Jak policja namierzyła, przejęła i prowadziła wielki bazar narkotykowy

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 9 18:55 [raw]

W zeszłym roku organy ścigania zamknęły dwa ogromne narkotykowe bazary – Hansa i Alphabay. Dzisiaj możemy poznać szczegóły losów tego pierwszego, a historia jest pełna interesujących detali i przez to bardzo ciekawa. Na początek kawałek historii. W lipcu 2017 opisywaliśmy zamknięcie Alphabay i Hansy jako wielki sukces organów ścigania. Skalę tego sukcesu poznajemy w pełni dopiero dzisiaj, gdy holenderska policja postanowiła pochwalić się tym, jak namierzyła market Hansa, zidentyfikowała jego właścicieli, doprowadziła do ich zatrzymania, przejęła kontrolę nad marketem i przez miesiąc zbierała dane jego użytkowników. Zaczęło się od jednej informacji Śledztwo w sprawie Hansy zaczęło się tak, jak większość tego typu spraw – od wskazówki otrzymanej przez śledczych. Firma z branży bezpieczeństwa, prawdopodobnie Bitdefender, jesienią 2016 natrafiła w sieci na serwer deweloperski Hansy. Okazuje się, że architekci infrastruktury jednego z największych bazarów narkotykowych w historii niczego nie nauczyli się z porażek konkurencji i serwer deweloperski dostępny był w zwykłym internecie, w holenderskiej serwerowni. Firma przekazała tę informację holenderskiej policji, która postanowiła zająć się sprawą. Cały ciąg dalszy to w zasadzie seria wpadek twórców serwisu oraz jego użytkowników. Serwer tu, serwer tam Policjanci uzyskali nakaz przeszukania serwera i jego podsłuchu. W serwerowni zainstalowali sprzęt umożliwiający pełny monitoring ruchu podejrzanej maszyny. Bardzo szybko wyszło na jaw, że serwer łączył się z produkcyjną maszyną Hansy zlokalizowaną w tej samej serwerowni. Co prawda, maszyna produkcyjna była lepiej zabezpieczona, ale jej zlokalizowanie nie było w tej sytuacji problemem. Zidentyfikowano także połączenia z drugą parą serwerów – tym razem w serwerowni niemieckiej. Policjanci oczywiście uzyskali kopie binarne wszystkich dysków czterech serwerów i znaleźli na nich pełną bazę danych bazaru Hansa. To nie musiało jeszcze prowadzić do ujawnienia danych administratorów bazaru. Na jednym z niemieckich serwerów znaleziono jednak niezwykły skarb – logi IRC-a, komunikatora popularnego w czasach dinozaurów. Logi gromadzone były od kilku lat i wskazywały na regularne rozmowy dwóch mężczyzn. Analiza tych rozmów pozwoliła odnaleźć w nich nie tylko imiona i nazwiska obu podejrzanych, ale nawet adres zamieszkania jednego z nich. Obaj mieszkali w Niemczech, blisko granicy z Holandią. Wyśmienity pomysł, milordowie, by trzymać te dane na serwerze powiązanym z produkcyjną maszyną Hansy. A gdyby tak nie zamykać Wcześniejsze akcje organów ścigania miały z reguły bardzo podobny przebieg. Zatrzymanie sprawców, zamknięcie serwera, sprzedawcy i ich klienci przenoszą się na następną platformę, biznes kręci się bez większych przeszkód. Holendrzy bardzo chcieli, by ich akcja wywarła większy wpływ na świat handlu narkotykami w sieci. Okazja nadarzyła