne.
Drogie z3s, czy planujecie zweryfikować się w Brave Rewards? nie da się Wam ichnich dolarów przesłać.
Przyłączam się do prośby
Co za dekle. Przecież „pracodawcy” rekrutując kogoś niby mało ważnego, ale przez którego cały interes mógłby być narażony (np. policjant modem – bomba), powinni mieć procedurę „hej, wyślemy Ci coś, podaj adres” i jak pacjent poda to odpada – a tu najwidoczniej o czymś takim nie pomyśleli.
Po co niby mają chronić moderatora? Wpadł to jego sprawa, nie ma szans dotrzeć do właścicieli poprzez moderatora.