Wpadki cyberprzestępców są zawsze ciekawą lekturą. Nie inaczej jest w przypadku brazylijskiego moderatora pracującego w jednym z największych narkotykowych marketów, których wpadł w tak głupi sposób, że aż ciężko w to uwierzyć.
Kilka dni temu służby kilku krajów zamknęły kolejny duży narkotykowy market działający w sieci Tor. Tym razem los ten spotkał Wall Street Market. Historię identyfikacji lokalizacji serwera i administratorów marketu opiszemy pewnie jutro, a dzisiaj poczytajcie, jak wpadł jeden z jego moderatorów. To jest dobra historia i świetny przykład solidnego OSINT-u ze strony służb.
Jak przestępca szuka pracy
Marcos Paulo de Oliveira-Annibale – tak nazywa się (zdaniem FBI) jeden z głównych moderatorów Wall Street Marketu. Skąd ta pewność FBI, że ukrywający się pod pseudonimem Med3lin lub Med3l1n to właśnie Marcos z Sao Paulo? Wyjaśnia to akt oskarżenia, opublikowany niedawno w sieci.
Konto MED3L1N_WSM miało na Reddicie uprawnienia moderatora subredditu poświęconego WSM. Z kolei na forum WSM konto MED3L1N miało status „Menedżera społeczności” (tak, narkotykowe bazary z milionem klientów mają rozbudowane struktury odpowiedzialne za obsługę użytkownika). Ktokolwiek stał za tymi kontami, dysponował szeroką wiedzą na temat kulisów funkcjonowania WSM. Ostateczne potwierdzenie roli moderatora funkcjonariusze znaleźli jednak w zdobytej bazie danych WSM (o tym, jak baza została pozyskana, opowiemy w kolejnym odcinku). Figurowała tam zaplanowana wypłata ok. 1200 dolarów za pełnioną rolę w obsłudze sklepu. Nic więc dziwnego, że MED3L1N stał się obiektem zainteresowania służb próbujących zlikwidować WSM.
W roku 2017, gdy służby zamknęły największy market, AlphaBay, jego użytkownicy udali się do drugiego pod względem popularności serwisu – Hansa. Nie wiedzieli jednak, że Hansę także kontroluje już policja. Tę skoordynowana akcję opisywaliśmy w zeszłym roku. MED3L1N także postanowił szukać wówczas szczęścia (i pracy) w nagle popularnym markecie. Wkrótce po rozpoczęciu exodusu sierot po AlphaBay zgłosił się na stanowisko moderatora Hansy, uzasadniając swoją aplikację nagłym napływem użytkowników i związanym z tym wzrostem zapotrzebowania na usługi moderatorów. Sprytne. Ale tylko trochę sprytne, bo MED3L1N nie wiedział wówczas, że jego aplikację rozpatrzy holenderska policja kontrolująca Hansę. A rozpatrywała ją bardzo wnikliwie…
Na początku MED3L1N musiał opisać swoje doświadczenie. Okazało się, że był już moderatorem w innych serwisach zajmujących się obrotem kryptowalutami. Brzmi dobrze. Przeszedł więc do kolejnego etapu rekrutacji, gdzie musiał podać języki, jakimi się posługuje oraz opisać swoje doświadczenie IT. Zrobił to dość drobiazgowo. Poinformował też o godzinach, w jakich może pracować. Na końcu podał swój adres e-mail i adres Jabbera oraz wynegocjował pensję w wysokości 600 dolarów miesięcznie.
Jak dostać adres przestępcy? Trzeba go poprosić
Na tym etapie policjanci poprosili kandydata do pracy o podanie adresu, pod który mogą mu wysłać token sprzętowy, niezbędny do uzyskania dostępu do panelu moderacji. MED3L1N najpierw narzekał, że przesyłki do Brazylii idą nawet 2 miesiące (ujawniając przy okazji, w jakim kraju mieszka), a potem… podał adres, pod który można wysłać token.
MED3L1N podał adres „Joao Batista Pupo de Moraes, Parque Industrial, miasto Campinas, stan Sao Paulo, Brazylia, 13031-690”, zaznaczając, że nie jest to jego adres, lecz adres jego znajomego, niejakiego Marcosa Paulo, który odbiera za niego przesyłki. Był to jednak jego własny adres. Marcos dopisał także:
Please, don”t send the cops to this address or anything like this hahahahahaha just kidding.
Policja została jednak wysłana pod ten adres.
Skąd FBI miało pewność
Akt oskarżenia poświęca wiele stron na opisanie wszystkich profili w mediach społecznościowych, kont, historii logowań i innych śladów zostawionych w sieci przez Marcosa, ale skupmy się na tych najciekawszych (osoby wnikliwe odsyłamy do oryginalnego dokumentu):
- brazylijska policja potwierdziła, że pod wskazanym adresem faktycznie mieszka Marcos Paulo de Oliveira-Annibale, urodzony 26 marca 1990 roku,
- Marcos prowadził firmę zajmującą się naprawami komputerów,
- FBI znalazło jego konto na eBayu (marcosannibale1) i poprosiło o historię zakupów, w której znalazło czytnik kart magnetycznych, czyste karty czipowe i magnetyczne oraz urządzenie do zapisywania kart, bardzo popularne wśród carderów (MCR200 EMV),
- na forum WSM znaleziono wpis użytkownika MED3L1N, który chwalił się, że takie urządzenie posiada,
- na jego koncie Flickra znaleziono informację o tym, że jest fanem gier komputerowych,
- na rosyjskim forum znaleziono wyciek haseł graczy zawierający informację o koncie marcosannibale posługującym się hasłem campinas000 i powiązanym z grą Team Fortress 2,
- na forum bitcointalk.org znaleziono wzmiankę o Marcosie Annibale z linkiem do witryny firmy Paxful, która nie zawierała informacji o Marcosie,
jednak starsza kopia witryny z Archive.org zawierała zdjęcie Marcosa:
