Jak złapano założyciela ogromnego narkotykowego bazaru w sieci Tor

dodał 20 lipca 2017 o 21:29 w kategorii Wpadki  z tagami:
Jak złapano założyciela ogromnego narkotykowego bazaru w sieci Tor

(źródło: epSos.de)

Dzisiaj o godzinie 16 Europol wspólnie z holenderską policja i amerykańskim Departamentem Sprawiedliwości ogłosiły ogromny sukces – zamknięcie i zatrzymanie właścicieli dwóch największych narkotykowych bazarów.

Trzeba przyznać organom ścigania, że odniosły niekwestionowany sukces. Udało się im jednocześnie zlikwidować dwa największe narkotykowe bazary w sieci Tor, AlphaBay i Hansa Market, a do tego Hansa Market był przez miesiąc w pełni kontrolowany przez holenderską policję, pozwalając na przejęcie kont sprzedawców także w innych serwisach. Do tego zatrzymano osoby odpowiedzialne za prowadzenie obu marketów. Wygląda na to, że przynajmniej w jednym przypadku założyciel popełnił katastrofalne błędy.

AlphaBay i Alexandre Cazes

Kilka dni temu opisywaliśmy tragedię domniemanego założyciela i właściciela AlphaBay, największego i najdłużej działającego narkotykowego marketu w sieci Tor, który, zatrzymany w Tajlandii, popełnił samobójstwo w areszcie. Dzisiaj znamy znacznie więcej szczegółów związanych z jego zatrzymaniem dzięki opublikowaniu aktu oskarżenia.

Według dokumentu prace nad AlphaBay zaczęły się w lipcu 2014 roku. Cazes był głównym założycielem i właścicielem serwisu, kontrolował konta pozostałych uzytkowników i to do niego trafiały zyski z działania sklepu (oparte na prowizji od transakcji). Serwis miał także dedykowanego administratora bezpieczeństwa (DeSnake), dział zwalczania nadużyć, osobę odpowiedzialną za reklamę oraz grono moderatorów. Aby potwierdzić zarzuty, agenci dokonali licznych zakupów narkotyków, fałszywych dokumentów, danych kart płatniczych i skimerów.

Tropem wskazującym na tożsamość założyciela serwisu miał być błąd popełniony w konfiguracji wiadomości z serwera forum. Otóż wg udostępnionych dokumentów w grudniu 2014, na samym początku działania AlphaBay, użytkownicy zakładający konta na forum otrzymywali powiadomienia (z informacją o założeniu konta), w których nagłówkach znaleźć można było adres Pimp_Alex_91@hotmail.com. Również w procesie odzyskiwania zapomnianego hasła wiadomości z forum miały ten sam adres w nagłówkach. Co ciekawe, informacja ta podobno dotarła do organów ścigania dopiero w grudniu 2016 – nie znamy wyjaśnienia tego opóźnienia.

Agenci szybko ustalili tożsamość osoby ukrywającej się za wspomnianym adresem email. W roku 2008 ktoś podpisujący się Alexandre Cazes i używający pseudonimu Alpha02 (takiego samego, jakiego długo używał założyciel AlphaBay) wysłał wiadomość na francuskojęzycznym forum www.commentcamarche.com dotyczącą bezpieczeństwa i podpisał ją tym samym adresem email (tu można znaleźć kopię jego profilu z roku 2008). Dodatkowo ustalili, że Cazes dysponuje małą fortuną i nie widać, skąd czerpie środki na luksusowe życie. Miał co prawda firmę hostingową, ale nie zarabiała ona aż tyle. Adres email był także powiązany z kontem Paypala, z którego z kolei płacono za konto na forum RooshV, gdzie Cazes przechwalał się swoim bogactwem i wiedzą o kryptowalutach. Ten sam adres email figurował także w wielu wyciek baz danych, jak np. LinkedIn, MySPace, Exploit.in. czy 000webhost.

