Jak policja namierzyła, przejęła i prowadziła wielki bazar narkotykowy

[chan] po_polsku
Mar 9 18:55 [raw]

W zeszłym roku organy ścigania zamknęły dwa ogromne narkotykowe bazary – Hansa i Alphabay. Dzisiaj możemy poznać szczegóły losów tego pierwszego, a historia jest pełna interesujących detali i przez to bardzo ciekawa. Na początek kawałek historii. W lipcu 2017 opisywaliśmy zamknięcie Alphabay i Hansy jako wielki sukces organów ścigania. Skalę tego sukcesu poznajemy w pełni dopiero dzisiaj, gdy holenderska policja postanowiła pochwalić się tym, jak namierzyła market Hansa, zidentyfikowała jego właścicieli, doprowadziła do ich zatrzymania, przejęła kontrolę nad marketem i przez miesiąc zbierała dane jego użytkowników. Zaczęło się od jednej informacji Śledztwo w sprawie Hansy zaczęło się tak, jak większość tego typu spraw – od wskazówki otrzymanej przez śledczych. Firma z branży bezpieczeństwa, prawdopodobnie Bitdefender, jesienią 2016 natrafiła w sieci na serwer deweloperski Hansy. Okazuje się, że architekci infrastruktury jednego z największych bazarów narkotykowych w historii niczego nie nauczyli się z porażek konkurencji i serwer deweloperski dostępny był w zwykłym internecie, w holenderskiej serwerowni. Firma przekazała tę informację holenderskiej policji, która postanowiła zająć się sprawą. Cały ciąg dalszy to w zasadzie seria wpadek twórców serwisu oraz jego użytkowników. Serwer tu, serwer tam Policjanci uzyskali nakaz przeszukania serwera i jego podsłuchu. W serwerowni zainstalowali sprzęt umożliwiający pełny monitoring ruchu podejrzanej maszyny. Bardzo szybko wyszło na jaw, że serwer łączył się z produkcyjną maszyną Hansy zlokalizowaną w tej samej serwerowni. Co prawda, maszyna produkcyjna była lepiej zabezpieczona, ale jej zlokalizowanie nie było w tej sytuacji problemem. Zidentyfikowano także połączenia z drugą parą serwerów – tym razem w serwerowni niemieckiej. Policjanci oczywiście uzyskali kopie binarne wszystkich dysków czterech serwerów i znaleźli na nich pełną bazę danych bazaru Hansa. To nie musiało jeszcze prowadzić do ujawnienia danych administratorów bazaru. Na jednym z niemieckich serwerów znaleziono jednak niezwykły skarb – logi IRC-a, komunikatora popularnego w czasach dinozaurów. Logi gromadzone były od kilku lat i wskazywały na regularne rozmowy dwóch mężczyzn. Analiza tych rozmów pozwoliła odnaleźć w nich nie tylko imiona i nazwiska obu podejrzanych, ale nawet adres zamieszkania jednego z nich. Obaj mieszkali w Niemczech, blisko granicy z Holandią. Wyśmienity pomysł, milordowie, by trzymać te dane na serwerze powiązanym z produkcyjną maszyną Hansy. A gdyby tak nie zamykać Wcześniejsze akcje organów ścigania miały z reguły bardzo podobny przebieg. Zatrzymanie sprawców, zamknięcie serwera, sprzedawcy i ich klienci przenoszą się na następną platformę, biznes kręci się bez większych przeszkód. Holendrzy bardzo chcieli, by ich akcja wywarła większy wpływ na świat handlu narkotykami w sieci. Okazja nadarzyła się sama. Gdy Holendrzy