Jak policja namierzyła, przejęła i prowadziła wielki bazar narkotykowy

W zeszłym roku organy ścigania zamknęły dwa ogromne narkotykowe bazary – Hansa i Alphabay. Dzisiaj możemy poznać szczegóły losów tego pierwszego, a historia jest pełna interesujących detali i przez to bardzo ciekawa.

Na początek kawałek historii. W lipcu 2017 opisywaliśmy zamknięcie Alphabay i Hansy jako wielki sukces organów ścigania. Skalę tego sukcesu poznajemy w pełni dopiero dzisiaj, gdy holenderska policja postanowiła pochwalić się tym, jak namierzyła market Hansa, zidentyfikowała jego właścicieli, doprowadziła do ich zatrzymania, przejęła kontrolę nad marketem i przez miesiąc zbierała dane jego użytkowników.

Zaczęło się od jednej informacji
Śledztwo w sprawie Hansy zaczęło się tak, jak większość tego typu spraw – od wskazówki otrzymanej przez śledczych. Firma z branży bezpieczeństwa, prawdopodobnie Bitdefender, jesienią 2016 natrafiła w sieci na serwer deweloperski Hansy. Okazuje się, że architekci infrastruktury jednego z największych bazarów narkotykowych w historii niczego nie nauczyli się z porażek konkurencji i serwer deweloperski dostępny był w zwykłym internecie, w holenderskiej serwerowni. Firma przekazała tę informację holenderskiej policji, która postanowiła zająć się sprawą. Cały ciąg dalszy to w zasadzie seria wpadek twórców serwisu oraz jego użytkowników.

Serwer tu, serwer tam

Policjanci uzyskali nakaz przeszukania serwera i jego podsłuchu. W serwerowni zainstalowali sprzęt umożliwiający pełny monitoring ruchu podejrzanej maszyny. Bardzo szybko wyszło na jaw, że serwer łączył się z produkcyjną maszyną Hansy zlokalizowaną w tej samej serwerowni. Co prawda, maszyna produkcyjna była lepiej zabezpieczona, ale jej zlokalizowanie nie było w tej sytuacji problemem. Zidentyfikowano także połączenia z drugą parą serwerów – tym razem w serwerowni niemieckiej.

Policjanci oczywiście uzyskali kopie binarne wszystkich dysków czterech serwerów i znaleźli na nich pełną bazę danych bazaru Hansa. To nie musiało jeszcze prowadzić do ujawnienia danych administratorów bazaru. Na jednym z niemieckich serwerów znaleziono jednak niezwykły skarb – logi IRC-a, komunikatora popularnego w czasach dinozaurów. Logi gromadzone były od kilku lat i wskazywały na regularne rozmowy dwóch mężczyzn. Analiza tych rozmów pozwoliła odnaleźć w nich nie tylko imiona i nazwiska obu podejrzanych, ale nawet adres zamieszkania jednego z nich. Obaj mieszkali w Niemczech, blisko granicy z Holandią. Wyśmienity pomysł, milordowie, by trzymać te dane na serwerze powiązanym z produkcyjną maszyną Hansy.

 A gdyby tak nie zamykać

Wcześniejsze akcje organów ścigania miały z reguły bardzo podobny przebieg. Zatrzymanie sprawców, zamknięcie serwera, sprzedawcy i ich klienci przenoszą się na następną platformę, biznes kręci się bez większych przeszkód. Holendrzy bardzo chcieli, by ich akcja wywarła większy wpływ na świat handlu narkotykami w sieci. Okazja nadarzyła się sama. Gdy Holendrzy skontaktowali się z Niemcami, by poprosić o zatrzymanie podejrzanych, okazało się, że obaj są już znani niemieckim organom ścigania – lecz z czegoś odrobinę innego. Obaj prowadzili portal Lul.to, sprzedający pirackie e-booki i audiobooki. Holendrzy pomyśleli, że w związku z tym jest szansa zatrzymać administratorów Hansy pod innym pretekstem i być może przejąć w niezauważony sposób kontrolę nad stroną.

Gdy przygotowywano akcję przejęcia serwerów, policjantów spotkała przykra niespodzianka. Ruch do serwerów zniknął, wskazując, że przestępcy przenieśli się gdzie indziej. Prawdopodobnie operacja kopiowania dysków mogła wzbudzić podejrzenia administratorów Hansy lub stosowali zasadę okresowej migracji „na wszelki wypadek”. Co zatem zrobili holenderscy policjanci? Mogli poprosić o aresztowanie podejrzanych i szukać śladów nowego serwera na ich komputerach, jednak wybrali inną drogę – wymagającą wysiłku i cierpliwości. Przeszukiwali cały materiał dowodowy, by znaleźć nowe tropy – i znaleźli. Zaczęli obserwować ruchy na portfelach bitcoinowych, których ślady znaleźli w logach i ta strategia się opłaciła. W kwietniu 2017 z jednego z obserwowanych portfeli dokonano płatności. Korzystając z narzędzia Chainalysis, policjanci ustalili, że płatność trafiła do holenderskiego pośrednika finansowego. Ten z kolei mógł wskazać, że przelew powędrował do firmy hostingowej na Litwie. Znalezienie serwerów było już tylko kwestią odpowiedniego nakazu.

