21.07.2016 | 11:03

Adam Haertle

Jak wpadł założyciel Kickass Torrents, zatrzymany wczoraj na Okęciu

Polska Straż Graniczna zatrzymała wczoraj na Okęciu Artema Vaulina, oskarżanego o prowadzenie największego obecnie serwisu torrentowego w sieci, Kickass Torrents (KAT). Historia jego namierzenia jest warta uwagi.

Po burzliwych przejściach legendarnego ThePirateBay to właśnie KickassTorrents przejął pałeczkę pierwszeństwa na scenie torrentowej. Nie umknęło to uwagi amerykańskich śledczych, którzy dzięki szeroko zakrojonym poszukiwaniom zlokalizowali założyciela serwisu i wysłali za nim list gończy. Trzydziestoletni Ukrainiec Artem Vaulin został zatrzymany wczoraj w Warszawie w trakcie kontroli granicznej na Okęciu. Dzięki aktowi oskarżenia wiemy, że w namierzeniu Vaulina pomogły dane z rekordów DNS oraz otrzymane od Apple, Facebooka i Coinbase.

Dobry biznes trudno ukryć

KAT było 69 najczęściej odwiedzanym serwisem internetowym na świecie. Miesięcznie zaglądało tam ok. 50 milionów internautów. Biznes o tej skali, z przychodami z reklam sięgającymi milionów dolarów, bez wątpienia nie jest prosty do ukrycia. Trzeba między innymi obsługiwać klientów chcących reklamować się w serwisie – i od tego śledczy zaczęli swoją pracę. Pod koniec roku 2015 agenci założyli fałszywą stronę reklamującą studia w USA i skontaktowali się z administracją serwisu by zlecić jej reklamę. Po wymianie kilku emaili agenci dostali ofertę – 300 dolarów dziennie za link – oraz numer rachunku w łotewskim banku należący do firmy GA Star Trading Ltd z Belize.

Reklama agentów

Reklama agentów

Agenci zapłacili, reklama ukazała się na 5 dni. Wkrótce zamówili kolejną, tym razem otrzymując dane rachunku należącego do brytyjskiej spółki w banku estońskim. Dane z banku łotewskiego, które udało się otrzymać agentom, wskazały, że w ciągu 7 miesięcy na konto to wpłynęło 28 milionów EURO, najwyraźniej pochodzących z opłat za reklamy w serwisie.

Od DNSa do Facebooka i Apple

Oczywiście rachunki bankowe nie były jedynym kierunkiem pracy śledczych.  Sięgnęli też do nieocenionych historycznych rekordów DNS. Agenci odkryli, że jedna z pierwszych domen KAT, www.kickasstorrents.biz, została zarejestrowana przez Artem Vaulina na jego własne dane, wraz z adresem w Charkowie, numerem telefonu oraz adresem email [email protected]. Taką samą historię miały także domeny www.kickasstorrents.org oraz www.kickasstorrents.info. Wszystkie te domeny zostały także opłacone przez tą samą osobę.

Dzięki danym Vaulina udało sie zlokalizować jego konto Apple – [email protected]. Zarejestrował je na identyczne dane jak domeny KAT. Konto zostało oczywiście dokładnie przejrzane przez agentów, którzy znaleźli tam między innymi kopię paszportu Vaulina, jego prawa jazdy oraz setki emaili związanych z prowadzeniem jego serwisu torrentowego. Za pomocą tego konta między innymi zgłaszał błędy, rozwiązywał problemy związane z administracją, śledził także pozycję serwisu w rankingu Alexa.

Kolejny kierunek śledztwa objął serwisy społecznościowe. Ustalono, że oficjalne konto serwisu na Facebooku to official.KAT.fanclub. Na koncie Apple znaleziono również transakcję Vaulina z iTunes z 31 lipca 2015 z adresu IP 109.86.226.203. Z tego samego adresu IP tego samego dnia logowano się na… oficjalne konto KAT na Facebooku. 9 grudnia 2015 inny zakup na iTunes wykonano dla odmiany z adresu IP 78.108.181.81 z którego tego samego dnia zalogowano się na to samo konto na Facebooku.