się sama. Gdy Holendrzy skontaktowali się z Niemcami, by poprosić o zatrzymanie podejrzanych, okazało się, że obaj są już znani niemieckim organom ścigania – lecz z czegoś odrobinę innego. Obaj prowadzili portal Lul.to, sprzedający pirackie e-booki i audiobooki. Holendrzy pomyśleli, że w związku z tym jest szansa zatrzymać administratorów Hansy pod innym pretekstem i być może przejąć w niezauważony sposób kontrolę nad stroną. Gdy przygotowywano akcję przejęcia serwerów, policjantów spotkała przykra niespodzianka. Ruch do serwerów zniknął, wskazując, że przestępcy przenieśli się gdzie indziej. Prawdopodobnie operacja kopiowania dysków mogła wzbudzić podejrzenia administratorów Hansy lub stosowali zasadę okresowej migracji „na wszelki wypadek”. Co zatem zrobili holenderscy policjanci? Mogli poprosić o aresztowanie podejrzanych i szukać śladów nowego serwera na ich komputerach, jednak wybrali inną drogę – wymagającą wysiłku i cierpliwości. Przeszukiwali cały materiał dowodowy, by znaleźć nowe tropy – i znaleźli. Zaczęli obserwować ruchy na portfelach bitcoinowych, których ślady znaleźli w logach i ta strategia się opłaciła. W kwietniu 2017 z jednego z obserwowanych portfeli dokonano płatności. Korzystając z narzędzia Chainalysis, policjanci ustalili, że płatność trafiła do holenderskiego pośrednika finansowego. Ten z kolei mógł wskazać, że przelew powędrował do firmy hostingowej na Litwie. Znalezienie serwerów było już tylko kwestią odpowiedniego nakazu. Krótko potem Holendrzy dowiedzieli się, że Amerykanie są na tropie administratora AlphaBay. To stworzyło kolejną okazję do wywarcia większego wpływu na rynek handlu narkotykami. Synchronizacja działań służb obu krajów mogła pozwolić Holendrom na przejęcie klientów zamykanego AlphaBay. Holendrzy w porozumieniu z Niemcami i Amerykanami zaplanowali całą akcję. Najpierw dwóch agentów udało się na Litwę, by skopiować dane z serwerów. 20 czerwca Niemcy zatrzymali obu administratorów (dali się złapać z włączonymi i odszyfrowanymi komputerami), a Holendrzy natychmiast rozpoczęli proces przenoszenia strony na kontrolowane przez siebie serwery. Proces przebiegał tak sprawnie, że użytkownicy Hansy nie zorientowali się, że ich bazarem zarządzają już policjanci. To nasze serwery, robimy, co chcemy Holendrzy przystąpili do dzieła. Po pierwsze zmodyfikowali kod serwisu tak, by przechwytywać i zapisywać hasła użytkowników w trakcie logowania do bazaru. Po drugie zmodyfikowali funkcję wiadomości wewnętrznych, które szyfrowane były za pomocą PGP. Po modyfikacji kopia wiadomości była zapisywana przed zaszyfrowaniem, dając tym samym policji dostęp do wielu adresów odbiorców narkotyków. Po trzecie zmodyfikowali funkcję usuwania metadanych ze zdjęć. Hansa automatycznie czyściła wrzucane zdjęcia z metadanych, takich jak lokalizacja GPS czy model aparatu, którym wykonano zdjęcie. Po modyfikacji policji dane te były zapisywane na serwerze. Co więcej, policjanci zasymulowali awarię serwera, która spowodowała usunięcie wszystkich zdjęć, zmuszając