Ponad sześć lat oszukiwania polskich internautów, miliony wysłanych e-maili, tysiące zainfekowanych komputerów, setki ofiar ransomware i 29 artykułów w naszym serwisie – to plon działalności zatrzymanego właśnie Tomasza T.
Czekaliśmy na ten dzień od ponad 5 lat, kiedy to pierwszy raz opisaliśmy jego działalność. Armaged0n, Thomas, the.xAx, 2Pac Team – to tylko kilka z pseudonimów używanych przez przestępcę nazywanego od dzisiaj już oficjalnie Tomaszem T. 14 marca Tomasz T. został zatrzymany przez policję i obecnie przebywa w areszcie. Wraz z jego zatrzymaniem kończy się pewna epoka ataków na polskich internautów.
Ponad sześć lat kariery
Pierwsze znane nam ślady oszustw Tomasza T. sięgają listopada roku 2011, kiedy to założył fałszywy sklep z elektroniką. Od tamtej pory jego kariera cyberprzestępcy cały czas się rozwijała – obserwowanie czynionych przez niego postępów było ciekawym doświadczeniem. We właściwym czasie opublikujemy długą listę jego działań wymierzonych w polskich internautów. Są na niej kampanie phishingowe, ataki na konta bankowe, podmienianie numerów rachunków, budowanie botnetów, włamania na strony internetowe, kradzieże danych, infekowanie ofiar za pomocą ransomware i wiele, wiele innych. Jeśli chcecie prześledzić część jego działalności, to polecamy lekturę 29 (!) artykułów w naszym serwisie oznaczonych tagiem „Thomas” – od stycznia 2013 do stycznia 2018. Był chyba jednym z najbardziej płodnych autorów kampanii e-mailowych – oto opracowany przez nas przykładowy graf części z nich z zeszłego roku.
W swoich atakach korzystał z rozlicznych exploitów, trojanów i innych rodzajów złośliwego oprogramowania. Przykładowe zestawienie zróżnicowanego przebiegu jego kampanii w tabelce poniżej:
Szczególnie w ostatnim roku jego kampanie e-mailowe były naprawdę dobrze dopracowane – poniżej znajdziecie krótki przegląd kilku zrzutów ekranu wiadomości wysyłanych przez Tomasza T. do jego ofiar.
W ciągu ostatnich kilku lat analizie jego ataków, nagłaśnianiu ich i przedstawianiu na licznych konferencjach poświęciliśmy setki godzin i bardzo cieszymy się, że Prokuratura Okręgowa w Warszawie wraz z Biurem do Walki z Cyberrzestępczością Komendy Głównej Policji dopisuje dzisiaj odpowiedni epilog.
Podziękowania
Większości osób zaangażowanych przez ostatnie kilka lat w proces prowadzący do jego zatrzymania (a jest ich sporo!) z różnych powodów nie możemy wymienić. Chcemy Wam w tym miejscu gorąco podziękować za Wasz wysiłek, profesjonalizm i zaangażowanie. W szczególności podziękowania należą się:
- pracownikom firm i instytucji, którzy poświęcili w ciągu ostatnich kilku lat wiele czasu na pieczołowite analizowanie i dokumentowanie działania Thomasa,
- osobom, które przyczyniły się do ustalenia jego tożsamości i zebrania cennych dowodów,
- przedstawicielom organów ścigania, którzy wbrew licznym przeciwnościom dążyli do jego zatrzymania,
- przedstawicielom wymiaru sprawiedliwości, którzy potrafili rozwiązać problemy nierozwiązywalne od lat, by doprowadzić sprawę do końca,
- Wam, Czytelniczkom i Czytelnikom z3s, którzy regularnie podsyłaliście nam próbki i ślady działalności Thomasa – to także dzięki Wam jego zatrzymanie okazało się w końcu możliwe.
Zatrzymanie Thomasa pokazuje, że nawet przestępcy, którzy od lat żyli w przeświadczeniu bezkarności, wcale nie są bezkarni. Wierzymy, że to nie ostatnia dobra wiadomość w tym roku. A do tematu samego Thomasa pewnie wkrótce jeszcze wrócimy. Tymczasem możecie posłuchać, jak o Thomasie opowiadaliśmy jakiś czas temu na spotkaniu SysOps/DevOps.
https://www.youtube.com/watch?v=2tmfpJtAFoQ
PS. Jeśli macie kopie plików zaszyfrowanych przez ransomware Vortex / Flotera / Polski Ransomware, to ich nie usuwajcie.