Dzięki nieocenionemu serwisowi archive.org agentom udało się trafić na wersję strony z roku 2010, która wymieniała zespół stojący za serwisem – w tym wskazywała, że właścicielem jest niejaki tirm. Strona została potem usunięta, lecz z internetu nic nie ginie…

Opis kadry KAT

Opis kadry KAT

Kolejnym wyraźnym tropem było konto BTC, na które KAT przyjmował darowizny. Z konta tego wszystkie środki transferowane były na konto w serwisie Coinbase, założone na prawdziwe dane Vaulina, wraz z jego adresem i numerem telefonu – identycznymi jak w przypadku rejestrowanych domen. Oczywiście na konto w Coinbase logował się z tych samych adresów IP co na konto KAT na Facebooku.

Agenci ustalili także adresy IP serwerów obsługujących stronę. Co ciekawe, stały one w serwerowni w USA, niedaleko Chicago. Agenci uzyskali obrazy dysków tych serwerów, gdzie znaleźli między innymi logi sesji SSH oraz dane niektórych użytkowników. Kolejne serwery znaleziono także w Kanadzie i również stamtąd pozyskano obrazy ich dysków do analizy. W pliku passwd znaleziono konto o pseudonimie nike. Przez przypadek był to również pseudonim używany przez Vaulina w komunikatorze Apple. Z kolei w logach SSH roota znaleziono adresy IP, które idealnie pokrywały się z logowaniami do skrzynki pocztowej [email protected] oraz z logowaniami do konta w Coinbase.

Podsumowanie

Przy takiej liczbie odkryć i powiązań trudno było Vaulina nie namierzyć. Nie wiemy co przyświecało człowiekowi, który grał na nosie amerykańskiemu przemysłowi rozrywkowemu, by wszystkie swoje dane trzymać na serwerach amerykańskich firm. Być może długi czas bezkarności (serwis działał 7 lat) osłabił jego instynkt samozachowawczy, doprowadzając do finału na warszawskim lotnisku. Vaulina czeka pewnie ekstradycja do USA oraz zarzuty o naruszenie własności intelektualnej oraz pranie brudnych pieniędzy. Niektóre mirrory KAT jeszcze działają, ale raczej długo nie pociągną…

Powrót

Komentarze

  • 2016.07.21 11:35 Sebastian

    Chwila, prowadzenie serwisu nie hostującego płatnych treści to przestępstwo?

    Odpowiedz
    • 2016.07.21 13:01 niki

      No tak.
      Poczytaj sobie o przygotowywanej ustawie anty-hazardowej.
      Redaktorzy Dziennika Internautów mieli zagwozdkę,
      czy wspominanie o tym, że inny serwis wspomniał,
      o stronach mogących być objętymi listą stron blokowanych,
      ich samych kwalifikuje do umieszczenia na liście.

      Paranoja to mało powiedziane :)

      Odpowiedz
      • 2016.07.22 11:19 edfa

        Ciekawe czy ta ustawa antyhazardowa jest zgodna z niedawnym wyrokiem TE wskazującemu, że prezentacja odnośnika do lewych treści nie jest przestępstwem.

        Odpowiedz
      • 2016.07.22 13:28 123

        „Przygotowywana” oznacza, że jeszcze nie obowiązuje.

        Odpowiedz
    • 2016.07.21 13:26 Anonim niezarejestrowany

      Pranie brudnej kasy to ciężkie przestępstwo ścigane priorytetowo na całym świecie.
      Po prostu mieszkał w kraju, ktory do niedana był rządzony przez czerwonych. A oni nie wydaliby jakiegoś admina torrentowego wrogiemu USA. A wpadł pewnie dlatego, że przyjechał w odwiedziny do kogoś z rodziny, ktorzy pracowali w PL. W końcu mamy u siebie już ponad milion Ukraińców, a pewnie drugie tyle nielegalnie przebywających.

      Odpowiedz
      • 2016.07.21 15:28 X

        A teraz kto rządzi? Może patrioci xD ?

        Odpowiedz
      • 2016.07.21 18:12 Przemeq

        Nie musiał jechać DO Polski jak „wielu Ukraińców”. Ja raczej sądzę, że leciał z przesiadką w Polsce i tu miał odprawę paszportową do strefy Schengen, podczas której go namierzyli.