użytkowników do ponownego ich wgrania. Podstęp się udał – podobno ok. 50 dilerów nie zadbało o bezpieczeństwo wykonywanych przez siebie zdjęć i pozwoliło w ten sposób namierzyć ich lokalizację. Najlepszym zagraniem policji była jednak modyfikacja pliku, który miał umożliwiać odzyskanie bitcoinów w razie problemów z dostępnością serwera. Wcześniej był to po prostu plik tekstowy zawierający informacje potrzebne do odblokowania portfela. Policjanci zamienili go na plik Excela. Oczywiście specjalnie przygotowany plik Excela. Nie było w nim exploita. Nie było w nim kodu makro. Było za to odwołanie do zewnętrznego obrazka. http://217.182.159.33:9998/img/xxxxxxxxxxxxxxxxxxxxxxxxxxxx/logo/logo.png gdzie „xxxx” było unikatowym identyfikatorem użytkownika. Jeśli ktoś otworzył taki plik w miejscu, gdzie Excel dysponował zwykłym połączeniem do internetu (np. nie używając do tego celu maszyny wirtualnej połączonej tylko za pomocą Tora), to ujawniał w ten sposób swój adres IP policji. Na tę sztuczkę dało się podobno złapać kolejnych 64 dilerów. Jednocześnie oprócz przeprowadzania ataków na użytkowników serwisu holenderska policja bardzo troszczyła się o właściwą obsługę klientów, by nie wzbudzić żadnych podejrzeń kupujących i sprzedających. Policjanci wcześniej poznali język administratorów, by lepiej ich udawać, i dedykowali cały zespół do obsługi ich dwóch kont. Dzięki zaangażowaniu większego personelu osiągnęli całkiem niezły efekt – moderatorzy i użytkownicy bardzo się cieszyli, że kontakt z administratorami jest taki szybki. Za dużo pracy Gdy Amerykanie zamknęli AlphaBay, do Hansy ruszyła rzeka nowych użytkowników. Choć Holendrzy byli gotowi obsłużyć tych klientów od strony technicznej, to pojawił się inny problem. Zgodnie z obowiązującymi ich przepisami mieli obowiązek zgłaszać każdą transakcję zawieraną na kontrolowanym przez siebie bazarze Europolowi. Gdy obrót osiągnął 1000 transakcji dziennie, realizacja tego obowiązku stała się bardzo uciążliwa. Wytrwali łącznie 27 dni, rejestrując dane 27 tysięcy transakcji kupna i sprzedaży narkotyków. Hansa podzieliła los AlphaBay i została zamknięta. Wynik operacji Policja pozyskała dane 420 000 użytkowników, lecz zapewne były najczęściej ograniczone do loginu i hasła. Dla 10 000 użytkowników ustaliła także adresy dostawy przesyłek. Dane te zostały przekazane Europolowi, a ten powinien przekazać je organom w odpowiednich krajach. Udało się do tej pory aresztować około tuzina największych sprzedawców, a kolejne zatrzymania planowane są na najbliższe tygodnie. Policji udało się przejąć ok. 1200 bitcoinów. Choć Hansa korzystała z portfeli wielopodpisowych, to odpowiednio zmodyfikowany kod serwisu pomógł policji w zarekwirowaniu tych środków. W przeciwieństwie do skutków zamknięcia SilkRoad, SilkRoad 2 czy AlphaBay, w przypadku Hansy sprzedawcy nie pojawili się na nowych serwisach pod tymi samymi pseudonimami. Czy faktycznie zaprzestali swojej działalności, czy tylko zmienili wirtualną tożsamość? To pytanie pozostaje bez odpowiedzi.