Ile zarabiał właściciel AlphaBay

By ostatecznie potwierdzić, ze trafili na właściwą osobę, agenci nawiązali współpracę z tajskimi służbami i gdy popsuli na chwilę serwery AlphaBay czekali, aż zaloguje się na nie administrator. Wtedy do domu Cazesa wkroczyła policja, która złapała go z otwartym, odszyfrowanym laptopem. A tam, jak możecie się domyślać, było Eldorado:

  • zalogowana sesja użytkownika Admin na AlphaBay,
  • zalogowana sesja użytkownika Admin na forum AlphaBay,
  • zalogowana sesja w serwerowni, gdzie stały maszyny AlphaBay,
  • hasła i inne dane dostępowe do wszystkich serwerów AlphaBay,
  • hasła i inne dane dostępowe do kont z kryptowalutą,
  • plik opisujący majątek Cazesa, podzielony na nieruchomości, pojazdy gotówkę i kryptowaluty o łącznej sumie 23 milionów dolarów,
  • listę kont kryptowaluty wraz z kluczami prywatnymi (!) które pozwoliły organom ścigania na bezproblemowe przejęcie wszystkich kryptowalut wartych ponad 8 milionów dolarów.

Jakie zyski przynosił market? To najlepiej pokazuje dokument opisujący przejęte ruchomości i nieruchomości Cazesa. Na liście możemy znaleźć:

  • Lamborghini Aventador (kupiony za 900 000 dolarów),
  • Porsche Panamera S (kupiony za 292 000 dolarów, którym chwalił się na forum RooshV),
  • Mini Coopera (dla żony, kupiony za 81 000 dolarów),
  • motocykl BMW (kupiony za 21 000 dolarów),
  • dwie nieruchomości w Bangkoku,
  • dwie inne nieruchomości w Tajlandii,
  • nieruchomość na Cyprze (kupioną za 2,3 mln dolarów w celu otrzymania cypryjskiego obywatelstwa),
  • nieruchomość na Antigua i Barbuda (kupioną za 400 000 dolarów, Cazes otrzymał obywatelstwo Antiguy i Barbudy w lutym tego roku),
  • 1605 BTC,
  • 8309 ETH,
  • 3691 ZEC,
  • rachunki bankowe w Tajlandii, Liechtensteinie i Szwajcarii (to ostatnie z saldem 781 000 dolarów),

plus zawartość licznych portfeli z przejętych serwerów.

Hansa Market

Równoległe z oficjalnym ogłoszeniem zamknięcie AlphaBay organy ścigania ogłosiły także, że holenderska policja od miesiąca kontrolowała największą konkurencję AlphaBay, Hansa Market. Użytkownicy, którzy po zamknięciu AlphaBay szukali nowej przystani, trafiali prosto w objęcia holenderskiej policji (ten ciąg wydarzeń był podobno zaplanowany). Obecnie strona Hansa Marketu wygląda następująco:

Trzeba przyznać, ze Holendrzy świetnie trolują klientów sklepu, pisząc „Serwis został przejęty (i był kontrolowany od 20 czerwca)”. Według dostępnych informacji, holenderska policja od miesiąca kontrolowała stronę sklepu i zmodyfikowała kod źródłowy, by rejestrować wszystkie możliwe informacje, w tym także hasła wszystkich użytkowników. Następnie wykorzystała użycie tych samych haseł by przejąć konta sprzedawców w innych serwisach. Co więcej, przejmowała także przelewane bitcoiny, które trafiały na konto prokuratury prowadzącej sprawę. To oznacza, ze klienci sklepu, składając zamówienia, de facto finansowali śledztwo przeciwko sobie. Śledztwo zidentyfikowało podobno 10 000 adresów klientów i sprzedawców, które zostały (lub wkrótce zostaną) przekazane organom ścigania w innych krajach.

Holenderska policja ma także swoją stronę w sieci Tor, gdzie nie tylko wymienia złapanych sprzedawców, ale także zamieściła zestaw pytań i odpowiedzi dotyczących zamknięcia Hansa Marketu. Wśród nich można znaleźć taki fragment:

Have you de-anonymized TOR?

No. But if we would have, we wouldn’t tell you ;).

czyli

Czy zdeanonimizowaliście TORa?

Nie. Ale gdybyśmy to zrobili to byśmy Wam nie powiedzieli ;)

Tym komentarzem zakończmy kolejną edycję wpadek i porażek twórców narkotykowych bazarów.

Jeśli lubicie takie historie, to dwie poprzednie odsłony to:

Aktualizacja 2017-07-20 23:00

Co bardzo ciekawe, już 11 dni temu (!) na Reddicie jeden z użytkowników poinformował, że Hansa jest prowadzona przez organy ścigania. Ten sam użytkownik dorzucił dzisiaj informację, że ten sam los spotkał nadał działający Dream Market, największy z pozostałych serwisów.