PS2 Wbrew doniesieniom innych mediów ransomware Thomasa było dystrybuowane tylko przez niego.
Komentarze
A co z tym człowiekiem co na hackfroum edukował się z korzystania z botnetów? W jakim aktualnie kraju przebywa?
To własnie on.
To będziesz musiał prezentacje zaktualizować :)
Wiadomo, jak popełnił błąd? ;)
Jedyny blad jaki popelnil to wejscie na droge cyberprzestepstwa :)
Przeczytaj sobie te 29 artykułów to się dowiesz. :)
Dał się złapać :)
Trudniejszym pytaniem by było „jakiego błędu nie popełnił”.
W 2k12 zarejestrował domenę na swoje prawdziwe dane XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
Jaki popełnił błąd???
Może gwiazdorzył? Komentował artykuły na temat własnych wyjebek? :)
A może obficie okraszając komentarze informacjami?
M.In. printscreanami z otwartą sesją skype do realnie istniejącej osoby? Osoby o imieniu Filip T[…]? Który ma starszego brata Tomasza?
A może popełnił go wtedy, kiedy na drugi dzień gdy ktoś podał jego prawdziwe dane w komentarzach jego akcji? Wliczając w to IP, numery gg, nicki z hackforums, adres email, datę urodzenia, pesel to postanowił zrobić mistrzowski unik? I aby się ukryć ponownie zmienił IP i zaczął pisać z innego numeru? Ale jednocześnie „nowy” IP był tym samym IP na jakim działały serwery C&C jego kampanii??? Może to go zdradziło?
Co mogło pójść nie tak??? :D
Ten gość jest prawdziwym „Stirlitzem” polskiego chakierstwa :)
Ale przynajmniej będzie na chwilę mniej spamu.
To co mnie bardziej zastanawia tak czysto teoretycznie, oczywiście, pod warunkiem pan Tomasz T. okaże się prawdziwym twardzielem i nie zacznie sypać wspólnika :) To czy ten drugi łepek, który naszemu mistrzowi anonimizacji napisał ransomware dałby radę hipotetycznie się wykręcić na mocy pentestowej „ustawy Streżyńskiej”?
Godzinę temu oglądałem twoją prezentację na jego temat ;)
Oj mam timing.
Zatrzymanie a udowodnienie winy to jeszcze długa droga ;)
Tez mam taka nadzieje
Gratulacje z3s. Będzie ciekawy materiał na wykłady :)
Trzeba przyznać, że występując jako Thomas znacznie zawęził poszukiwania do ludzi o imieniu Tomasz :)
Napiszcie chociaż jaki wiek i czy pracował w ITC ;)
Brat pana Filipa T[…] urodził się 10 września 1995 roku w Piorunowicach. O czym było wiadomo już w 2012 roku.
Więc gdy zaczynał „sprzedawać” elektronikę z lewych kont na aledrogo miał 16 / 17 lat. A teraz ma 23 latka.
Co do miejsca pracy to hackforums, kupiony jeden ransomwere + jeden trojan na krzyż używane naprzemiennie. Darmowe doment .tk i z wyjebek uczynił sobie źródło dochodu.
NIEWIARYGODNY SUCKES BIURA DO SPRAW CYBERPRZESTĘPCZOSCI I CALEJ SPOLECZNOSCI SEC W POLSCE.
6 lat zajelo zatrzymanie kolesia ktory sam udostępnil swoje nazwisko na screenshocie w 2012 roku. Niesamowite nie wiem co powiedzieć.
TEN DZIEN PRZEJDZIE DO HISTORII !!!oneponeone
Odkryłeś tajemnicę sukcesu profesjonalistòw PR. Napisałem hello World ten dzień przejedzie do historii.
Moze 6 lat zbierali dowody albo czekali az popelni blad pozwalajacy na zatrzymanie, postawienie zarzutow i areszt.
Jego (przypuszczalne) nazwisko jest znane od 2012 r.
Jest to nazwisko niezbyt częste (w Polsce nosi je ok. dwustu osób), więc teoretycznie policja mogła była od razu zacząć typować sprawców.