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 9 22:45 [raw]

Przydał my się market zdecentralizowany działający na zasadzie p2p nie do zamknięcia.

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 12 23:49 [raw]

openbazaar?

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 13 16:51 [raw]

Ale tam nie ma narkotyków więc to nie jest czarny rynek.

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 13 17:38 [raw]

To bądź pierwszy.

[chan] po_polsku
BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y

Subject Last Count
Razem z ochroniarzami wyrzucił dziennikarzy Sep 22 20:37 1
JAK SKW - OBCIAGA KUTASA. Sep 22 17:38 5
POLICJA - JEBAC KURWE Sep 22 17:36 11
Defilada Armii Czerwonej i Wermachtu w Brześciu Sep 22 14:47 1
Rostowskiego czeka odsiadka Sep 22 13:51 1
Potajemne nagrywanie prezydenta Donalda Trumpa Sep 22 08:42 1
Relacje polsko-amerykańskie nigdy nie były tak dobre jak dzisiaj Sep 22 06:45 1
WIS = WSI Sep 22 05:20 1
gdzie kupic lewe papiery Sep 21 21:28 3
Ruscy planowali ucieczkę swojego agenta Assange'a Sep 21 20:30 1
JaK SKW OBCIĄGA Sep 21 18:24 1
Tuluza. Gwałt zbiorowy na 19-latce. Wideo pojawiło się w internecie. "Przestańcie filmować, to gwałt!" Sep 21 16:48 6
Wspaniałe życie w Chinach Sep 21 16:18 1
Pieniądze z funduszu na wsparcie ofiar przestępców poszły na system do inwigilacji Sep 21 12:45 1
Morawiecki chce po kryjomu dać dupy nadzwyczajnej kaście Sep 21 11:38 1
Zasłynął wydarzeniami na stacji benzynowej Sep 21 11:38 1
Sędzia nie może należeć do partii politycznej Sep 21 11:38 1
USA ukarały Chiny Sep 21 11:38 1
Akcja wybielania NKWD Sep 21 11:38 1
Dziękuję za te wyrazy uznania! ;-) Sep 21 11:38 1
„To nie ma znaczenia”, „przypadek”, „błędy młodości”, „to było wiele lat temu” Sep 21 11:38 1
Stany Zjednoczone przeniosą do Polski swoje siły zbrojne Sep 21 11:29 1
Trump uderzył w Rosję i Chiny Sep 21 11:29 1
Niemiłe przygody z różnymi służbami – historie prawdziwe Sep 21 11:21 1
NSA potrafi wstrzykiwać pakiety do sieci WiFi z odległości 12 kilometrów Sep 21 11:17 2
Czemu nie powinniście obcym pozwalać dotykać swoich komputerów Sep 21 11:05 5
Te zmiany w sądownictwie realnie odczują Polacy Sep 21 10:58 1
Ekshumacje nie są prywatną sprawą rodzin, które złożyły skargę Sep 21 10:58 1
Podsłuchiwanie monitora mikrofonem, czyli czy obrazy wydają dźwięki Sep 21 10:55 1
Wyłączyliście mikrofon? Dalej można Was podsłuchiwać przez słuchawki Sep 21 10:47 1
Pomysł na zabawe - zamach terorystyczny ? Sep 21 10:34 11
Receptury wytwarzania różnych materiałów wybuchowych Sep 20 18:29 1
Szyderstwa i napad lewackich mediów Sep 20 17:31 1
Pseudo-Polactwo, sowieckie bękarty podrzuconych nam na sowieckich tankach komunistów Sep 20 16:38 1
Wizyta prezydenta Dudy w Waszyngtonie przyniosła nam efekty o strategicznym znaczeniu Sep 20 13:17 1
O co USA walczą z Chinami? Sep 20 12:47 1
„Fort Trump” wypromował Polskę na całym świecie Sep 20 12:29 1
Prezydent Trump poświęcił stronie polskiej więcej czasu niż było planowane Sep 20 12:29 1
Polska wzrasta w siłę i będzie liderem w regionie Sep 20 12:29 1
Archiwum Eissa potwierdza zaangażowanie Polaków, państwa polskiego w ratowanie Żydów. Sep 20 12:29 1
Przedłużyła się o aż o 40 minut, co jest w świecie dyplomacji ewenementem. Sep 20 12:15 1
Orzecznie ETPCz to porażka prokuratury z czasów PO Sep 20 12:14 1
