09.07.2015 | 21:34

Adam Haertle

Narkotyki, keyloggery i kontenery czyli mafijne opowieści z portu w Antwerpii

Dwóch konsultantów ds. bezpieczeństwa hakowało na zlecenie mafii komputery firm spedycyjnych w antwerpskim porcie. Przeczytajcie jak informatycy wpadli najpierw w sidła mafii, a potem w ręce organów ścigania.

Antwerpia jest ulubionym portem importerów owoców z Ameryki Południowej. Jest także ulubionym portem importerów kokainy z Ameryki Południowej. To sprawia, że mafia ciągle szuka nowych sposobów uprowadzania przypływających statkami kontenerów, a w coraz bardziej zinformatyzowanym świecie musi sięgać po pomoc specjalistów.

Nowe technologie w służbie starej przestępczości

Od wielu lat przemytnicy narkotyków stosują prosty mechanizm transportu kokainy do Europy. W portach Ameryki Południowej przekupieni pracownicy pozwalają na dołożenie dodatkowego towaru do cudzych kontenerów, które trzeba potem już tylko odebrać z portu w Antwerpii zanim zrobi to ich właściciel. Tradycyjnie najprostszą metodą zdobycia cudzego kontenera było przekupienie pracowników portowych, jednak po kilku udanych akcjach organów ścigania pracownicy stali się mniej skorzy do współpracy. Przestępcy musieli znaleźć inny sposób.

Port w Antwerpii

Port w Antwerpii

By odebrać w Antwerpii kontener wystarczy dysponować dwoma elementami układanki – ciągnikiem, na który można go załadować oraz 9-cyfrowym kodem, który należy podać w terminalu. O ile o ciągnik nie jest trudno, o tyle kod stanowi dobrze chronioną tajemnicę i jest w posiadaniu firmy spedycyjnej oraz odbiorcy końcowego. Wobec powszechnej komputeryzacji systemów spedycyjnych przemytnicy musieli znaleźć sposób na wydobycie ich z aplikacji spedytorów.

Keyloggery i inne zabawki

Pojawiające się w okolicach portu porzucone, otwarte kontenery zaczęły sugerować policji, że przemytnicy znaleźli nowy sposób na ominięcie systemów bezpieczeństwa portu. Dopiero jesienią 2012 organy ścigania natrafiły na pierwszy ciekawy trop. Wtedy to pracownicy linii kontenerowej Mediterranean Shipping (MSC) zaczęli skarżyć się na to, że ich komputery zaczęły się dziwnie zachowywać – czas między naciśnięciem klawisza a pojawieniem się znaku na ekranie znacznie się wydłużył. Wezwani na pomoc technicy znaleźli w komputerach keyloggery wpinane między wtyczkę klawiatury a port komputera oraz listwy zasilające i inne urządzenia będące w rzeczywistości zaawansowanymi narzędziami monitorującymi ruch sieciowy. MSC wynajęła zespół ds. analiz powłamaniowych firmy PwC który ustalił, że celem atakujących były numery służące do odbioru kontenerów z portu.

Urządzenia schowane w listwie (źródło: BBC)

Urządzenia schowane w listwie (źródło: BBC)

Policja skontaktowała się z innymi firmami  i co najmniej dwie z nich, CSAV i DP World, odkryły podobne urządzenia w swoich biurach. Analiza nagrań z kamer bezpieczeństwa pokazała, że kilka dni wcześniej na parkingu pod jedną z firm kierowca Subaru Impreza przez dłuższy czas manipulował anteną kierunkową, co skojarzono z funkcją łączności WiFi w urządzeniach podsłuchowych. Tym kierowcą okazał się być Davy Van De Moere.