skontaktowali się z Niemcami, by poprosić o zatrzymanie podejrzanych, okazało się, że obaj są już znani niemieckim organom ścigania – lecz z czegoś odrobinę innego. Obaj prowadzili portal Lul.to, sprzedający pirackie e-booki i audiobooki. Holendrzy pomyśleli, że w związku z tym jest szansa zatrzymać administratorów Hansy pod innym pretekstem i być może przejąć w niezauważony sposób kontrolę nad stroną. Gdy przygotowywano akcję przejęcia serwerów, policjantów spotkała przykra niespodzianka. Ruch do serwerów zniknął, wskazując, że przestępcy przenieśli się gdzie indziej. Prawdopodobnie operacja kopiowania dysków mogła wzbudzić podejrzenia administratorów Hansy lub stosowali zasadę okresowej migracji „na wszelki wypadek”. Co zatem zrobili holenderscy policjanci? Mogli poprosić o aresztowanie podejrzanych i szukać śladów nowego serwera na ich komputerach, jednak wybrali inną drogę – wymagającą wysiłku i cierpliwości. Przeszukiwali cały materiał dowodowy, by znaleźć nowe tropy – i znaleźli. Zaczęli obserwować ruchy na portfelach bitcoinowych, których ślady znaleźli w logach i ta strategia się opłaciła. W kwietniu 2017 z jednego z obserwowanych portfeli dokonano płatności. Korzystając z narzędzia Chainalysis, policjanci ustalili, że płatność trafiła do holenderskiego pośrednika finansowego. Ten z kolei mógł wskazać, że przelew powędrował do firmy hostingowej na Litwie. Znalezienie serwerów było już tylko kwestią odpowiedniego nakazu. Krótko potem Holendrzy dowiedzieli się, że Amerykanie są na tropie administratora AlphaBay. To stworzyło kolejną okazję do wywarcia większego wpływu na rynek handlu narkotykami. Synchronizacja działań służb obu krajów mogła pozwolić Holendrom na przejęcie klientów zamykanego AlphaBay. Holendrzy w porozumieniu z Niemcami i Amerykanami zaplanowali całą akcję. Najpierw dwóch agentów udało się na Litwę, by skopiować dane z serwerów. 20 czerwca Niemcy zatrzymali obu administratorów (dali się złapać z włączonymi i odszyfrowanymi komputerami), a Holendrzy natychmiast rozpoczęli proces przenoszenia strony na kontrolowane przez siebie serwery. Proces przebiegał tak sprawnie, że użytkownicy Hansy nie zorientowali się, że ich bazarem zarządzają już policjanci. To nasze serwery, robimy, co chcemy Holendrzy przystąpili do dzieła. Po pierwsze zmodyfikowali kod serwisu tak, by przechwytywać i zapisywać hasła użytkowników w trakcie logowania do bazaru. Po drugie zmodyfikowali funkcję wiadomości wewnętrznych, które szyfrowane były za pomocą PGP. Po modyfikacji kopia wiadomości była zapisywana przed zaszyfrowaniem, dając tym samym policji dostęp do wielu adresów odbiorców narkotyków. Po trzecie zmodyfikowali funkcję usuwania metadanych ze zdjęć. Hansa automatycznie czyściła wrzucane zdjęcia z metadanych, takich jak lokalizacja GPS czy model aparatu, którym wykonano zdjęcie. Po modyfikacji policji dane te były zapisywane na serwerze. Co więcej, policjanci zasymulowali awarię serwera, która spowodowała usunięcie wszystkich zdjęć, zmuszając użytkowników