W trumnach prezydenta Ryszarda Kaczorowskiego i Anny Walentynowicz złożone były inne osoby Sep 20 12:13 1
Europejski Trybunał Praw Człowieka na smyczy Kremla Sep 20 12:11 1
Jaśkowiak chce sprowadzić do Polski terrorystów i gwałcicieli Sep 20 12:11 1
Zapadła decyzja o fundamentalnej zmianie punktu równowagi strategicznej Sep 20 12:11 1
Konstytucjonalista z ZSMP Sep 20 12:11 1
Kim jest OneAnother Sep 19 19:04 2
penis Sep 19 18:06 1
Niemcy grają na korzyść Rosji Sep 19 17:31 1
A to mówią, że nic nie załatwił, a to, że stał, a nie siedział Sep 19 17:18 1
Ogromny sukces spotkania w Białym Domu Sep 19 16:05 1
Joanna Schmidt poniesie odpowiedzialność za wwiezienie na teren Sejmu terrorystów Sep 19 15:36 1
Kolejna wtopa Platformy Zielonych Ludzików Sep 19 15:36 1
Totalna opozycja i ich „izolacja Polski” Sep 19 15:36 1
Szanowni Państwo Sep 19 15:24 2
Panie "alois" z forum multipasko... Sep 19 15:16 2
Potężna inwigilacja, czyli jak Ameryka podsłuchuje świat... Sep 19 12:33 4
Obława na pirackie kopie Windowsa? Sep 19 12:30 1
Ciche ugody polskiego kościoła z ofiarami pedofilii. 10 tys. zł i milczenie Sep 19 12:10 1
Nie ma mowy o sprowadzaniu uchodźców do Polski i do Poznania Sep 19 11:42 1
Media o świetnych relacjach Dudy i Trumpa Sep 19 11:22 1
Prezydent Trump wspomina polskiego bohatera! Sep 19 11:22 1
Mocny przekaz z USA Sep 19 11:22 1
Zielony ludzik Skolimowski Sep 19 11:22 1
Wspólna konferencja prezydentów Polski i USA Sep 19 11:22 1
Porozumienie Polski i USA, to kolejny cios dla Rosji Sep 19 11:22 1
Ależ oberwało się Moskwie! Sep 19 11:22 1
Współpraca strategiczna między Rzecząpospolitą Polską a Stanami Zjednoczonymi Ameryki Sep 19 11:22 1
Każda agresja wobec Polski będzie atakiem na żołnierzy USA Sep 19 11:22 1
Gdzie ci putinofile? Sep 19 11:22 1
magnetlink do filmu "kler" Sep 18 21:34 5
Jeśli będąc nastolatkiem nie ruchałeś małych dziewczynek i nastolatek to przegrałeś życie i to z KRETESEM Sep 18 20:18 1
Korwin-Mikke: „Teraz nastolatki będą się masowo pchały księżom do łóżek!”... Sep 18 18:21 1
Jeżeli chodzi o rzekomy wzrost luki VAT, jest to oczywiście nieprawda Sep 18 18:18 1
Prawda o Bogu - Ateizm Sep 18 17:48 1
Bezpieczeństwo Polski jest dla nas bardzo ważne – oznajmił Trump Sep 18 17:11 1
Jak nie dać się zaskoczyć z włączonym sprzętem? Sep 18 17:02 6
Andrzej Duda z małżonką powitani w Białym Domu Sep 18 16:48 1
Władze Poznania chcą przyjąć u siebie uchodźców Sep 18 15:18 1
Wojna wydana oszustom Sep 18 15:12 2
propozycja Sep 18 11:52 1
Rosjanie podmienili skrzynki Tupolewa Sep 18 11:43 4
Kremlowskie podkopy pod rządem Dobrej Zmiany Sep 18 11:17 1
Węgry to płatna przechowalnia rosyjskiej agentury Sep 18 11:17 1
Wzmocnienie amerykańskiej obecności w Polsce Sep 18 11:16 1
ZAMACH TERORYSTYCZNY - pomysł na zabawe ? Sep 18 08:35 1
ZAmACH TeRORYSTYCZNY - Pomysl na zabawe. Sep 17 19:08 1
Wyznanie Sep 17 18:58 2
siemano Sep 17 18:56 7
JAK SKW - OBCIAGA KUTASA. Sep 17 18:41 1
JEBAC KURWE POLICJE Sep 17 18:35 54
Kukiz'15, przechowalnia komunistycznej agentury Sep 17 18:31 1
Kukiz'15 - partia esbeków i agentów Sep 17 18:29 1
JAK SKW OBCIĄGA. Sep 17 16:48 43
Eurogawnojedy przeciwko KRS Sep 17 16:26 1
Szałasy do żydowskich modlitw staną w Warszawie Sep 17 15:35 1
A rzecznik Putina brnie... Sep 17 15:21 1
Czas najwyższy przestać już przejmować się wyborcami Sep 17 15:21 1
Kasowane są niewygodne fakty o pakcie Ribbentrop-Mołotow Sep 17 13:43 1