Jak wpadł założyciel Kickass Torrents, zatrzymany wczoraj na Okęciu

dodał 21 lipca 2016 o 11:03 w kategorii Wpadki  z tagami:
Jak wpadł założyciel Kickass Torrents, zatrzymany wczoraj na Okęciu

Polska Straż Graniczna zatrzymała wczoraj na Okęciu Artema Vaulina, oskarżanego o prowadzenie największego obecnie serwisu torrentowego w sieci, Kickass Torrents (KAT). Historia jego namierzenia jest warta uwagi.

Po burzliwych przejściach legendarnego ThePirateBay to właśnie KickassTorrents przejął pałeczkę pierwszeństwa na scenie torrentowej. Nie umknęło to uwagi amerykańskich śledczych, którzy dzięki szeroko zakrojonym poszukiwaniom zlokalizowali założyciela serwisu i wysłali za nim list gończy. Trzydziestoletni Ukrainiec Artem Vaulin został zatrzymany wczoraj w Warszawie w trakcie kontroli granicznej na Okęciu. Dzięki aktowi oskarżenia wiemy, że w namierzeniu Vaulina pomogły dane z rekordów DNS oraz otrzymane od Apple, Facebooka i Coinbase.

Dobry biznes trudno ukryć

KAT było 69 najczęściej odwiedzanym serwisem internetowym na świecie. Miesięcznie zaglądało tam ok. 50 milionów internautów. Biznes o tej skali, z przychodami z reklam sięgającymi milionów dolarów, bez wątpienia nie jest prosty do ukrycia. Trzeba między innymi obsługiwać klientów chcących reklamować się w serwisie – i od tego śledczy zaczęli swoją pracę. Pod koniec roku 2015 agenci założyli fałszywą stronę reklamującą studia w USA i skontaktowali się z administracją serwisu by zlecić jej reklamę. Po wymianie kilku emaili agenci dostali ofertę – 300 dolarów dziennie za link – oraz numer rachunku w łotewskim banku należący do firmy GA Star Trading Ltd z Belize.

Reklama agentów

Reklama agentów

Agenci zapłacili, reklama ukazała się na 5 dni. Wkrótce zamówili kolejną, tym razem otrzymując dane rachunku należącego do brytyjskiej spółki w banku estońskim. Dane z banku łotewskiego, które udało się otrzymać agentom, wskazały, że w ciągu 7 miesięcy na konto to wpłynęło 28 milionów EURO, najwyraźniej pochodzących z opłat za reklamy w serwisie.

Od DNSa do Facebooka i Apple

Oczywiście rachunki bankowe nie były jedynym kierunkiem pracy śledczych.  Sięgnęli też do nieocenionych historycznych rekordów DNS. Agenci odkryli, że jedna z pierwszych domen KAT, www.kickasstorrents.biz, została zarejestrowana przez Artem Vaulina na jego własne dane, wraz z adresem w Charkowie, numerem telefonu oraz adresem email admin@yabloggy.com. Taką samą historię miały także domeny www.kickasstorrents.org oraz www.kickasstorrents.info. Wszystkie te domeny zostały także opłacone przez tą samą osobę.

Dzięki danym Vaulina udało sie zlokalizować jego konto Apple – tirm@me.com. Zarejestrował je na identyczne dane jak domeny KAT. Konto zostało oczywiście dokładnie przejrzane przez agentów, którzy znaleźli tam między innymi kopię paszportu Vaulina, jego prawa jazdy oraz setki emaili związanych z prowadzeniem jego serwisu torrentowego. Za pomocą tego konta między innymi zgłaszał błędy, rozwiązywał problemy związane z administracją, śledził także pozycję serwisu w rankingu Alexa.

Kolejny kierunek śledztwa objął serwisy społecznościowe. Ustalono, że oficjalne konto serwisu na Facebooku to official.KAT.fanclub. Na koncie Apple znaleziono również transakcję Vaulina z iTunes z 31 lipca 2015 z adresu IP 109.86.226.203. Z tego samego adresu IP tego samego dnia logowano się na… oficjalne konto KAT na Facebooku. 9 grudnia 2015 inny zakup na iTunes wykonano dla odmiany z adresu IP 78.108.181.81 z którego tego samego dnia zalogowano się na to samo konto na Facebooku.

Dzięki nieocenionemu serwisowi archive.org agentom udało się trafić na wersję strony z roku 2010, która wymieniała zespół stojący za serwisem – w tym wskazywała, że właścicielem jest niejaki tirm. Strona została potem usunięta, lecz z internetu nic nie ginie…

Opis kadry KAT

Opis kadry KAT

Kolejnym wyraźnym tropem było konto BTC, na które KAT przyjmował darowizny. Z konta tego wszystkie środki transferowane były na konto w serwisie Coinbase, założone na prawdziwe dane Vaulina, wraz z jego adresem i numerem telefonu – identycznymi jak w przypadku rejestrowanych domen. Oczywiście na konto w Coinbase logował się z tych samych adresów IP co na konto KAT na Facebooku.

Agenci ustalili także adresy IP serwerów obsługujących stronę. Co ciekawe, stały one w serwerowni w USA, niedaleko Chicago. Agenci uzyskali obrazy dysków tych serwerów, gdzie znaleźli między innymi logi sesji SSH oraz dane niektórych użytkowników. Kolejne serwery znaleziono także w Kanadzie i również stamtąd pozyskano obrazy ich dysków do analizy. W pliku passwd znaleziono konto o pseudonimie nike. Przez przypadek był to również pseudonim używany przez Vaulina w komunikatorze Apple. Z kolei w logach SSH roota znaleziono adresy IP, które idealnie pokrywały się z logowaniami do skrzynki pocztowej tirm@me.com oraz z logowaniami do konta w Coinbase.

Podsumowanie

Przy takiej liczbie odkryć i powiązań trudno było Vaulina nie namierzyć. Nie wiemy co przyświecało człowiekowi, który grał na nosie amerykańskiemu przemysłowi rozrywkowemu, by wszystkie swoje dane trzymać na serwerach amerykańskich firm. Być może długi czas bezkarności (serwis działał 7 lat) osłabił jego instynkt samozachowawczy, doprowadzając do finału na warszawskim lotnisku. Vaulina czeka pewnie ekstradycja do USA oraz zarzuty o naruszenie własności intelektualnej oraz pranie brudnych pieniędzy. Niektóre mirrory KAT jeszcze działają, ale raczej długo nie pociągną…