Konsultanci do wynajęcia

Davy Van De Moere oraz Filip Maertens, jego dobry przyjaciel, poznali się gdy jeden zhakował serwer drugiego. Rozliczyć się mieli na szkolnym podwórku, ale do bójki nie doszło, ponieważ okazało się, że mają wspólne hobby – bezpieczeństwo komputerowe. W wieku 18 lat zostali założycielami kanału Securax, swojego czasu najpopularniejszego miejsca spotkań belgijskich hakerów. Obaj koledzy zyskali uznanie społeczności, pojawiali się w mediach aż w końcu zostali zatrudnieni przez dużą firme konsultingową.

Ich kariery toczyły się potem różnymi drogami. W roku 2011 Davy był dyrektorem IT w firmie programistycznej a Filip pracował na własną rękę przy dużych projektach IT i próbował rozkręcić swój startup. Znajomi przedstawili go potencjalnemu inwestorowi, tureckiemu przedsiębiorcy działającemu w Rotterdamie. Inwestor okazał się być zainteresowany biznesem i zadeklarował wsparcie w kwocie miliona euro. Po kilku miesiącach negocjacji zainteresowanie Turka przygasło, jednak przedstawił Filipowi swojego rodaka, który prowadził sklep ze sprzętem podsłuchowym.

Nowy znajomy był bardzo zainteresowany tajnikami  podsłuchów informatycznych. Filip, który w ramach swojej działalności prowadził również szkolenia z bezpieczeństwa IT, zaczął udzielać Turkowi lekcji hackingu. Kiedy ten poprosił go o dostarczenie urządzenia podsłuchowego Pwnie, Filip zaczął grać na zwłokę. Po pewnym czasie jego niedoszły inwestor zaprosił go na spotkanie, na którym obecny był również jego uczeń. Filip usłyszał od swoich nowych przyjaciół, że powinien być bardziej pomocny i został pobity w ramach demonstracji potencjalnych konsekwencji braku współpracy.

Filip poprosił o pomoc Davy’ego. Na następne spotkanie pojechali już razem. Od swoich tureckich znajomych usłyszeli, że phishing na pracowników firm spedycyjnych nie działa tak dobrze jak kiedyś i trzeba sięgnąć do rozwiązań sprzętowych. Belgowie zostali poproszeni o zbudowanie urządzeń podsłuchowych, które można montować w sieci firm spedycyjnych i przechwytywać przesyłane informacje. Jak twierdzą obaj oskarżeni, nie poszli na policję ponieważ obawiali się zemsty swoich nowych kontrahentów, a poza tym budowanie urządzeń podsłuchowych nie było jeszcze przestępstwem.

Gdy pierwsze prototypy nie działały zgodnie z oczekiwaniami przestępców, Belgowie zostali postraszeni śmiercią w razie niepowodzenia operacji i na zachętę otrzymali 25 tysięcy euro w gotówce. Bojąc się odmówić dalszej współpracy przyjaciele postanowili budować urządzenia, które będą prawie zupełnie sprawne i zwalać za każdym razem winę na problemy technologiczne. Przez kolejne kilka miesięcy Davy i Filip coraz więcej czasu spędzali na spełnianiu nowych żądań mafiozów. Przekazywali sprzęt włamywaczom, którzy podkładali go w biurach firm spedycyjnych, jeździli kontrolować instalacje i zbierać dane a także wymyślali nowe rozwiązania. Gdy próbowali wymigiwać się od obowiązków, przestępcy poinformowali ich, że znają adresy zamieszkania ich oraz ich bliskich – jak w scenariuszu z filmu sensacyjnego.

Gdy sprawy idą źle

Mafiozi mieli coraz większe problemy z pozyskiwaniem danych. Gdy jeden z odbiorców kontenerów zdążył po swój towar przed przestępcami, kierowca ciężarówki został ostrzelany z Kałasznikowa, zatrzymany i obrabowany. Firmy spedycyjne, ostrzeżone przez policję, usunęły urządzenia podsłuchowe i bandyci nie potrafili znaleźć nowego rozwiązania. Gdy przestępcy zaprosili obu Belgów na kolejne spotkanie, ci byli przekonani, że zostaną zamordowani. Prosili swoich zleceniodawców o litość i zwolnienie z obowiązków i ku swojemu zaskoczeniu usłyszeli, że mogą wrócić do swojego wcześniejszego życia.

