Jak policja namierzyła, przejęła i prowadziła wielki bazar narkotykowy

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 9 18:55 [raw]

W zeszłym roku organy ścigania zamknęły dwa ogromne narkotykowe bazary – Hansa i Alphabay. Dzisiaj możemy poznać szczegóły losów tego pierwszego, a historia jest pełna interesujących detali i przez to bardzo ciekawa. Na początek kawałek historii. W lipcu 2017 opisywaliśmy zamknięcie Alphabay i Hansy jako wielki sukces organów ścigania. Skalę tego sukcesu poznajemy w pełni dopiero dzisiaj, gdy holenderska policja postanowiła pochwalić się tym, jak namierzyła market Hansa, zidentyfikowała jego właścicieli, doprowadziła do ich zatrzymania, przejęła kontrolę nad marketem i przez miesiąc zbierała dane jego użytkowników. Zaczęło się od jednej informacji Śledztwo w sprawie Hansy zaczęło się tak, jak większość tego typu spraw – od wskazówki otrzymanej przez śledczych. Firma z branży bezpieczeństwa, prawdopodobnie Bitdefender, jesienią 2016 natrafiła w sieci na serwer deweloperski Hansy. Okazuje się, że architekci infrastruktury jednego z największych bazarów narkotykowych w historii niczego nie nauczyli się z porażek konkurencji i serwer deweloperski dostępny był w zwykłym internecie, w holenderskiej serwerowni. Firma przekazała tę informację holenderskiej policji, która postanowiła zająć się sprawą. Cały ciąg dalszy to w zasadzie seria wpadek twórców serwisu oraz jego użytkowników. Serwer tu, serwer tam Policjanci uzyskali nakaz przeszukania serwera i jego podsłuchu. W serwerowni zainstalowali sprzęt umożliwiający pełny monitoring ruchu podejrzanej maszyny. Bardzo szybko wyszło na jaw, że serwer łączył się z produkcyjną maszyną Hansy zlokalizowaną w tej samej serwerowni. Co prawda, maszyna produkcyjna była lepiej zabezpieczona, ale jej zlokalizowanie nie było w tej sytuacji problemem. Zidentyfikowano także połączenia z drugą parą serwerów – tym razem w serwerowni niemieckiej. Policjanci oczywiście uzyskali kopie binarne wszystkich dysków czterech serwerów i znaleźli na nich pełną bazę danych bazaru Hansa. To nie musiało jeszcze prowadzić do ujawnienia danych administratorów bazaru. Na jednym z niemieckich serwerów znaleziono jednak niezwykły skarb – logi IRC-a, komunikatora popularnego w czasach dinozaurów. Logi gromadzone były od kilku lat i wskazywały na regularne rozmowy dwóch mężczyzn. Analiza tych rozmów pozwoliła odnaleźć w nich nie tylko imiona i nazwiska obu podejrzanych, ale nawet adres zamieszkania jednego z nich. Obaj mieszkali w Niemczech, blisko granicy z Holandią. Wyśmienity pomysł, milordowie, by trzymać te dane na serwerze powiązanym z produkcyjną maszyną Hansy. A gdyby tak nie zamykać Wcześniejsze akcje organów ścigania miały z reguły bardzo podobny przebieg. Zatrzymanie sprawców, zamknięcie serwera, sprzedawcy i ich klienci przenoszą się na następną platformę, biznes kręci się bez większych przeszkód. Holendrzy bardzo chcieli, by ich akcja wywarła większy wpływ na świat handlu narkotykami w sieci. Okazja nadarzyła