        Wielu Ukraińców lata w świat przez Warszawę 8-).

        Odpowiedz
    • 2016.07.22 09:44 m__b

      Tak. Od jakiegoś czasu rżnięcie głupa nie chroni przed odpowiedzialnością.

      Odpowiedz
  • 2016.07.21 11:42 Agent

    KAT [*] Wpisujcie miasta

    Odpowiedz
    • 2016.07.21 14:56 adam

      Wrocław [*]

      Odpowiedz
    • 2016.07.21 23:55 anon

      mirrory działają nadal kat.al

      Odpowiedz
    • 2016.07.22 00:12 Janusz

      Goździelin

      Odpowiedz
    • 2016.07.22 08:31 kab00m

      Sosnowiec [*]

      Odpowiedz
    • 2016.07.22 12:30 Jasiu

      A dlaczego mam wpisać miasto?
      Co to ma na celu?
      I jakiego miasta nazwę mam wpisać?
      Czy można więcej niż jedno?

      Co oznacza [*]?
      Jakaś informacja drobnym drukiem?
      Gdzie ją znajdę?

      Odpowiedz
      • 2016.08.12 16:39 SuperTux

        [*] = znicz.

        Odpowiedz
    • 2016.07.28 10:27 pytajnik

      Singapour [<3]

      Odpowiedz
    • 2016.07.30 13:24 CZesiu & Krysia

      Czesiu z Wietnamu & Krysia z Kambodży

      Odpowiedz
  • 2016.07.21 12:52 niki

    Jak zacząłem czytać w ilu miejscach facet się odsłonił, to zgięło mnie w pół ze śmiechu.
    Z jednej strony gratulacje dla śledczych, ale co zrobić gdy nie będzie dostępnego adresu, nr telefonu, skanu paszportu, aktualnego zdjęcia z Facebooka.
    Przecież równie dobrze mógł zarejestrować i prowadzić biznes za pomocą „słupów”, finanse przedsiębiorstwa oprzeć na Bitcoin, komunikować się z podwładnymi za pomocą TOR czy innego ustrojstwa.

    Coś mi się zdaje że po zastosowaniu przez władze doraźnej terapii na jednostkowym przypadku,(pokazali czego unikać) kolejne pokolenie będzie bardziej odporne.
    Czeka nas cyfrowa era postantybiotykowa?

    Odpowiedz
    • 2016.07.21 15:30 Michal

      I teraz rob to codziennie przez 7 lat, w koncu opuscil garde.

      Odpowiedz
    • 2016.07.22 11:24 edfa

      mnie to też zastanawia co on nawyrabiał. przy takiej kasie to już mógł wszystko przeprać przez jakiś raj podatkowy, a kasę wyciągać w bitcoinach. ewentualnie konto transferowe mógł zrobić na słupa przez kogoś wynajętego. jakiś biedak by się pewnie ucieszył że go stać codziennie na nowe wino. mnie nie tyle zgięło, co się mocno zdziwiłem jak tak można skoro już sie wziął za lewiznę.
      jest trochę kwas z kanadyjskimi serwerami, ale …. pod pewnymi warunkami jest to dopuszczalne, ale gościu tych warunków nawet nie starał się spełnić.
      grunt to słup, jakiś menel. co mu zrobią? dadzą mu pryczę i żarcie za kratami? to chyba lepsze od tułania się.

      Odpowiedz
    • 2016.07.22 17:01 asa

      Pomijacie jeden istotny element. Wydały go HISTORYCZNE dane z serwerów DNS w pierwszej kolejności – zakładał pierwsze domeny na prawdziwe dane w czasach gdy strony z torrentami nie były żadnym przestepstwem. Na pewno tez nie spodziewal się ze odniesie taki sukces na przestrzeni 7 lat i to było główna przyczyną jego złapania – dostali dane na tacy z whois.
      Nawet jeśli facebook i apple czy coinbase nie dorzucili się swoimi danymi, to i tak mieliby pełne jego dane. Prawdopodobnie wszczeliby obserwację jego osoby (ustalenie kto jest jego ISP, podsłuch łącza, korelacja).
      Nie mówcie więc że TOR i BTC by go uchroniły, skoro na samym początku przedstawił się światu prawdziwymi danymi rejestrujac pierwsze domeny KAT.
      Jest to dobra lekcja dla każdego adepta nielegalnej działalności w internecie – od samego początku udawaj nieistniejącą osobę, korzystaj z TORa i VPNów oraz BTC (z jakimś mixerem po drodze, a nie jak on – bezpośrednio z jednego, publicznie znanego adresu BTC przesyłał je do coinbase, rowniez zalozone na swoje prawdziwe dane i to w milionach euro).
      Szkoda kat.cr [*]

