Dwóch konsultantów ds. bezpieczeństwa hakowało na zlecenie mafii komputery firm spedycyjnych w antwerpskim porcie. Przeczytajcie jak informatycy wpadli najpierw w sidła mafii, a potem w ręce organów ścigania.
Antwerpia jest ulubionym portem importerów owoców z Ameryki Południowej. Jest także ulubionym portem importerów kokainy z Ameryki Południowej. To sprawia, że mafia ciągle szuka nowych sposobów uprowadzania przypływających statkami kontenerów, a w coraz bardziej zinformatyzowanym świecie musi sięgać po pomoc specjalistów.
Nowe technologie w służbie starej przestępczości
Od wielu lat przemytnicy narkotyków stosują prosty mechanizm transportu kokainy do Europy. W portach Ameryki Południowej przekupieni pracownicy pozwalają na dołożenie dodatkowego towaru do cudzych kontenerów, które trzeba potem już tylko odebrać z portu w Antwerpii zanim zrobi to ich właściciel. Tradycyjnie najprostszą metodą zdobycia cudzego kontenera było przekupienie pracowników portowych, jednak po kilku udanych akcjach organów ścigania pracownicy stali się mniej skorzy do współpracy. Przestępcy musieli znaleźć inny sposób.
By odebrać w Antwerpii kontener wystarczy dysponować dwoma elementami układanki – ciągnikiem, na który można go załadować oraz 9-cyfrowym kodem, który należy podać w terminalu. O ile o ciągnik nie jest trudno, o tyle kod stanowi dobrze chronioną tajemnicę i jest w posiadaniu firmy spedycyjnej oraz odbiorcy końcowego. Wobec powszechnej komputeryzacji systemów spedycyjnych przemytnicy musieli znaleźć sposób na wydobycie ich z aplikacji spedytorów.
Keyloggery i inne zabawki
Pojawiające się w okolicach portu porzucone, otwarte kontenery zaczęły sugerować policji, że przemytnicy znaleźli nowy sposób na ominięcie systemów bezpieczeństwa portu. Dopiero jesienią 2012 organy ścigania natrafiły na pierwszy ciekawy trop. Wtedy to pracownicy firmy spedycyjnej Mediterranean Shipping (MSC) zaczęli skarżyć się na to, że ich komputery zaczęły się dziwnie zachowywać – czas między naciśnięciem klawisza a pojawieniem się znaku na ekranie znacznie się wydłużył. Wezwani na pomoc technicy znaleźli w komputerach keyloggery wpinane między wtyczkę klawiatury a port komputera oraz listwy zasilające i inne urządzenia będące w rzeczywistości zaawansowanymi narzędziami monitorującymi ruch sieciowy. MSC wynajęła zespół ds. analiz powłamaniowych firmy PwC który ustalił, że celem atakujących były numery służące do odbioru kontenerów z portu.
Policja skontaktowała się z innymi spedytorami i co najmniej dwie firmy, CSAV i DP World, odkryły podobne urządzenia w swoich biurach. Analiza nagrań z kamer bezpieczeństwa pokazała, że kilka dni wcześniej na parkingu pod jedną z firm kierowca Subaru Impreza przez dłuższy czas manipulował anteną kierunkową, co skojarzono z funkcją łączności WiFi w urządzeniach podsłuchowych. Tym kierowcą okazał się być Davy Van De Moere.
Konsultanci do wynajęcia
Davy Van De Moere oraz Filip Maertens, jego dobry przyjaciel, poznali się gdy jeden zhakował serwer drugiego. Rozliczyć się mieli na szkolnym podwórku, ale do bójki nie doszło, ponieważ okazało się, że mają wspólne hobby – bezpieczeństwo komputerowe. W wieku 18 lat zostali założycielami kanału Securax, swojego czasu najpopularniejszego miejsca spotkań belgijskich hakerów. Obaj koledzy zyskali uznanie społeczności, pojawiali się w mediach aż w końcu zostali zatrudnieni przez dużą firme konsultingową.
Ich kariery toczyły się potem różnymi drogami. W roku 2011 Davy był dyrektorem IT w firmie programistycznej a Filip pracował na własną rękę przy dużych projektach IT i próbował rozkręcić swój startup. Znajomi przedstawili go potencjalnemu inwestorowi, tureckiemu przedsiębiorcy działającemu w Rotterdamie. Inwestor okazał się być zainteresowany biznesem i zadeklarował wsparcie w kwocie miliona euro. Po kilku miesiącach negocjacji zainteresowanie Turka przygasło, jednak przedstawił Filipowi swojego rodaka, który prowadził sklep ze sprzętem podsłuchowym.
