Jak policja administratorów narkotykowego bazaru znalazła i zamknęła

Choć wielu przestępców jest ciągle na wolności, to wygląda na to, że administratorzy sklepów z narkotykami w sieci Tor konsekwentnie wpadają w ręce organów ścigania. Jakie błędy popełnili bohaterowie tej historii?

pokolenie Ł.K.

Kategorie

Źródło

Zaufana Trzecia Strona
Adam Haertle
Komentarz [H]yperreala: 
Tekst stanowi przedruk z podanego źródła.

Odsłony

1002

Choć wielu przestępców jest ciągle na wolności, to wygląda na to, że administratorzy sklepów z narkotykami w sieci Tor konsekwentnie wpadają w ręce organów ścigania. Jakie błędy popełnili bohaterowie tej historii?

Kilka dni temu opisaliśmy los jednego z moderatorów WSM – teraz czas na głównych administratorów. Wall Street Market działał od roku 2016. Uwagę organów ścigania zwrócił wraz ze wzrostem swojej popularności w połowie roku 2017. Przełom w śledztwie nastąpił, gdy w kwietniu 2018 holenderska policja uzyskała obraz serwera przetwarzającego transakcje finansowe Wall Street Marketu. Nie wiemy, jak natrafiła na trop maszyny, wiemy jednak, że w uzyskanym obrazie było wiele perełek. Znaleziono między innymi bazę danych o nazwie „tulpenland” oraz adresy IP innych powiązanych maszyn. W ten sposób z kolei niemiecka policja zidentyfikowała główny serwer marketu i pozyskała jego bazę danych (jej nazwa była identyczna jak na serwerze holenderskim).

Baza danych była ciekawym materiałem. Na podstawie jej zapisów ustalono, że sklepem zarządzają trzy osoby o pseudonimach coder, TheOne oraz Kronos. Panowie rozmawiali ze sobą po niemiecku (tak, zapisywali czaty na tym samym serwerze), a zyski dzielili na trzy równe części. Znaleziono także ślady trzeciego serwera – deweloperskiego, tym razem znajdującego się ponownie w Holandii. Był to serwer GitLaba, na którym prowadzone były prace rozwojowe właściwego sklepu. Tam także znaleziono trzy konta administratorów o podobnych lub identycznych pseudonimach.

Jak wpadli administratorzy

Tibo Lousee, Jonathan Kalla i Klaus-Martin Frost. Tak nazywało się trzech administratorów Wall Street Marketu. Skąd o tym wiemy?

Niemieckie służby przestudiowały logi dostępowe zidentyfikowanych serwerów i odkryły, że jeden z administratorów używał usługi VPN. Tak się jednak raz zdarzyło, że połączył się z serwerem bezpośrednio, korzystając z niemieckiej sieci mobilnej. Ustalony adres IP powiązano z modemem UMTS, używającym karty zarejestrowanej na fikcyjne dane. Znając dane karty, niemieckie służby uzyskały przybliżoną lokalizację urządzenia, a na miejscu użyły odpowiedniego sprzętu wskazującego dokładne umiejscowienie aktywnej karty. Udało się im w ten sposób zidentyfikować konkretny dom oraz miejsce pracy podejrzanego – w obu lokalizacjach używał lokalizowanego modemu. Służby trafiły w ten sposób na „codera”. Dalsze śledztwo potwierdziło ich typowanie – przejrzenie kont w mediach społecznościowych „codera” pozwoliło ustalić, że tak bardzo lubi palić trawę, że magiczną liczbę „420” zamieścił nie tylko na ścianie swojej sypialni, ale także na rejestracji swojego samochodu. Great OPSEC.

Drugiemu z administratorów VPN się nie rozłączał. Okazało się jednak, że w czasie, gdy korzystał z VPN-a do zarządzania infrastrukturą WSM, tylko jeden adres IP był zawsze połączony z firmą świadczącą usługi VPN i był to adres IP należący do matki Kronosa.

Historia wpadki TheOne jest chyba najciekawsza. Okazało się bowiem, że klucz PGP TheOne był identyczny z kluczem PGP użytkownika dudebuy z Hansa Market, przejętego wcześniej przez policję. Co więcej, portfel bitcoinowy użytkownika dudebuy był kilka razy użyty, w tym także do zakupu usług w świecie rzeczywistym. Przy okazji tych zakupów TheOne podawał swoje prawdziwe dane osobowe, które pozwoliły bez problemu ustalić jego tożsamość.