      Odpowiedz
  • 2016.07.21 13:00 BadA$$

    Ja nie rozumiem jak można administrować takim serwisem bez tak podstawowej sprawy jak jakiś szyfrowany VPN+tunel SSL…

    Odpowiedz
  • 2016.07.21 13:46 wolvverine

    Nie można dokonać ekstradycji jeśli w Polsce czyny o jakie jest oskarżony nie są przestępstwem. Więc pytanie czy według prawa PL popełnił on przestępstwo.

    Odpowiedz
    • 2016.07.21 14:09 gosc

      @wolvverine Z samego KAT pewnie się wybroni, ale pranie pieniędzy jest w Polsce karane, więc nie powinno być problemów z ekstradycją.

      Odpowiedz
      • 2016.07.22 01:03 Andrew

        No, ale czy prał pieniądze to muszą mu udowodnić najpierw nie? Jakim prawem RP może zgodzić się na ekstradycję skoro winę trzeba najpierw udowodnić, jakie pranie kasy, jakie dowodowy na to mają, bo mi to wygląda na dowalanie bzdurnego zarzutu przyklepanego przez lobby RIAA co by dla innych był „przykładem”.

        Odpowiedz
        • 2016.07.22 06:43 Adam

          Przeczytaj akt oskarżenia, dowodów nie brakuje.

          Odpowiedz
          • 2016.07.26 12:04 Maciej

            czy ja dobrze rozumiem, otworzyl nielegalny biznes na wlasne imie i nazwisko ?

    • 2016.07.22 01:23 3mortis

      Nie można dokonać ekstradycji jeśli w Polsce czyny o jakie jest oskarżony nie są przestępstwem.

      ale to dotyczy chyba tylko obywateli polskich. Nie ma sie co bawic bo watpie czy ukraina za naszym obywatelem by sie postawila usa

      Odpowiedz
  • 2016.07.21 13:48 tgjz

    Te wpisy we whois dnsowym to przegięcie i amatorka. Pozamiatane już w tym momencie było

    Odpowiedz
  • 2016.07.21 14:08 Art

    Czy tylko ja mam wrażenie, że się z nim pieścili? Od pierwszego strzału (konto bankowe) mieli jego pełne dane. Nie wiem jak to się ma na Ukrainie/Łotwie, ale wystarczyło poprosić o odprowadzenie podatku od tych milionów :-)

    Odpowiedz
    • 2016.07.22 01:25 3mortis

      Nigdy nie wiesz kiedy na koncu okaze sie ze aresztowales podstawionego slupa

      moze mysleli ze to zbyt piekne zeby tak po prostu podal wszedzie swoje dane

      Odpowiedz
    • 2016.07.22 05:27 Vlad

      Pieścili? – możliwe… niektórzy tak nazywają „dokładne obsmażanie” żeby się cały kotlet nie rozpadł podczas rozprawy na (jak to często bywa) jakiejś durnej pierdółce

      Odpowiedz
    • 2016.07.22 07:08 Ukulele

      Nie mieli na niego haka. Za samo prowadzenie strony torrentowej nie mogli go oskarzyc, bo na Ukrainie to nie jest przestepstwem. Ale pranie brudnych pieniedzy przez reklamy juz tak.
      Gdyby tylko zyl z darowizn bitcoinowych to nic by mu nie mogli zrobic, bo prawo amerykanskie nie dziala na calym swiecie.

      Odpowiedz
      • 2016.07.22 07:11 Adam

        Z darowizn BTC to by długo nie pożył :)

        Odpowiedz
  • 2016.07.21 14:32 eel

    Dziwicie się w komentarzach, że nie wyobrażacie sobie jak można nie dbać o bezpieczeństwo itd.