Nowy znajomy był bardzo zainteresowany tajnikami podsłuchów informatycznych. Filip, który w ramach swojej działalności prowadził również szkolenia z bezpieczeństwa IT, zaczął udzielać Turkowi lekcji hackingu. Kiedy ten poprosił go o dostarczenie urządzenia podsłuchowego Pwnie, Filip zaczął grać na zwłokę. Po pewnym czasie jego niedoszły inwestor zaprosił go na spotkanie, na którym obecny był również jego uczeń. Filip usłyszał od swoich nowych przyjaciół, że powinien być bardziej pomocny i został pobity w ramach demonstracji potencjalnych konsekwencji braku współpracy.
Filip poprosił o pomoc Davy’ego. Na następne spotkanie pojechali już razem. Od swoich tureckich znajomych usłyszeli, że phishing na pracowników firm spedycyjnych nie działa tak dobrze jak kiedyś i trzeba sięgnąć do rozwiązań sprzętowych.
Belgowie zostali poproszeni o zbudowanie urządzeń podsłuchowych, które można montować w sieci firm spedycyjnych i przechwytywać przesyłane informacje. Jak twierdzą obaj oskarżeni, nie poszli na policję ponieważ obawiali się zemsty swoich nowych kontrahentów, a poza tym budowanie urządzeń podsłuchowych nie było jeszcze przestępstwem.
Gdy pierwsze prototypy nie działały zgodnie z oczekiwaniami przestępców, Belgowie zostali postraszeni śmiercią w razie niepowodzenia operacji i na zachętę otrzymali 25 tysięcy euro w gotówce. Bojąc się odmówić dalszej współpracy przyjaciele postanowili budować urządzenia, które będą prawie zupełnie sprawne i zwalać za każdym razem winę na problemy technologiczne. Przez kolejne kilka miesięcy Davy i Filip coraz więcej czasu spędzali na spełnianiu nowych żądań mafiozów. Przekazywali sprzęt włamywaczom, którzy podkładali go w biurach firm spedycyjnych, jeździli kontrolować instalacje i zbierać dane a także wymyślali nowe rozwiązania. Gdy próbowali wymigiwać się od obowiązków, przestępcy poinformowali ich, że znają adresy zamieszkania ich oraz ich bliskich – jak w scenariuszu z filmu sensacyjnego.
Gdy sprawy idą źle
Mafiozi mieli coraz większe problemy z pozyskiwaniem danych. Gdy jeden z odbiorców kontenerów zdążył po swój towar przed przestępcami, kierowca ciężarówki został ostrzelany z Kałasznikowa, zatrzymany i obrabowany. Firmy spedycyjne, ostrzeżone przez policję, usunęły urządzenia podsłuchowe i bandyci nie potrafili znaleźć nowego rozwiązania. Gdy przestępcy zaprosili obu Belgów na kolejne spotkanie, ci byli przekonani, że zostaną zamordowani. Prosili swoich zleceniodawców o litość i zwolnienie z obowiązków i ku swojemu zaskoczeniu usłyszeli, że mogą wrócić do swojego wcześniejszego życia.
Kilka miesięcy później do akcji wkroczyła policja. Obaj konsultanci zostali zatrzymani a ich domy przeszukane. Turcy zniknęli. W mieszkaniu jednego z nich policja znalazła 3 pistolety, karabin maszynowy, tłumik, kamizelkę kuloodporną i ponad milion euro w gotówce. Obaj przestępcy zostali w końcu zlokalizowani w Turcji i nie wygląda na to, by wybierali się w najbliższym czasie w podróż do Europy.
Epilog
Przedstawiona powyżej wersja wydarzeń pochodzi z materiałów policyjnych oraz opowieści obu konsultantów. Belgijska i holenderska prokuratura nie do końca się z nią zgadzają. Według śledczych obaj konsultanci grali znacznie większą role niż próbują sobie przypisać w tej sprawie.
Śledczy dysponują zapisami przekaźników sieci komórkowych a później także podsłuchów skazujących na duży poziom zaangażowania Belgów w działania całej grupy. Dowody wskazują, że obaj konsultanci pomagali przestępcom w lokalizowaniu ofiar i udoskonalaniu sprzętu. Sami podejrzani twierdza, że wykradzione kody służące do odbioru kontenerów musiały być skutkiem kampanii phishingowych, ponieważ wszystkie przygotowywane przez nich urządzenia podsłuchowe były uszkodzone.
Policji faktycznie brakuje dowodów potwierdzających chociażby korzyści materialne odniesione przez obu Belgów. Co ciekawe, tuż przed aresztowaniami firmy spedycyjne otrzymały kolejną falę phishingu, wysłaną z lokalizacji pokrywającej się z serwerownią, gdzie Filip przechowywał swoje maszyny. Oskarżony zaprzecza jakiemukolwiek związkowi z tym wątkiem sprawy.
Czy Belgowie byli tylko ofiarami szantażu? A może po prostu używają sprytnej wymówki? Dzisiaj trudno to już ocenić.