Z drugiej strony nie można było wykluczyć, że pokazanie tego screena było celowe, by zmylić trop i sprawić, że policja zacznie się interesować niewłaściwymi ludźmi.
Tak samo jak używanie identycznego loginu z tym nazwiskiem na forum dla scriptkiddies w ogłoszeniach kupię ransomware lub kupię botneta? Które są wysyłane z IP identycznego jak IP serwera C&C.
Sam piszesz, że nazwisko jet nietypowe. Jak wklepiesz gościa w wyszukiwanie FB to wyskoczy Ci na pierwszej pozycji. Wystarczyło wziąć pod lupę działań operacyjnych literalnie JEDNĄ osobę. Z jego ostrożnością pewnie nie dłużej niż na tydzień, żeby mieć potwierdzenie, że on to on.
Głównym problemem było zawsze to, że siedział w innym kraju. Można się śmiać z tego, fakt że do FBI które aresztuje kogo chce, gdzie chce, nam daleko ;].
Ale z drugiej strony, zatrzymanie Thomasa to znacznie więcej niż nie zatrzymaine thomasa (wręcz o 100% więcej), więc jest znaczący postęp. A postęp można celebrować :P.
Sądzisz że FBI aresztuje sobie kogo chce np. w takim UK czy w Norwegii? Bo ja wątpię.
W Irlandii aresztuje wiec i w UK pewnie tez.
Ale tak sami aresztują, że FBI zgarnia gościa na irlandzkiej ulicy?
Czy może jednak jest tak, że FBI kontaktuje się z prokuraturą/policją w Irlandii i sama Garda Síochána zatrzymuje?
No! W końcu się script kiddie doigrało.
wiosna, wiosna, wiosna ach to TY…
Pora zmienić hasło do Netflixa…
Co nie zmienia faktu, ze wiekszosc jego kampani przypominalo albanskiego wirusa.
Zrobi furorę w pierdlu, wyślę mu wazelinę.
Bartek, a po czym wnioskujesz?
Się bywało to się wie
Jaki kraj, tacy cyberprzestępcy
1,5 roku temu pisałem tu na forum że go dojadą. Prędzej czy później. Bo w końcu gubi pewność siebie i rutyna. Bo nie da się całe życie uciekać.
Baaaaaardzo serdeczne gratki dla wszystkich zaangażowanych w złapanie gnoja.
szkoda chłopaka dobrze robił
Tobie?
Ciesz się że policja to leniwe ślimaki, w normalnym systemie za takie słowa policja powinna ci zrobić przesłuchanie, przeszukanie dysków itd. ażebyś się nauczył, zmienił i zaczął robić coś pożytecznego.
Wyczuwam skłonności do totalitaryzmu!
Co zrobił nielegalnego? Czy publiczne pochwalanie włamań komputerowych jest w Polsce czynem zabronionym? Nie.
A zatem przestań p…ć o przeszukiwaniu dysków. Policja jest od ścigania sprawców czynów zabronionych, a nie od zajmowania się przedzbrodnią czy myślozbrodnią. A od wychowywania dzieci są rodzice, nie policja.
Zestawienie metod to dowód na to jaką kupą jest JS
JS masz na mysli java script ?
Jesli tak to opowiedz nam dla czego sadzisz ze JS jest kupa a inne języki programowania już nie sa
O czym/kim teraz będziecie opowiadać na Secure? :) gratulacje
No i cóż… fajnie, że go złapali, ale wiecie co jest najgorsze? Jeśli taka ameba umysłowa, która sama ujawniła swoje dane już na samym początku jest w stanie przez 6 lat skutecznie się ukrywać (i nawet w sumie to jak rozumiem gdyby gość nie przyjechał do Polski to dalej by się z nim bujali), to co dopiero jeśli za takie zabawy zabierze się ktoś naprawdę zdeterminowany i mądrzejszy, kto zrobi skuteczniejsze kampanie i lepsze szkodniki?
Fajnie, że złapany, ale po takim czasie to nawet jeśli naprawdę wszyscy się starali i pokonywali problemy natury proceduralnej – to niestety obnaża naszą bezsilność.