Kilka miesięcy później do akcji wkroczyła policja. Obaj konsultanci zostali zatrzymani a ich domy przeszukane. Turcy zniknęli. W mieszkaniu jednego z nich policja znalazła 3 pistolety, karabin maszynowy, tłumik, kamizelkę kuloodporną i ponad milion euro w gotówce. Obaj przestępcy zostali w końcu zlokalizowani w Turcji i nie wygląda na to, by wybierali się w najbliższym czasie w podróż do Europy.

Epilog

Przedstawiona powyżej wersja wydarzeń pochodzi z materiałów policyjnych oraz opowieści obu konsultantów. Belgijska i holenderska prokuratura nie do końca się z nią zgadzają. Według śledczych obaj konsultanci grali znacznie większą role niż próbują sobie przypisać w tej sprawie.

Śledczy dysponują zapisami przekaźników sieci komórkowych a później także podsłuchów skazujących na duży poziom zaangażowania Belgów w działania całej grupy. Dowody wskazują, że obaj konsultanci pomagali przestępcom w lokalizowaniu ofiar i udoskonalaniu sprzętu. Sami podejrzani twierdza, że wykradzione kody służące do odbioru kontenerów musiały być skutkiem kampanii phishingowych, ponieważ wszystkie przygotowywane przez nich urządzenia podsłuchowe były uszkodzone.

Policji faktycznie brakuje dowodów potwierdzających chociażby korzyści materialne odniesione przez obu Belgów. Co ciekawe, tuż przed aresztowaniami firmy spedycyjne otrzymały kolejną falę phishingu, wysłaną z lokalizacji pokrywającej się z serwerownią, gdzie Filip przechowywał swoje maszyny. Oskarżony zaprzecza jakiemukolwiek związkowi z tym wątkiem sprawy.

Czy Belgowie byli tylko ofiarami szantażu? A może po prostu używają sprytnej wymówki? Dzisiaj trudno to już ocenić.

Artykuł powstał na podstawie publikacji Bloomberga. Opisane wyżej wydarzenia poruszaliśmy już we wpisie Zhakowali port w Antwerpii by łatwiej przemycać narkotyki, jednak nie dysponowaliśmy wtedy szczegółami historii.

Powrót

Komentarze

  • 2015.07.09 22:15 jebelean ! Izrael

    W polskim prawie nie można podawać nazwisk osób podejrzanych lub skazanych.

    Odpowiedz
    • 2015.07.10 03:19 misi333k

      bo polskie prawo chroni przestępców a kara ofiary, dlatego należy popierać wszelkie przejawy zdrowego rozsądku, a chronić ofiary, począwszy od publikacji zdjęć i adresów pijanych kierowców, skończywszy na publikacji zdjęć adresów i bieżącej lokalizacji pedofilów, gwałcicieli i wszelkiej maści zwyrodnialców, oczywiście rycerzom ciemnej strony się to nie spodoba, ale mam nadzieję, iż takie regulacje znajdą zrozumienie i szybką drogę legislacyjną, próba obrony owych degeneratów utwierdzi mnie tylko w przekonaniu, że jesteśmy meksykiem europy nie zaś krajem pretendującym do miana europy

      Odpowiedz
      • 2015.07.10 18:15 Jar

        To teraz wyobraź sobie, że ktoś włamuje się do Twojego komputera i ściąga na niego pornografię dziecięcą. Policja Cię namierza i oskarża o pedofilię. Tabloidy szeroko opisują Twój przypadek wielkimi nagłówkami i podając pełne dane. Po 4 latach udaje Ci się udowodnić, że to jednak nie Ty. A jaką będziesz miał wtedy opinię? I czy wtedy też media będą krzyczeć „Niewinny”?