do ponownego ich wgrania. Podstęp się udał – podobno ok. 50 dilerów nie zadbało o bezpieczeństwo wykonywanych przez siebie zdjęć i pozwoliło w ten sposób namierzyć ich lokalizację. Najlepszym zagraniem policji była jednak modyfikacja pliku, który miał umożliwiać odzyskanie bitcoinów w razie problemów z dostępnością serwera. Wcześniej był to po prostu plik tekstowy zawierający informacje potrzebne do odblokowania portfela. Policjanci zamienili go na plik Excela. Oczywiście specjalnie przygotowany plik Excela. Nie było w nim exploita. Nie było w nim kodu makro. Było za to odwołanie do zewnętrznego obrazka. http://217.182.159.33:9998/img/xxxxxxxxxxxxxxxxxxxxxxxxxxxx/logo/logo.png gdzie „xxxx” było unikatowym identyfikatorem użytkownika. Jeśli ktoś otworzył taki plik w miejscu, gdzie Excel dysponował zwykłym połączeniem do internetu (np. nie używając do tego celu maszyny wirtualnej połączonej tylko za pomocą Tora), to ujawniał w ten sposób swój adres IP policji. Na tę sztuczkę dało się podobno złapać kolejnych 64 dilerów. Jednocześnie oprócz przeprowadzania ataków na użytkowników serwisu holenderska policja bardzo troszczyła się o właściwą obsługę klientów, by nie wzbudzić żadnych podejrzeń kupujących i sprzedających. Policjanci wcześniej poznali język administratorów, by lepiej ich udawać, i dedykowali cały zespół do obsługi ich dwóch kont. Dzięki zaangażowaniu większego personelu osiągnęli całkiem niezły efekt – moderatorzy i użytkownicy bardzo się cieszyli, że kontakt z administratorami jest taki szybki. Za dużo pracy Gdy Amerykanie zamknęli AlphaBay, do Hansy ruszyła rzeka nowych użytkowników. Choć Holendrzy byli gotowi obsłużyć tych klientów od strony technicznej, to pojawił się inny problem. Zgodnie z obowiązującymi ich przepisami mieli obowiązek zgłaszać każdą transakcję zawieraną na kontrolowanym przez siebie bazarze Europolowi. Gdy obrót osiągnął 1000 transakcji dziennie, realizacja tego obowiązku stała się bardzo uciążliwa. Wytrwali łącznie 27 dni, rejestrując dane 27 tysięcy transakcji kupna i sprzedaży narkotyków. Hansa podzieliła los AlphaBay i została zamknięta. Wynik operacji Policja pozyskała dane 420 000 użytkowników, lecz zapewne były najczęściej ograniczone do loginu i hasła. Dla 10 000 użytkowników ustaliła także adresy dostawy przesyłek. Dane te zostały przekazane Europolowi, a ten powinien przekazać je organom w odpowiednich krajach. Udało się do tej pory aresztować około tuzina największych sprzedawców, a kolejne zatrzymania planowane są na najbliższe tygodnie. Policji udało się przejąć ok. 1200 bitcoinów. Choć Hansa korzystała z portfeli wielopodpisowych, to odpowiednio zmodyfikowany kod serwisu pomógł policji w zarekwirowaniu tych środków. W przeciwieństwie do skutków zamknięcia SilkRoad, SilkRoad 2 czy AlphaBay, w przypadku Hansy sprzedawcy nie pojawili się na nowych serwisach pod tymi samymi pseudonimami. Czy faktycznie zaprzestali swojej działalności, czy tylko zmienili wirtualną tożsamość? To pytanie pozostaje bez odpowiedzi.