    Zobaczcie jakie kwoty przewijają się w artykule. To jest gruby biznes z nieopodatkowanymi zyskami na czysto. Mając takie pieniądze z automatu uzyskuje się dostęp do najlepszych prawników.

    Paradoksalnie on mógł od długiego czasu czekać na aresztowanie bo od teraz biegnie jego „oczyszczenie” a więzienie, nawet kilkuletnie, jest wliczone w koszt takiej działalności.

    Przy dobrej obronie wyjdzie za kilka lat i będzie wolnym, bardzo bogatym człowiekiem.

    Odpowiedz
    • 2016.07.22 08:11 kompadre

      W USA przestępstwa na tle finansowym są najgorzej karane… Raczej bym nie liczył na 7 lat, tylko na 50… Plus oczywiście zajęcie całego majątku i zarządzenie zadośćuczynienia za poniesione straty przez wytwórnie i artystów.

      Odpowiedz
    • 2016.07.26 12:06 Maciej

      Taaaaaa? To powiedz to zalozycielowi silkroad ktory ma kase….

      Odpowiedz
  • 2016.07.22 00:14 ja

    Uniewinnij pedofila bo jest sławnym reżyserem, skaż człowieka który nawet nie ma zarzutów na terenie polski, mój kraj taki piękny.

    Odpowiedz
  • 2016.07.22 07:04 Ja

    Ciekawe, ciekawe. Dużo łuczy :-)

    Odpowiedz
  • 2016.07.22 08:09 Kamil

    Co się stało z polskim torrenty.org? To samo?

    Odpowiedz
  • 2016.07.22 09:51 aw43

    Zapewne już w .UA mieli na niego list tylko przyszli 'panowie garniturach os smutnych twarzach’ (via kamraci naszego nieodżałowanego mecenasa sztuki i patrioty przedwcześnie opuściwszy ludzki padół w klinice na skutek problemów pooperacyjnych) i dali mu wybór kasiura i wypad (zapewne za momencik by go wydali usa’f ewent….). Wybrał swoją opcje… #politicalfiction

    Odpowiedz
  • 2016.07.22 10:14 Przemko

    A wszystko przez to że nie płacił podatków, co za bęcwał. Siedem grzechów głównych nieprzypadkowo tak się nazywa.

    Odpowiedz
  • 2016.07.22 10:18 Filystea

    Fajnie jakby go nie wydali, jebać USA i cały biznes. Piractwo ok. ;-)

    Odpowiedz
  • 2016.07.22 12:32 Jasiu

    Jak lubisz wolontariat, to zapraszam to mojej firmy. Z dziką rozkoszą „zatrudnię” kogoś takiego. Proste prace, z całą pewnością dasz radę…

    Odpowiedz
  • 2016.07.22 13:31 123

    Na podstawie jakich przepisów Łotysz mógł zostać wydany?

    Odpowiedz
  • 2016.07.22 14:20 Daro

    Heh, serwis Torrentowy na amerykańskich serwerach. Muszę przyznać, że koleś ostro pogrywał sobie z władzami USA. Gdyby takie serwery miał w Chinach dzisiaj byłby ciągle bezkarny. Co ważne, w takiej sytuacji powinien korzystać z VPN i nie łączyć maili w Apple lub kont na FB ze swoim prywatnym komputerem.

    Jedno jest pewne, że pieniądze z reklam nie będą pochodzić z przestępstwa bo faktycznie taką usługę świadczył. Grozi mu raczej kara finansowa lub więzienie za dystrybucję treści i naruszanie własności intelektualnej amerykańskich korporacji.

    Ciekaw jestem.. czy polskie służby też walczyłyby o praworządność wobec własności intelektualnej polskich przedsiębiorców. Śmiem ze swojego doświadczenia powiedzieć, że nie.

    Odpowiedz
  • 2016.07.22 18:22 Albojaalbooni

    Pranie brudnych pieniędzy ? Brał pieniądze za reklamy ! Nie on udostępniał pliki tylko ludzie . To za co go złapali ???