się sama. Gdy Holendrzy skontaktowali się z Niemcami, by poprosić o zatrzymanie podejrzanych, okazało się, że obaj są już znani niemieckim organom ścigania – lecz z czegoś odrobinę innego. Obaj prowadzili portal Lul.to, sprzedający pirackie e-booki i audiobooki. Holendrzy pomyśleli, że w związku z tym jest szansa zatrzymać administratorów Hansy pod innym pretekstem i być może przejąć w niezauważony sposób kontrolę nad stroną. Gdy przygotowywano akcję przejęcia serwerów, policjantów spotkała przykra niespodzianka. Ruch do serwerów zniknął, wskazując, że przestępcy przenieśli się gdzie indziej. Prawdopodobnie operacja kopiowania dysków mogła wzbudzić podejrzenia administratorów Hansy lub stosowali zasadę okresowej migracji „na wszelki wypadek”. Co zatem zrobili holenderscy policjanci? Mogli poprosić o aresztowanie podejrzanych i szukać śladów nowego serwera na ich komputerach, jednak wybrali inną drogę – wymagającą wysiłku i cierpliwości. Przeszukiwali cały materiał dowodowy, by znaleźć nowe tropy – i znaleźli. Zaczęli obserwować ruchy na portfelach bitcoinowych, których ślady znaleźli w logach i ta strategia się opłaciła. W kwietniu 2017 z jednego z obserwowanych portfeli dokonano płatności. Korzystając z narzędzia Chainalysis, policjanci ustalili, że płatność trafiła do holenderskiego pośrednika finansowego. Ten z kolei mógł wskazać, że przelew powędrował do firmy hostingowej na Litwie. Znalezienie serwerów było już tylko kwestią odpowiedniego nakazu. Krótko potem Holendrzy dowiedzieli się, że Amerykanie są na tropie administratora AlphaBay. To stworzyło kolejną okazję do wywarcia większego wpływu na rynek handlu narkotykami. Synchronizacja działań służb obu krajów mogła pozwolić Holendrom na przejęcie klientów zamykanego AlphaBay. Holendrzy w porozumieniu z Niemcami i Amerykanami zaplanowali całą akcję. Najpierw dwóch agentów udało się na Litwę, by skopiować dane z serwerów. 20 czerwca Niemcy zatrzymali obu administratorów (dali się złapać z włączonymi i odszyfrowanymi komputerami), a Holendrzy natychmiast rozpoczęli proces przenoszenia strony na kontrolowane przez siebie serwery. Proces przebiegał tak sprawnie, że użytkownicy Hansy nie zorientowali się, że ich bazarem zarządzają już policjanci. To nasze serwery, robimy, co chcemy Holendrzy przystąpili do dzieła. Po pierwsze zmodyfikowali kod serwisu tak, by przechwytywać i zapisywać hasła użytkowników w trakcie logowania do bazaru. Po drugie zmodyfikowali funkcję wiadomości wewnętrznych, które szyfrowane były za pomocą PGP. Po modyfikacji kopia wiadomości była zapisywana przed zaszyfrowaniem, dając tym samym policji dostęp do wielu adresów odbiorców narkotyków. Po trzecie zmodyfikowali funkcję usuwania metadanych ze zdjęć. Hansa automatycznie czyściła wrzucane zdjęcia z metadanych, takich jak lokalizacja GPS czy model aparatu, którym wykonano zdjęcie. Po modyfikacji policji dane te były zapisywane na serwerze. Co więcej, policjanci zasymulowali awarię serwera, która spowodowała usunięcie wszystkich zdjęć, zmuszając użytkowników do ponownego ich wgrania. Podstęp się udał – podobno ok. 50 dilerów nie zadbało o bezpieczeństwo wykonywanych przez siebie zdjęć i pozwoliło w ten sposób namierzyć ich lokalizację. Najlepszym zagraniem policji była jednak modyfikacja pliku, który miał umożliwiać odzyskanie bitcoinów w razie problemów z dostępnością serwera. Wcześniej był to po prostu plik tekstowy zawierający informacje potrzebne do odblokowania portfela. Policjanci zamienili go na plik Excela. Oczywiście specjalnie przygotowany plik Excela. Nie było w nim exploita. Nie było w nim kodu makro. Było za to odwołanie do zewnętrznego obrazka. http://217.182.159.33:9998/img/xxxxxxxxxxxxxxxxxxxxxxxxxxxx/logo/logo.png gdzie „xxxx” było unikatowym identyfikatorem użytkownika. Jeśli ktoś otworzył taki plik w miejscu, gdzie Excel dysponował zwykłym połączeniem do internetu (np. nie używając do tego celu maszyny wirtualnej połączonej tylko za pomocą Tora), to ujawniał w ten sposób swój adres IP policji. Na tę sztuczkę dało się podobno złapać kolejnych 64 dilerów. Jednocześnie oprócz przeprowadzania ataków na użytkowników serwisu holenderska policja bardzo troszczyła się o właściwą obsługę klientów, by nie wzbudzić żadnych podejrzeń kupujących i sprzedających. Policjanci wcześniej poznali język administratorów, by lepiej ich udawać, i dedykowali cały zespół do obsługi ich dwóch kont. Dzięki zaangażowaniu większego personelu osiągnęli całkiem niezły efekt – moderatorzy i użytkownicy bardzo się cieszyli, że kontakt z administratorami jest taki szybki. Za dużo pracy Gdy Amerykanie zamknęli AlphaBay, do Hansy ruszyła rzeka nowych użytkowników. Choć Holendrzy byli gotowi obsłużyć tych klientów od strony technicznej, to pojawił się inny problem. Zgodnie z obowiązującymi ich przepisami mieli obowiązek zgłaszać każdą transakcję zawieraną na kontrolowanym przez siebie bazarze Europolowi. Gdy obrót osiągnął 1000 transakcji dziennie, realizacja tego obowiązku stała się bardzo uciążliwa. Wytrwali łącznie 27 dni, rejestrując dane 27 tysięcy transakcji kupna i sprzedaży narkotyków. Hansa podzieliła los AlphaBay i została zamknięta. Wynik operacji Policja pozyskała dane 420 000 użytkowników, lecz zapewne były najczęściej ograniczone do loginu i hasła. Dla 10 000 użytkowników ustaliła także adresy dostawy przesyłek. Dane te zostały przekazane Europolowi, a ten powinien przekazać je organom w odpowiednich krajach. Udało się do tej pory aresztować około tuzina największych sprzedawców, a kolejne zatrzymania planowane są na najbliższe tygodnie. Policji udało się przejąć ok. 1200 bitcoinów. Choć Hansa korzystała z portfeli wielopodpisowych, to odpowiednio zmodyfikowany kod serwisu pomógł policji w zarekwirowaniu tych środków. W przeciwieństwie do skutków zamknięcia SilkRoad, SilkRoad 2 czy AlphaBay, w przypadku Hansy sprzedawcy nie pojawili się na nowych serwisach pod tymi samymi pseudonimami. Czy faktycznie zaprzestali swojej działalności, czy tylko zmienili wirtualną tożsamość? To pytanie pozostaje bez odpowiedzi.