[chan] po_polsku
Mar 9 22:45 [raw]

Przydał my się market zdecentralizowany działający na zasadzie p2p nie do zamknięcia.

[chan] po_polsku
Mar 12 23:49 [raw]

openbazaar?

[chan] po_polsku
Mar 13 16:51 [raw]

Ale tam nie ma narkotyków więc to nie jest czarny rynek.

[chan] po_polsku
Mar 13 17:38 [raw]

To bądź pierwszy.

[chan] po_polsku
BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y

Subject Last Count
Po przejrzeniu zawartości komputerów specjalistom udało się ustalić kody Jun 21 21:30 7
Czy czeka nas cenzura Internetu? Jun 21 20:35 29
7-godzinny dzień pracy dla rodziców? Projekt ustawy jest już w Sejmie! Jun 21 20:22 9
Stzelanina w Bielanach Wrocławskich. Jun 21 20:19 2
Próba ocenzurowania Internetu przez lewaków Jun 21 17:42 2
JAK SKW OBCIĄGA. Jun 21 17:39 2
Agent STASI "Oskar" przejęty przez BND Jun 21 17:02 2
Magia szamanistyczna DZIAŁA Jun 21 16:58 7
Folksdojcz tak obrzydliwy, że aż brzydzą się go Niemcy. Jun 21 16:43 1
RE: Prostytutki oburzone! Okrutne słowa klientów. Powołują się na RODO Jun 21 16:22 10
Wielka Brytania i Polska mówią jednym głosem, idziemy ramię w ramię Jun 21 15:31 1
Pokazujemy piękno Polski, język ojczysty, historię, tradycje. Jun 21 15:01 1
Koniec ruskiego desantu na Europę Jun 21 15:01 1
Po zajęciach, w czasie wolnym od służby, doszło do nieszczęśliwego wypadku. Jun 21 15:01 1
Musimy wynająć Rusków, żeby ją załatwić. Jun 21 14:54 1
JEBAC KURWE POLICJE Jun 21 14:35 54
Polska rośnie w siłę, polska gospodarka jest coraz silniejsza i zaczyna być liderem Europy Wschodniej Jun 21 14:35 10
Rosyjski agent Andrzej Duda próbuje przejąć dla Putina Konstytucję Jun 21 14:28 1
RE: RODO a cezura internetu? Jun 21 14:07 1
Kiedy zostaną sprostowane kłamstwa na temat Antoniego Macierewicza? Jun 21 09:09 2
Są granice kompromisu, poza które cofnąć się nie wolno Jun 21 08:12 1
Przepis na stworzenie leminga jest w zasadzie bardzo prosty Jun 21 07:06 1
Magia szamanistyczna działa skutecznie - polscy "piłkarze" zgnojeni Jun 21 06:00 3
"To miejsce zdrajców i pedofilów". Clint Eastwood zapowiada walkę z Hollywood Jun 20 20:09 1
STOP SOROS Jun 20 17:42 3
Chcą pamiętać tylko o zbrodniach nazizmu, a nie komunizmu Jun 20 17:05 2
Chorzy psychicznie lewacy chcą ocenzurować sieć Jun 20 16:59 1
диверсия, говорите? Jun 20 16:48 8
WYTRYSK ABERRACJI Jun 20 16:14 1
Ćwiczenia w Polsce hipnotycznego sterowania człowiekiem przed realizacją "zamachów terrorystycznych" Jun 20 14:45 1
RODO a cezura internetu? Jun 20 12:13 4
Grillowanie kacapii przez UK Jun 20 06:18 1
Koniec ruskiego szczucia ONZ na Izrael Jun 20 06:06 1
PRL-owkie rządy pomazańców gruzińskiego dewianta i jego następców Jun 20 06:06 1
mecz ... Jun 19 22:35 1
Zamach terorystyczny - zabawa ? Jun 19 17:56 4
Sędziowskie zielone ludzki znowu wierzgają przeciwko desowietyzacji sądów Jun 19 17:31 1
PO reprezentuje mafię Jun 19 15:01 1
Wszyscy uczniowie szkół średnich z Lublina zostali wezwani Jun 19 15:01 1
SZMALCOWNICY Jun 19 15:01 1
Dalsze aresztowania w sprawie kolejnej afery PO-PSL Jun 19 15:01 1
Mafia sędziowska skarży się "zagranico" Jun 19 14:56 1
To już jutro! Ostatni moment, by zaprotestować przeciwko cenzurze internetu Jun 19 12:52 5
Pozostało już tylko jedno zasadnicze pytanie – kto pociąga za sznurki? Jun 19 08:37 1
Patriotyzm - absurd i głupota Jun 19 01:41 3
Wiara - co to takiego? Jun 19 01:35 2
Nowe anonimowe forum Jun 19 00:25 1