Krótko potem Holendrzy dowiedzieli się, że Amerykanie są na tropie administratora AlphaBay. To stworzyło kolejną okazję do wywarcia większego wpływu na rynek handlu narkotykami. Synchronizacja działań służb obu krajów mogła pozwolić Holendrom na przejęcie klientów zamykanego AlphaBay. Holendrzy w porozumieniu z Niemcami i Amerykanami zaplanowali całą akcję. Najpierw dwóch agentów udało się na Litwę, by skopiować dane z serwerów. 20 czerwca Niemcy zatrzymali obu administratorów (dali się złapać z włączonymi i odszyfrowanymi komputerami), a Holendrzy natychmiast rozpoczęli proces przenoszenia strony na kontrolowane przez siebie serwery. Proces przebiegał tak sprawnie, że użytkownicy Hansy nie zorientowali się, że ich bazarem zarządzają już policjanci.

To nasze serwery, robimy, co chcemy

Holendrzy przystąpili do dzieła. Po pierwsze zmodyfikowali kod serwisu tak, by przechwytywać i zapisywać hasła użytkowników w trakcie logowania do bazaru. Po drugie zmodyfikowali funkcję wiadomości wewnętrznych, które szyfrowane były za pomocą PGP. Po modyfikacji kopia wiadomości była zapisywana przed zaszyfrowaniem, dając tym samym policji dostęp do wielu adresów odbiorców narkotyków. Po trzecie zmodyfikowali funkcję usuwania metadanych ze zdjęć. Hansa automatycznie czyściła wrzucane zdjęcia z metadanych, takich jak lokalizacja GPS czy model aparatu, którym wykonano zdjęcie. Po modyfikacji policji dane te były zapisywane na serwerze. Co więcej, policjanci zasymulowali awarię serwera, która spowodowała usunięcie wszystkich zdjęć, zmuszając użytkowników do ponownego ich wgrania. Podstęp się udał – podobno ok. 50 dilerów nie zadbało o bezpieczeństwo wykonywanych przez siebie zdjęć i pozwoliło w ten sposób namierzyć ich lokalizację.

Najlepszym zagraniem policji była jednak modyfikacja pliku, który miał umożliwiać odzyskanie bitcoinów w razie problemów z dostępnością serwera. Wcześniej był to po prostu plik tekstowy zawierający informacje potrzebne do odblokowania portfela. Policjanci zamienili go na plik Excela. Oczywiście specjalnie przygotowany plik Excela. Nie było w nim exploita. Nie było w nim kodu makro. Było za to odwołanie do zewnętrznego obrazka.

http://217.182.159.33:9998/img/xxxxxxxxxxxxxxxxxxxxxxxxxxxx/logo/logo.png

gdzie „xxxx” było unikatowym identyfikatorem użytkownika. Jeśli ktoś otworzył taki plik w miejscu, gdzie Excel dysponował zwykłym połączeniem do internetu (np. nie używając do tego celu maszyny wirtualnej połączonej tylko za pomocą Tora), to ujawniał w ten sposób swój adres IP policji. Na tę sztuczkę dało się podobno złapać kolejnych 64 dilerów.

Jednocześnie oprócz przeprowadzania ataków na użytkowników serwisu holenderska policja bardzo troszczyła się o właściwą obsługę klientów, by nie wzbudzić żadnych podejrzeń kupujących i sprzedających. Policjanci wcześniej poznali język administratorów, by lepiej ich udawać, i dedykowali cały zespół do obsługi ich dwóch kont. Dzięki zaangażowaniu większego personelu osiągnęli całkiem niezły efekt – moderatorzy i użytkownicy bardzo się cieszyli, że kontakt z administratorami jest taki szybki.

Za dużo pracy

Gdy Amerykanie zamknęli AlphaBay, do Hansy ruszyła rzeka nowych użytkowników. Choć Holendrzy byli gotowi obsłużyć tych klientów od strony technicznej, to pojawił się inny problem. Zgodnie z obowiązującymi ich przepisami mieli obowiązek zgłaszać każdą transakcję zawieraną na kontrolowanym przez siebie bazarze Europolowi. Gdy obrót osiągnął 1000 transakcji dziennie, realizacja tego obowiązku stała się bardzo uciążliwa. Wytrwali łącznie 27 dni, rejestrując dane 27 tysięcy transakcji kupna i sprzedaży narkotyków. Hansa podzieliła los AlphaBay i została zamknięta.

Wynik operacji

Policja pozyskała dane 420 000 użytkowników, lecz zapewne były najczęściej ograniczone do loginu i hasła. Dla 10 000 użytkowników ustaliła także adresy dostawy przesyłek. Dane te zostały przekazane Europolowi, a ten powinien przekazać je organom w odpowiednich krajach. Udało się do tej pory aresztować około tuzina największych sprzedawców, a kolejne zatrzymania planowane są na najbliższe tygodnie. Policji udało się przejąć ok. 1200 bitcoinów. Choć Hansa korzystała z portfeli wielopodpisowych, to odpowiednio zmodyfikowany kod serwisu pomógł policji w zarekwirowaniu tych środków.

W przeciwieństwie do skutków zamknięcia SilkRoad, SilkRoad 2 czy AlphaBay, w przypadku Hansy sprzedawcy nie pojawili się na nowych serwisach pod tymi samymi pseudonimami. Czy faktycznie zaprzestali swojej działalności, czy tylko zmienili wirtualną tożsamość? To pytanie pozostaje bez odpowiedzi.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *