13 апр 2018

Операция "Штык". Как закрыли Hansa Market

Почти год прошел, с момента закрытия одного из самых популярных рынков ДаркнетаHansa Market. Совместными усилиями ФБР, Немецкой полиции и спецслужб Нидерландов, была проведена операция "Штык" (Operation "Bayonet"), во время которой, были арестованы создатели ресурса, а также администраторы, большое количество продавцов и покупателей. Теперь мы можем окунуться в историю и рассказать о деталях этой спецоперации. 

Предисловие

 

Hansa был одним из крупнейших Даркнет-рынков, хотя и меньше, чем AlphaBay, который был самым массовым и широко используемым сайтом в Даркнете. Оба были закрыты практически в одно время.

В дни и месяцы, предшествовавшие падению рынка, власти пытались добиться контроля над сайтом путем захвата его серверов.

По имеющимся данным, сайт предлагал 24 000 позиций наркотиков от 3600 дилеров, которые поставляли их по всему миру различным клиентам. Но его работа была неожиданно пресечена,  специальными агентами из нидерландского Национального подразделения по борьбе с высокотехнологичной преступностью (NHTCU).

 

Как все начиналось

 

Это было еще в 2016 году, когда Hansa Market процветал в своем бизнесе по всей Европе и за ее пределами. Голландские правоохранительные органы искали серверы Hansa, чтобы прекратить его работу, но безуспешно.

Один исследователь кибер-безопасности решил, что он обнаружил основные серверы, принадлежащие "темному рынку". Он сообщил голландским правоохранительным органам, что нашел серверы в голландском дата-центре веб-хостинговой фирмы. В ходе дальнейшего расследования Группа безопасности Нидерландов, в сотрудничестве с представителями Германии, смогла определить, что серверы использовались для тестирования новых функций, прежде чем они будут использованы на рынке Hansa.

Главная страница крупнейшего наркорынка Даркнета

Все эти действия полиции, остались незамеченными со стороны администраторов сайта. Та же фирма, являлась хостингом фактического сайта Hansa, но в другом месте и под защитой Tor.

По рассказам офицеров, они приказали фирме установить оборудование для мониторинга сети, которое помогло им дистанционно следить за всем трафиком в системе.

Данные, собранные оборудованием, помогли голландской команде обнаружить, что сервер разработки был подключен к защищенному Tor серверу, на котором размещалась настоящая Hansa. Один из следователей нидерландской Национальной группы по высокотехнологичным преступлениям, который работал над этим делом, объяснил, что они сделали копию всех серверов, к которым у них был доступ. В них содержались данные о транзакциях, а также переговоры двух администраторов сайта.

Во время этих действий, не происходило задержаний, поскольку счета подозреваемых, находились в зашифрованных Tor ссылках, под их псевдонимами.

Полиция продолжала анализировать содержимое серверов, в попытке получить подсказку, которая может привести их к преступникам. К счастью, один из серверов в Германии, содержал почти все журналы чата, двух предполагаемых администраторов.

К их удивлению, они смогли увидеть полное имя и домашний адрес одного из администраторов, что было значительным прорывом в деле.

Полиция поставила себе целью задержать администраторов так, чтобы модераторы сайта не знали об этом.

  

Охота

 

Теперь, офицеры, ответственные за это дело, имели четкое представление о местонахождении администраторов "Ганзы". Началась слежка и планирование задержания подозреваемых.

Один из администраторов жил в Зигене, а другой в Кельне. Голландская полиция связалась со своими коллегами в Германии для ареста двух подозреваемых администраторов. К их удивлению, оба были на контроле немецкой полиции за владение и управление сайтом lul.to, продающим пиратские электронные и аудио книги.

После ареста администраторов, сайт lul.to был закрыт правоохранительными органами

Неожиданно произошло событие, поставившее всю операцию под угрозу – сервера Hansa прекратили свою работу, что заставило полицию решить, что их деятельность была раскрыта. По какой причине это произошло, остается тайной по сей день, наиболее вероятно, что во время копирования данных с серверов произошла ошибка, насторожившая администраторов.

Рынок Hansa был перенесен с их первоначальных серверов, на другой, Tor-защищенный, местоположение которого, было неизвестно агентам. Голландские офицеры продолжили анализировать собранные исходные данные, чтобы с их помощью найти новое местоположение сервера, не вызывая подозрений. Это позволило сайту продолжать свой бизнес, как обычно, продавая нелегальные товары и наркотики.

В апреле 2017 года случился прорыв в охоте на двух подозреваемых администраторов Hansa. Полиция установила, что они сделали Биткойн-платеж, используя адрес, который был в журналах чата IRC, первоначально извлеченных с серверов.

Зная эти данные, команда правоохранительных органов, использовала программное обеспечение для анализа blockchain, известное как Chainalysis, чтобы найти источник транзакции. Средства были отправлены провайдеру Биткоин-платежей в Нидерландах.

Полиция потребовала от фирмы больше информации о сделке. Они узнали, что транзакция, осуществлялась через хостинг-провайдера в Литве, который до этого не фигурировал в расследовании.

Теперь у полиции была зацепка. Правоохранительные органы начали расследование в отношении литовской компании.

 

Вторжение

 

Пока голландские следователи пытались выудить больше данных из серверов Hansa, с ними на связь вышло ФБР. Это было связано с делом, которое агентство расследовало по другому рынку, AlphaBay, чьи сервера были недавно раскрыты федералами.

Бюро готовилось к закрытию рынка, что должно было привести к резкому росту посетителей на других сайтах Даркнета, среди которых будет и Hansa, что позволит задержать больше преступников, в случае закрытия последнего. Полиция Нидерландов дождалась окончания операции ФБР по закрытию Alphabay, после чего приступила к расследованию в литовском дата-центре.

Прошло два месяца с момента, когда полиция Германии решила арестовать администраторов Hansa Market. Планировался рейд, чтобы арестовать подозреваемых с включенными компьютерами и жесткими дисками, в незашифрованном виде, что значительно помогло бы голландцам в их расследовании.

Немецкий спецназ готовится к захвату

Немцы немедленно подали сигнал голландским правоохранительным органам, начать перемещение серверов Hansa, для осуществления полного контроля над ними. Переход на другие сервера должен был быть плавным, без простоев рынка.

После ареста подозреваемых, немецкими властями, был проведен интенсивный допрос до тех пор, пока они не сдали данные аккаунтов Hansa. Они также раскрыли детали переписки через Tox, который был использован в качестве канала связи между двумя администраторами и модераторами сайта.

Потребовалось всего три дня, чтобы перенести серверы, без подозрений клиентов Hansa.

 

Смертельная ловушка

 

Эксперты полиции начали переписывать код сайта, чтобы получить сведения о пользователях ресурса. Они изменили функцию шифрования сообщений с использованием PGP-ключей, чтобы сообщения сохранялись до их шифрования.

Это позволило им отслеживать связь между поставщиками и их клиентами, а также,  адреса доставки, которые будут использоваться для их последующего обнаружения.

Поскольку веб-сайт был создан так, чтобы не получать и не хранить метаданные изображений, сотрудники службы безопасности изменили код, для получения данных. Метаданные, помогли им получить информацию о времени и месте съемки изображения.

Они удалили изображения наркотиков на сайте, куда продавцы должны были загружать новые фотографии. Это было обставлено, как  ошибка кода, который удалил все фотографии в учетной записи поставщиков, что не вызвало подозрений у вендоров.

Другим смелым шагом NHTCU, заставили пользователей Hansa Market скачать файл, выдающий их реальный IP-адрес. Изначально, файл был предоставлен администраторами, в качестве резервного ключа, который поможет пользователям вернуть свои Биткойны в случае, если сайт будет закрыт.

В ловушку попало 64 продавца, которые открыли файл и запустили на своем компьютере, после чего их адреса стали известны. Все это время «фальшивые» администраторы Hansa, продолжали общаться с модераторами, отвлекая их внимание. Голландский специалист изучил разговоры двух подозреваемых, чтобы изменить работу рынка так, чтобы споры решались без обработки модераторами. Все прошло по плану.

После закрытия AlphaBay, как и ожидалось, начался массовый приток пользователей. В день регистрировалось более 5000 аккаунтов, что в 5 раз больше обычного. Голландцы поделились своими данными с Европолом, чтобы облегчить арест наркоторговцев.

Много наркотиков и других незаконных товаров продавалось на рынке под надзором полиции; единственным запрещенным продуктом был фентанил.

После 27 дней интенсивного наблюдения голландцы решили закрыть сайт, так как они получили почти все, что хотели. Они заменили сайт уведомлением о том, что правоохранительные органы захватили рынок, а также сообщением пользователям Даркнета, предупреждающим, что власти внимательно относятся к их деятельности.

Полиция даже открыла свой сайт в Tor, с предупреждением и списком арестованных и раскрытых продавцов. Тут же можно проконсультироваться или
Полиция даже открыла свой сайт в Tor, с предупреждением, а также списком арестованных и раскрытых продавцов. Тут же можно проконсультироваться или "донести"

 

Успех

 

После закрытия рынка, голландская полиция смогла получить данные, о более чем 400 000 пользователей, что привело к аресту более 10 000 подозреваемых.

С помощью Европола и голландских агентов, им удалось арестовать большое число наркоторговцев. Голландская полиция также смогла захватить более 1000 Биткойнов, принадлежащих продавцам и клиентам на рынке.

По сообщениям сотрудников NHTCU, они арестовали огромное число продавцов, что будет предупреждением для остальных, прекратить преступный бизнес.

После закрытия Hansa Market, пользователи настороженно относятся к регистрации на рынках, как и к самим Даркнет-сайтам. Часть из них, предпочитает связываться с клиентами через Jabber, Telegram и другие средства анонимной коммуникации, не пользуясь услугами onion-ресурсов.

Автор 
Опубликовано в Новости
Onion

Главред Darkmore.ru

Добавить комментарий


Защитный код
Обновить