Bardziej agresywne podejście do obrony kraju przed cyberatakami Jun 18 18:40 1
Amerykańska dominacja w kosmosie Jun 18 18:36 1
Kupię płytę głowną Abit KD7-RAID Jun 18 13:24 1
Dociskanie śruby kacapom Jun 18 13:06 1
Kolejna afera rządów PO-PSL Jun 18 12:54 1
Zdrada stanu Jun 18 12:52 1
Kto, kiedy, z kim i gdzie zawarł taką umowę? Jun 18 12:50 1
10 grzechów PiS które zmniejszyły szanse podejrzanych na sprawiedliwy proces w Polsce, to Jun 18 11:20 2
Macierewicz wciąż MON Jun 18 10:58 3
Należy wpisać zwycięstwo PO do Konstytucji. Jun 18 10:56 1
KSIĄŻE NOCY Jun 18 10:55 1
Brońcie dalej niezależności sądownictwa... od prawa, gawnojedy. Jun 18 10:54 1
Profesjonalnie zorganizowane nawoływanie do łamania prawa Jun 18 09:50 1
Charyzma, uległość, podatność Jun 18 07:48 3
Targowiczanie opluwają Polskę Jun 18 06:51 3
chan russia Jun 17 22:31 11
Polska ma zbyt małe zasoby kapitału intelektualnego Jun 17 20:24 1
Kłamstwa, manipulacje, skandale. 50 afer PiS na 2-lecie rządów Jun 17 20:19 1
Jerzy Zięba - Szarlatan czy Zbawiciel Jun 17 20:07 1
Dane DNA w serwisach genealogicznych mogą być wykorzystane w dochodzeniach Jun 17 17:54 2
Izraelski polityk o supremacji rasy żydowskiej Jun 17 16:25 2
Policjanci bardzo ciężko pobici przez zawodnika sportów walki, zawodowego... Jun 17 16:23 1
15 dilerów dopalaczy w areszcie. Handlarze mają już nowy sposób! Jun 17 16:22 1
Nowe prawo w Australii. Zmienia podejście do tajemnicy spowiedzi Jun 17 16:18 5
Zatrzymano mężczyznę, który przekazał dopalacze nastolatkom Jun 17 16:15 1
Doszukiwanie się trzeciego albo i czwartego dna, wielopiętrowych spisków. Jun 17 15:48 1
PiS nie zamiata afer pod dywan Jun 17 14:49 1
Sprawa smoleńska nie jest częścią gry politycznej, lecz częścią polskiego bytu narodowego Jun 17 14:07 1
Wzorowa praca służb ws. GetBack Jun 17 14:04 1
Spowiedź - najbardziej demoralizujący obyczaj naszych czasów? Jun 17 12:45 3
Federalna Służba Wywiadowcza (BND) prowadziła od końca lat 90. elektroniczną inwigilację Jun 17 11:19 1
Potrzeby seksualne księży Jun 17 11:13 2
Polskim specjalistom od  Chin jest wygodniej nie mówić o  pewnych tematach Jun 17 07:52 1
RDX w Smoleńsku – Pieczęć Putina oraz FSB Jun 17 06:00 1
Przed rosyjską ambasadą w Holandii ustawiono 298 krzeseł Jun 17 05:55 1
Podjął grę z Putinem przeciwko polskiemu prezydentowi Jun 17 05:55 1
Dowód tego, że doszło do eksplozji i że samolot został zniszczony na jej skutek Jun 17 05:55 1
Policja złapała CBA na podkładaniu dowodów Jun 17 02:33 5
instalacja diaspory Jun 16 19:38 1
Prostytutki oburzone! Okrutne słowa klientów. Powołują się na RODO Jun 16 18:42 3
https://www.youtube.com/watch?v=59HQZMC9j6Y Jun 16 17:17 26
Rozpoczyna się wojna z Ziębą i krytykami szczepień Jun 16 16:35 30
W USA uchwalają CREEPER Act - zakaz importu seks-lalek o wyglądzie dzieci Jun 16 14:15 3
Czesi nie chcą izraelskich radarów Jun 16 13:41 1
Wabił na cukierki, prosił, żeby nikomu nie mówiła. 66-letni pedofil... Jun 16 13:35 1
Sprzątanie gawnojedów w USA Jun 16 12:40 2
Osaczany putinek sra pod siebie Jun 16 12:37 4
Odbudowa narodu i państwa Jun 16 12:35 1
test Jun 16 11:24 4
Miejscowość Stanisławów w gminie Baranów Jun 16 10:04 3
Podatek od linków, czyli dlaczego reforma praw autorskich w UE powinna martwić programistów i każdego, kto korzysta z internetu? Jun 16 06:18 4
Генерал или поляки Jun 15 17:05 1
Biegli wykryli w jego organizmie wysokie stężenie amfetaminy Jun 15 15:51 1