    Odpowiedz
    • 2016.08.02 11:11 macieJ

      pewnie mu przypna pare lewych oskarzen jak pranie zeby poszedl dluzej do paki

      Odpowiedz
  • 2016.07.23 01:46 a

    A jak wyjdzie z więzienia to wszytskie filmy zaktóre posiedzi, będą już w domenie publicznej :)

    Odpowiedz
    • 2016.07.23 13:35 kez87

      O ile będzie wtedy istniała jeszcze „domena publiczna”

      Odpowiedz
    • 2016.07.23 14:49 Anonim niezarejestrowany

      Hehe ;)

      Odpowiedz
  • 2016.07.23 11:10 Artur

    Co to są mirrory? Chodzi o lustra? :-P

    Odpowiedz
    • 2016.08.12 16:46 SuperTux

      Trochę tak. Odbicia lustrzane strony na innym serwerze i domeny (w tym wypadku mirrory KAT-a).

      Odpowiedz
  • 2016.07.23 19:11 Janek

    No na oko gościu był słupem. Z gatunku lepszych tj. wyciągneli go z jakiegoś szamba (np. był tuż przed odstrzeleniem łba), mają jego rodziców/rodzeństwo itd. i powiedzieli „Ty to będziesz dla nas robił, a my Cię _na_razie_ nie stukniemy.” Facet się zgodził, pożył na kredyt siedem lat, teraz odsiedzi z 30 lat w USA. Ale to lepiej niż gryźć piach.

    Czy mam rację? Wskaże to ile kasy odzyskają – jeśli mniej niż 20% to on był słupem (lub ryzykantem… i liczy na wyrok 50% to się mylę…

    Odpowiedz
    • 2016.07.23 23:59 Przemko

      20% od jakiej sumy, jak wyliczonej?

      Odpowiedz
  • 2016.07.24 22:27 Damian

    Powstała petycja o prawo łaski wobec osoby zidentyfikowanej jako właściciel KAT i w ten sposób nie wydanie zgody na jego ekstradycję.
    https://secure.avaaz.org/pl/petition/Prezydent_Rzeczypospolitej_Polskiej_Andrzej_Duda_Prosba_o_zastosowanie_prawa_laski_wobec_Artioma_Waulina/

    Odpowiedz
    • 2016.08.01 11:53 PlagueLord

      Petycja słuszna, ale uzasadnienie słabe, w takiej formie raczej nie przejdzie.

      Odpowiedz
  • 2016.07.25 00:12 NickOver

    Mógłby mnie ktoś uświadomić w jaki sposób złamał prawo? Ok, rozumiem nie odprowadzał podatku ale to powinni go ścigać ukraincy. A posiadanie strony to raczej nie przestępstwo. Nie było na niej żadnych nielegalnych plików, więc nie rozumiem.

    Odpowiedz
    • 2016.07.26 01:40 Przemko

      Prostytucja w Polsce nie jest nielegalna ani karalna, a jednak alfonsów się zamyka. Ciekawe, nie?

      Odpowiedz
      • 2016.07.26 11:27 Arek

        Wcale nie. Prostytucja wg prawa jest ok i osoby parające się tym zajęciem (czy dla zysku, czy z przyjemności) chodzą wolne, natomiast stręczycielstwo (nakłanianie innych osób do prostytucji) już jest uznane za działanie karalne w pl. Więc nie myl pojęć. Pozdrawiam.

        Odpowiedz
      • 2016.07.29 23:44 Aras

        bo bycie alfonsem jest karalne. Czego tu nie łapiesz ?

        Odpowiedz
  • 2016.07.29 23:43 Aras

    Zaraz zaraz… od kiedy to internet w całości podlega jurysdykcji USA ??? Facet jest Ukraińcem, tam też mieszka i stamtąd prowadził swój interes. Z USA nie miał absolutnie nic wspólnego, więc z jakiej paki polskie kundelki zatrzymały gościa, który nie popełnił przestępstwa ani w PL ani w USA ?

    Odpowiedz
    • 2016.08.01 11:55 PlagueLord

      Prawo służy silniejszym. Czyżby to była jakaś nowość?

      Odpowiedz
    • 2016.08.11 21:36 Przemko

      Aras, w pierwszym akapicie masz link do pdf z aktem oskarżenia, tam jest wszystko wyjaśnione.

      Odpowiedz

Zostaw odpowiedź do Jasiu

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak wpadł założyciel Kickass Torrents, zatrzymany wczoraj na Okęciu

Komentarze