        Oczywiście, wiem, Tobie się to nie ma prawa przydarzyć. Ty jesteś ten prawy i sprawiedliwy.

        Jak na razie to Twoje myślenie jest z dżungli, a nie nasz kraj. Czego nie rozumiesz w domniemaniu niewinności? Podejrzany, to jeszcze nie skazany. A jeśli jeszcze nie skazany, to niewinny i nikt nie ma prawa pozbawiać go godności.

        Odpowiedz
    • 2015.07.10 08:06 co?

      Tylko jeżeli sprawa toczyła się w Polsce.

      Odpowiedz
    • 2015.07.10 08:18 LordBlick

      – Jakiś konkretny paragraf?
      – Wymienione osoby nie są pod jurysdykcją polskiego prawa…

      Odpowiedz
    • 2015.07.10 08:31 Ninja

      Ale ci panowie nie są polakami, a ich postępowanie karne nie było prowadzone w Polsce.

      Odpowiedz
    • 2015.07.10 15:34 jebelean

      Zastanówcie się, prawie żadne media w Polsce nie podają. A to dlatego, że się boją, że ktoś ich pociągnie do odpowiedzialności. No choćby sprawa czterech śmieci, którzy skatowali angielskiego wykładowcę prawa. O nich polskie media, ulokowane z siedzibą w PL nie pisały inaczej, a wyłącznie bez nazwisk. To samo z seryjnym polskim mordercą, który został złapany w Niemczech. I jeszcze jeden przykład, niemiecka terrorystka z polskim i niemieckim paszportem, co została skazana na kilka lat za finansowanie terrorystów była przedstawiana przez polskie media jako Karolina i z literka zamiast pełnego nazwiska. Polskie prawo w tym względzie jest niejasne, ale praktyka mediów dowodzi, że raczej nie powinno się podawać.

      Odpowiedz
  • 2015.07.09 23:55 sektorówka

    Dlatego jestem zwolennikiem używania starych komputerów. U mnie w firmie (projektowanie CAD + obróbka na CNC) nadal wszystkie komputery to win98 SE lub win 95. Tylko jeden komputer z 2002 roku ma XP SP1 ale nie jest podpięty do sieci. Na starych maszynach trudniej odpalić nowoczesny malware.

    Odpowiedz
    • 2015.07.10 09:14 eh

      @Sektorówka – eh…….

      Odpowiedz
    • 2015.07.10 09:28 Majki

      projektowanie CAD i stare komputery tylko po to żeby nie nabawić się wirusów? To nie lepiej wydzielić po prostu komputerów do pracy bez neta i komputery do internetu jak tak się boicie o swoją pracę?

      Odpowiedz
    • 2015.07.10 09:58 darek

      Bardzo kontrowersyjna teoria. W artykule jest mowa o ukierunkowanym, sprzętowym ataku, więc OS jest bez znaczenia. Dodatkowo archaiczne systemy, o których wspominasz pozwalają wykorzystać sztuczki, które w przypadku nowszych systemów odchodzą w zapomnienie np. autostart z zewnętrznych nośników.

      Odpowiedz
      • 2015.07.12 12:14 Adam

        Autostart może zadziałać, jeśli pen emuluje CD…

        Odpowiedz
  • 2015.07.10 10:09 Polak

    Proponuję w ramach pomocy dla imigrantów przyjąć do kraju 2000 turków zainteresowanych bezpieczeństwem firm od strony mocno praktycznej… Bedzie pan zadowolony… :)

    Odpowiedz
  • 2015.07.10 18:30 wjp458

    jebelean
    W UK wszystkie media podaly nazwiska tych oprawcow, tak powinno byc!