Jak policja interweniowała w obliczu exit scamu

Nie sposób w tej historii nie wspomnieć o German Plaza Markecie. Jeśli o nim nie słyszeliście, to pewnie dlatego, że żył dość krótko, bo około roku i obsługiwał głównie rynek niemiecki. Gdy w maju 2016 jego administracja postanowiła uciec z bitcoinami klientów i sprzedawców (tzw. exit scam), organy ścigania prześledziły transakcje związane ze skradzionymi kryptowalutami. Okazuje się, że łup z exit scamu zasilił… portfele nowo tworzonego Wall Street Marketu. Zapisy w blockchainie nie kłamią – administratorzy GPM wykorzystali kapitał zgromadzony poprzez oszukanie użytkowników pierwszego swojego sklepu do założenia drugiego, większego i o międzynarodowym zasięgu.

25 marca 2019 najpopularniejszy wówczas sklep z narkotykami, Dream Market, ogłosił, że zamyka swoje podwoje. Spowodowało to ogromny napływ nowych użytkowników do Wall Street Marketu, a co za tym idzie – także wzrost kwot depozytów klientów i sprzedawców. Trzech administratorów z doświadczeniem w exit scamie nie trzeba było długo namawiać do powtórki. Około 16 kwietnia zaczęły się problemy z wypłatami z portfeli WSM, a między 22 a 26 kwietnia zaobserwowano, jak kryptowaluty warte między 10 a 30 milionów euro opuszczają swoje dotychczasowe portfele i udają się w podróż w nieznane.

Niemiecka policja nie mogła stać bezczynnie wobec tak oczywistego naruszenia zaufania użytkowników i aresztowała trzech podejrzanych.

Tibo „coder” Lousee był pierwszy na liście. Policja, która wkroczyła do jego domu, zrobiła to tak sprytnie, że przejęła otwarty komputer. Na miejscu znaleziono także modem UMTS, za pomocą którego łączył się on z infrastrukturą WSM. Jonathan „Kronos” Kalla, zatrzymany krótko potem, był nawet tak miły, że przyznał się od razu do wszystkiego, z prowadzeniem German Plaza Marketu włącznie i opisał także role kolegów w ich wspólnym biznesie. Zatrzymano także Klausa-Martina Frosta, czyli TheOne. Tak oto zakończyła się historia kolejnego popularnego narkotykowego bazaru. Nie pierwsza i na pewno nie ostatnia.

Oceń treść:

Average: 7.5 (2 votes)
Zajawki z NeuroGroove
  • Etanol (alkohol)
  • Marihuana
  • Tramadol

S&S:

28 czerwca 2010 r. Bardzo słonecznie, z kumplami ustawieni na tramadol i MJ. Stan: podekscytowanie, poczucie humoru u wszystkich, czekanie na furę, by jechać do innego miasta po mistrzowskie ziółko. Osób 6.

Dawka:

Posiadane ubstancje: Tramal Retard 10x 100mg (pół paczki)/ Marihuana 2g/ 1 piwo

Dawka: Ja 400 mg na pierwszy raz. 2g trawy na 6 osób, pół piwa

Wiek i waga:

17 i 70kg

  • LSD-25

ja pierwszy raz zapodałem połówkę (rzecz nazywała się OM i miała taki dziwny

wzorek) i pojechałem do Katowic.Cóż,było dziwnie,raczej lajtowo, udało mi

się dostrzec głębię trzeciego wymiaru(mam to do dziś - ten efekt nie mija)-

mój kumpel nazwał to 4D i to jest chyba najlepsze określenie.Do dziś też

pamiętam melancholijną podróż pociągiem przez brudny Śląsk z muzyką DCD na

słuchawkach,widok starych ,zczerniałych kamienic,brudnego słońca, zmęczonych

życiem współpasażerów ...eeh...



  • Tramadol


Jako paskudny cpun, testujacy na wsobie wszystko co tylko wpadnie w moje

poklute i brudne lapska postanowilem przezyc, jak kazdy zdrowy

nastolatek rozdzial apteczny. I jak postanowilem, tak zrobilem-zabralem

sie do roboty z charakterystyczna mi gorliwoscia. Pokrotce przedstawie

wstepny wynik testow, obiecuje jednak ze bedzie tego duzo, duzo wiecej,

kiedy tylko pewne rzeczy uleza mi sie w glowie i beda nadawaly sie do

opisania...



  • 2C-P
  • 4-MEC
  • GBL (gamma-Butyrolakton)
  • Tripraport

Samopoczucie doskonałe, przed, w trakcie i po tripie, dzięki ludziom, muzyce i nastawieniu. Nastawienie: "eksperymentujmy! bo kto jak nie my?" Miejsca: Dom, trasa przez miasto, klub, dom.

2C-P jest definitywnie moim ulubionym RC z półki z psychodelikami, a ten piątek miałem spędzić korzystając z jego uroków i pięknej pogody. Okazało się jednak, że w jednym z większych klubów w moim mieście jest "ponoć dobra" impreza...

randomness