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 9 22:45 [raw]

Przydał my się market zdecentralizowany działający na zasadzie p2p nie do zamknięcia.

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 12 23:49 [raw]

openbazaar?

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 13 16:51 [raw]

Ale tam nie ma narkotyków więc to nie jest czarny rynek.

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Mar 13 17:38 [raw]

To bądź pierwszy.

[chan] po_polsku
BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y

Subject Last Count
JEBAC - KURWE POLICJE Dec 12 17:10 58
"Polski" gienerał nadaje moskiewskie dezinformacje Dec 12 15:29 1
W warszawskim Muzeum Historii Żydów Polskich POLIN Dec 12 11:40 1
JAK SKW OBCIAGA KUTASA :) Dec 12 08:56 37
Nauczyciel ze Szczecina zmusił 16-letnią uczennicę do seksu. Aresztowali go Dec 11 15:47 1
"Kryłem pedofilów" na pomnikach Jana Pawła II. Dec 11 15:45 1
Pomysł na zabawe - zamach terorystyczny ? Dec 11 10:27 7
Pedofil w okolicach Warszawy. Namierzył go właściciel serwisu komputerowego Dec 10 21:35 13
Postsowiecki imperializm putinowskiej Rosji Dec 10 15:46 1
APEL- ODEZWA-do-WSZYSTKICH. Dec 8 09:34 4
Dla wielbicieli sprzętu firmy Huawei Dec 8 09:11 1
Ku przestrodze debilom antyszczepionkowcom Dec 7 19:06 1
Piosenki rapera są analizowane pod względem ekstremistycznych treści Dec 7 18:05 1
Elysium is back! Dec 7 03:21 1
UnitedCorp Launches Suit against Bitmain, Bitcoin.com, Roger Ver, Kraken Bitcoin Exchange and others Alleging Hijacking of the Bitcoin Cash Network Dec 6 21:49 1
Dezentrale Plattformen zur Förderung des Links- und Rechtsterrorismus Dec 6 14:15 3
Kryptowaluty Dec 5 21:18 5
Sam tego chciałeś, "ArnoldB". Dec 4 15:11 12
Ruskie trolle pierdolą, że to PiS wysłał młodych Polaków na zmywak... Nov 29 12:11 1
POLACY SRAJĄ NA RUCH NARODOWY Nov 29 12:03 1
Wielka Chazaria to brednia i rosyjska propaganda Nov 29 12:01 1
Coraz większe problemy ekonomiczne doprowadziły do trwałego pogorszenia warunków życia Rosjan Nov 27 13:57 1
Kaczyńscy nie są elitą, bo nie jedli ostryg w Bretanii Nov 27 13:31 1
Kremlowska melodyjka znów zagrała Nov 27 13:31 1
Piotr Tymochowicz, użytkownik numer 1200 Nov 24 18:25 1
wieje nuda Nov 24 11:10 8
W łańcuszku przekazywania funduszy dla Silk Road Nov 24 08:32 1
Monaro router kovri (i2p) Nov 21 18:20 2
JEBAĆ KURWE POLICJE ツ Nov 21 18:18 1
Żydzi w Austrii, Izraelu i na całym świecie będą mogli żyć w warunkach pokoju i wolności Nov 21 18:10 2
Na onet,pl mediach A. Michnika, wp , tvn24 & company - ZERO na temat sensacyjnych zeznań Nov 21 16:57 1
Protonmail to ściema Nov 21 16:33 1
JAK SKW OBCIAGA KUTASA :) Nov 20 19:50 2
JAK ROSYJSKA AGENTURA PODSYCA ANTYŻYDOWSKIE NASTROJE W POLSCE Nov 20 18:55 2
JAK SKW - OBCIAGA KUTASA. Nov 20 18:17 20
Załóżmy, że raz „Gazeta Wyborcza” napisała prawdę Nov 20 17:38 1
Deportacje Polaków w głąb Rosji oraz grabież polskich dóbr kultury. Nov 20 17:38 1
Kim jest OneAnother Nov 18 19:36 1
Służba dla Sowietów była jednoczesnym wyparciem się Rzeczypospolitej Polskiej niepodległej Nov 18 16:18 1
Ostrzeżenie dla "arnoldB" Nov 17 14:40 1
Większość mediów postanowiła tych faktów nie zauważać. Nov 17 10:08 1
Ukraina nie ma większego przyjaciela niż USA Nov 17 08:18 1
Kacapy zakłócają GPS Nov 17 08:18 1
pozbawianie majątku przestępców jest najskuteczniejszym narzędziem Nov 15 19:13 1
jesteście debilami Nov 15 16:15 2
Setki milionów ludzi wołają: STALIN! STALIN! STALIN! Nov 14 19:01 1