    Odpowiedz
    • 2015.07.10 19:52 jebelean

      Jestem tego samego zdania, że bandytów w taki sposób potrzeba napiętnować. Ale czymś innym jest „powinno być” a „opłaca się”. Narażamy się na odpowiedzialność podając nazwiska i publikując wizerunek przestępców. I nie ma znaczenia narodowość i miejsce zamieszkania skazańców, a niektórzy to sugerują. Jeśli piszemy o kimś w negatywny sposób, to taka osoba ma możliwość podania nas do sądu, że naruszyliśmy jej dobre imię. Ostatecznie nie popełniła przestępstwa w PL. A europejskie przepisy nic nt. temat nie wspominają i nie regulują w żaden sposób tej kwestii.

      Odpowiedz
      • 2015.07.12 12:24 Adam

        A gdzie zasada, że co nie jest zabronione, ani karalne, to jest dozwolone?

        A że bandyta to zawsze tylko s###### i bandyta, to inna sprawa i tutaj racja.
        Z drugiej jednak strony kneblując usta wszystkim stajecie się po części niewolnikami tych bandytów i dajecie im dowód swojej uległości lub bezsilności (na jedno wychodzi)…

        Odpowiedz
        • 2015.07.12 13:48 jebelean

          No właśnie jest u nas zabronione. Dajmy na to, że osoba po odsiedzeniu swojego wyroku i stania się przykładnym obywatelem wkurzy się, że ktoś ją szkaluje nadal wpisem sprzed kilku lat. W dodatku jeśli będzie miała wiedzę, że u nas prawo chroni dane bandytów (byłych również), nie omieszka skorzystać z drogi sądowej by uzyskać odszkodowanie. A to dlatego, że każdy tak naprawdę może dochodzić na drodze cywilnej swoich racji. Tutaj natomiast mamy dodatkowy czynnik, który ułatwia byłemu bandycie sprawę. Powtórzę, europejskie prawo w żaden sposób nie reguluje sytuacji, gdzie zagraniczne prawo umożliwia podawanie wspomnianych danych, a krajami które tego zakazują. A że jesteśmy w UE jesteśmy skazani na ułomne i rozproszone prawo rozpisane na mnóstwo aktów prawnych.

          Nie wiem o kogo chodzi, z tymi którzy „stają się”. Ja nikogo nie knebluję, nie mam takiej możliwości. To pan autor tego bloga mógłby mnie zakneblować…

          Odpowiedz
          • 2015.07.12 23:02 Adam

            Jak odsiedzą wyrok i przyjdą do Polski, to będą po prawomocnym wyroku, czyli nie chroni ich polski art. 13. ust 2 prawa prasowego.
            Zdanie o kneblowaniu jest metaforą i dotyczy każdej osoby chcącej bronić (nieistniejących lub co najmniej niejasnych) praw bandytów.
            Na drodze cywilnej to można pisać o wszystko…

          • 2015.07.13 16:28 jebelean

            @ Adam

            A co ja mam wspólnego z tym o czym piszesz? Pisałem przecież, że bandyci powinni być wymieniani z imienia i nazwiska, razem z fotą facjaty umieszczoną w bazie i dostępną w Necie.

            Nikt nie musi nigdzie przyjeżdżać. Mogliby złożyć pozew w np. Anglii lub innym państwie członkowskim UE. Dodatkowo prawo prasowe stoi niżej od praw bandytów (niestety). Bo niektóre zapisy regulujące ich dobra osobiste są zapisane w konstytucji. Prawomocny wyrok nie ma tutaj nic do rzeczy.

          • 2015.07.20 00:05 Adam

            @jebelean
            „Bo niektóre zapisy regulujące ich dobra osobiste są zapisane w konstytucji.”
            Szkoda, że akurat tutaj ta konstytucja jest nagle tak ważna… ;/

  • 2015.07.11 12:08 Mefju

    Zawsze ciekawe artykuły do sobotniego śniadania z kawką…;) dzięki!

    Odpowiedz

Zostaw odpowiedź do jebelean ! Izrael

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Narkotyki, keyloggery i kontenery czyli mafijne opowieści z portu w Antwerpii

Komentarze