Poza tym chciałbym podkreślić, że działalność w/w byłaby o wiele trudniejsza, gdyby nie pewna polska firma świadcząca usługi hostingowe. I uważam, że służby powinny także się „uśmiechnąć” w ich stronę. Może wizja nadciągających kłopotów przypomniałaby tam właścicielom, że trzeba się nieco wysilić i pilnować co się dzieje z kontami pocztowymi. Masowa wysyłka tysięcy maili może nie wzbudzić czujności tylko innej ameby umysłowej.
O co chodzi z tym ujawnieniem jego danych w 2012?
2 pytania:
1) Po co te kody w niektórych mejlach do załączników (spakowane archiwa?)?
2) Jeśli rozpakuje takie zabezpieczone hasłem archiwum (zip,rar,7z) z malwerem przy pomocy ulubionego archiwizatora (a mam wyłączone ukrywanie rozszerzeń więc jak to nie będzie archiwum to nie będę rozpakowywać) to na moim kompie się przecież nic nie stanie, prawda? To czemu to miałoby służyć?
Po to, zeby antywirus nie swirowal w momencie skanowania poczty (archiwum z hasłem, którego AV nie zna)
Fajnie wszystko usystematyzowane w zrozumialej dla przecietnego Kowalskiego formie. Szkoda tylko ze jak udostepnia sie takie edukacyjne trasci na facebooku to nikt tego nie lajkuje przez co trafia do ekstremalnie malego grona osob. No a potem placz i pomusz bo cos sie z komputerem stalo. Ehhh. Filmik super. Pozdrawiam
Przecież pełne dane tego gościa Thomasa vel armagedona opsecu były podane przez czytelników/internautów w komentach pod artykułem konkurencyjnego portalu już w 2012 roku. Po tym, jak nasz 'bohater’sam raczył skomentować artykuł na swój temat i opatrzyć go screenem pokazującym statystyki z własnego ataku.
Kompletnie nie „obrobionycm” screenem.
Screenem z otwartą sesją skype
Sesją skype realnie istniejącą osobą
Osobą o imieniu i nazwisku Filip T[…].
Która to osoba ma brata o imieniu Tomasz.
Tomasz T. :)
Tylko dlaczego Policji zajęło AŻ 6 LAT na zawinięcie na dołek typa, którego mieli praktycznie podanego na widelcu pod nos???
Skąd w ludziach taki zachwyt do przestępców ? W mózgach ludzi panoszy się myśl puszczona w telewizji czy artykule lata temu – że mordercy i.in. przestępcy są ponadprzeciętnie inteligentni – a jest to nie prawda. To niekochane dzieci, porzucone, znienawidzone – stąd nienawiść do innych, chęć zemsty. W imię selekcji naturalnej muszą trafić do pierdla amen.
Bo każdy polak to w głębi duszy anarchista i antystemowiec.
W zasadzie bycie romantycznym anarchistą konstytuuje bycie prawdziwym Polakiem.
Tak nas ukształtowała historia.
Niezupełnie, taka reakcja jest typowa dla mieszkańców państw postkolonialnych (u nas ZSRR) i przez niektórych nazywana jest postawą cwanego niewolnika, stąd podziw dla różnej maści cwaniaków i oszustów, no bo przecież umiem sobie poradzić w życiu nie. Wracając do tego gościa to mnie nasuwają się dwa skojarzenia, wreszcie i przerażające. Wreszcie wiadomo, natomiast przerażające jest podejście polskiej policji, tyle lat, po prostu żenada. Tak swoją drogą przypomina mi się jak koledze ukradli telefon, jeszcze przez dwa dni mógł go obserwować na goole, ale nasza „wspaniała” policja nawet nie chciała przyjąć zgłoszenia, bo takie sprawy na ogół pozostają nie rozwiązane, a poza tym to za mała wartość, bardzo urwa edukacyjne i już wiemy co kraść żeby sprawy nie było.
Mam prośbę do p. Adama i tytułu prezentacji: w takich przypadkach jak Thomas słowo „haker” lepiej zastąpić słowem „złodziej”, lub jak w artykule „cyberprzestępca”.
Mam na półce „The Hacker’s Dictionary” ESR-a i teraz ten żółty tom wygląda jak almanach bandziorów.
Pozdrawiam.
czemu film już niedostępny? Super był i fajnie było podesłać nowym osobom do pośmiania się