Jak policja administratorów narkotykowego bazaru znalazła i zamknęła

Choć wielu przestępców jest ciągle na wolności, to wygląda na to, że administratorzy sklepów z narkotykami w sieci Tor konsekwentnie wpadają w ręce organów ścigania. Jakie błędy popełnili bohaterowie tej historii?

Kilka dni temu opisaliśmy los jednego z moderatorów WSM – teraz czas na głównych administratorów. Wall Street Market działał od roku 2016. Uwagę organów ścigania zwrócił wraz ze wzrostem swojej popularności w połowie roku 2017. Przełom w śledztwie nastąpił, gdy w kwietniu 2018 holenderska policja uzyskała obraz serwera przetwarzającego transakcje finansowe Wall Street Marketu. Nie wiemy, jak natrafiła na trop maszyny, wiemy jednak, że w uzyskanym obrazie było wiele perełek. Znaleziono między innymi bazę danych o nazwie „tulpenland” oraz adresy IP innych powiązanych maszyn. W ten sposób z kolei niemiecka policja zidentyfikowała główny serwer marketu i pozyskała jego bazę danych (jej nazwa była identyczna jak na serwerze holenderskim).

Baza danych była ciekawym materiałem. Na podstawie jej zapisów ustalono, że sklepem zarządzają trzy osoby o pseudonimach coder, TheOne oraz Kronos. Panowie rozmawiali ze sobą po niemiecku (tak, zapisywali czaty na tym samym serwerze), a zyski dzielili na trzy równe części. Znaleziono także ślady trzeciego serwera – deweloperskiego, tym razem znajdującego się ponownie w Holandii. Był to serwer GitLaba, na którym prowadzone były prace rozwojowe właściwego sklepu. Tam także znaleziono trzy konta administratorów o podobnych lub identycznych pseudonimach.

Jak wpadli administratorzy

Tibo Lousee, Jonathan Kalla i Klaus-Martin Frost. Tak nazywało się trzech administratorów Wall Street Marketu. Skąd o tym wiemy?

Niemieckie służby przestudiowały logi dostępowe zidentyfikowanych serwerów i odkryły, że jeden z administratorów używał usługi VPN. Tak się jednak raz zdarzyło, że połączył się z serwerem bezpośrednio, korzystając z niemieckiej sieci mobilnej. Ustalony adres IP powiązano z modemem UMTS, używającym karty zarejestrowanej na fikcyjne dane. Znając dane karty, niemieckie służby uzyskały przybliżoną lokalizację urządzenia, a na miejscu użyły odpowiedniego sprzętu wskazującego dokładne umiejscowienie aktywnej karty. Udało się im w ten sposób zidentyfikować konkretny dom oraz miejsce pracy podejrzanego – w obu lokalizacjach używał lokalizowanego modemu. Służby trafiły w ten sposób na „codera”. Dalsze śledztwo potwierdziło ich typowanie – przejrzenie kont w mediach społecznościowych „codera” pozwoliło ustalić, że tak bardzo lubi palić trawę, że magiczną liczbę „420” zamieścił nie tylko na ścianie swojej sypialni, ale także na rejestracji swojego samochodu. Great OPSEC.

Drugiemu z administratorów VPN się nie rozłączał. Okazało się jednak, że w czasie, gdy korzystał z VPN-a do zarządzania infrastrukturą WSM, tylko jeden adres IP był zawsze połączony z firmą świadczącą usługi VPN i był to adres IP należący do matki Kronosa.

Historia wpadki TheOne jest chyba najciekawsza. Okazało się bowiem, że klucz PGP TheOne był identyczny z kluczem PGP użytkownika dudebuy z Hansa Market, przejętego wcześniej przez policję. Co więcej, portfel bitcoinowy użytkownika dudebuy był kilka razy użyty, w tym także do zakupu usług w świecie rzeczywistym. Przy okazji tych zakupów TheOne podawał swoje prawdziwe dane osobowe, które pozwoliły bez problemu ustalić jego tożsamość.

Jak policja interweniowała w obliczu exit scamu

Nie sposób w tej historii nie wspomnieć o German Plaza Markecie. Jeśli o nim nie słyszeliście, to pewnie dlatego, że żył dość krótko, bo około roku i obsługiwał głównie rynek niemiecki. Gdy w maju 2016 jego administracja postanowiła uciec z bitcoinami klientów i sprzedawców (tzw. exit scam), organy ścigania prześledziły transakcje związane ze skradzionymi kryptowalutami. Okazuje się, że łup z exit scamu zasilił… portfele nowo tworzonego Wall Street Marketu. Zapisy w blockchainie nie kłamią – administratorzy GPM wykorzystali kapitał zgromadzony poprzez oszukanie użytkowników pierwszego swojego sklepu do założenia drugiego, większego i o międzynarodowym zasięgu.

25 marca 2019 najpopularniejszy wówczas sklep z narkotykami, Dream Market, ogłosił, że zamyka swoje podwoje. Spowodowało to ogromny napływ nowych użytkowników do Wall Street Marketu, a co za tym idzie – także wzrost kwot depozytów klientów i sprzedawców. Trzech administratorów z doświadczeniem w exit scamie nie trzeba było długo namawiać do powtórki. Około 16 kwietnia zaczęły się problemy z wypłatami z portfeli WSM, a między 22 a 26 kwietnia zaobserwowano, jak kryptowaluty warte między 10 a 30 milionów euro opuszczają swoje dotychczasowe portfele i udają się w podróż w nieznane.

Niemiecka policja nie mogła stać bezczynnie wobec tak oczywistego naruszenia zaufania użytkowników i aresztowała trzech podejrzanych.

Tibo „coder” Lousee był pierwszy na liście. Policja, która wkroczyła do jego domu, zrobiła to tak sprytnie, że przejęła otwarty komputer. Na miejscu znaleziono także modem UMTS, za pomocą którego łączył się on z infrastrukturą WSM. Jonathan „Kronos” Kalla, zatrzymany krótko potem, był nawet tak miły, że przyznał się od razu do wszystkiego, z prowadzeniem German Plaza Marketu włącznie i opisał także role kolegów w ich wspólnym biznesie. Zatrzymano także Klausa-Martina Frosta, czyli TheOne. Tak oto zakończyła się historia kolejnego popularnego narkotykowego bazaru. Nie pierwsza i na pewno nie ostatnia.