Как деанонимизировали владельцев Wall Street Market. Технические подробности

Это перевод статьи "How German and US authorities took down the owners of darknet drug emporium Wall Street Market". Оригинальную статью на английском языке вы можете прочитать по ссылке

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

Как власти Германии и США арестовали владельцев даркнет-магазина наркотиков Wall Street Market

Девин Колдевей @techcrunch / 19:08 по Гринвичу • 3 мая 2019 г.

Крупный рынок даркнета, известный как Wall Street Market, был захвачен, а его предполагаемые операторы - арестованы, в результате совместной операции властей Европы и США. Были собраны миллионы наличных денег, криптовалюты и других активов, и рынок закрыт. Поучительно, как следователи связали этих одержимых анонимностью лиц с незаконной деятельностью.

Трое мужчин, обвиняемых в управлении Wall Street Market (WSM), одним из крупнейших скрытых рынков услуг, работающих через сеть Tor, являются гражданами Германии: Тибо Лусе, Джонатан Калла и Клаус-Мартин Фрост; нескольким продавцам с рынка также выдвинуты обвинения, в том числе одному, который продавал метамфетамин килограммами.

Расследование продолжалось с 2017 года, но переломный момент наступил из-за явной попытки операторов WSM в апреле выполнить exit-scam. Внезапно выведя всю криптовалюту, хранившуюся на гарант-счетах и иным образом находившуюся под их контролем, предполагаемые владельцы могли бы получить около 11 миллионов долларов, если бы им удалось обналичить деньги.

До недавнего времени Wall Street Market был оживленным базаром для незаконных товаров, включая опасные наркотики, такие как фентанил, и материальные позиции, такие как поддельные документы. У него было более миллиона учетных записей пользователей, около 5400 поставщиков и десятки тысяч товаров, доступных для покупки. Он рос по мере того, как другие торговые площадки даркнета были загнаны в угол и закрыты, что привело пользователей и продавцов к сокращению пула более мелких платформ.

Независимо от того, был ли это сговор владельцев с целью быстрого обогащения, или они чувствовали, что закон вот-вот постучит в их дверь, exit-scam был предпринят 16 апреля.

Это действие побудило сыщиков в США и Германии, а также Европол, принять меры, поскольку exit-scam предоставил сыщикам не только возможность собрать и изучить новые доказательства предполагаемых преступлений троицы, но и более длительное ожидание могло позволить им залечь на дно и отмыть свои виртуальные активы.

В жалобе Министерства юстиции США подробно описаны способы, с помощью которых три администратора сайта были связаны с ним, несмотря на их попытки анонимизировать свой доступ. Это не беспрецедентный материал, но всегда интересно прочитать пошаговую судебную экспертизу, которая приводит к обвинениям, поскольку бывает очень сложно связать реальных действующих лиц с виртуальными сущностями.

Для Фроста это было нестабильное VPN-соединение, плюс некоторые расследования со стороны немецкой федеральной полиции, Bundeskriminalamt или BKA:

Администраторы WSM обращались к инфраструктуре WSM в основном через двух поставщиков услуг VPN. Иногда подключение к VPN-провайдеру №1 прекращалось, но поскольку этот конкретный администратор продолжал получать доступ к инфраструктуре WSM, доступ этого администратора раскрывал истинный IP-адрес администратора.

Лицо, использующее вышеупомянутый IP-адрес для подключения к инфраструктуре WSM, использовало устройство, называемое UMTS-stick (также известное как surfstick) [т.е. ключ для мобильного доступа в Интернет]. (По всей видимости, речь идет о 3G USB-модеме. - прим. Minix1) Этот UMTS-stick был зарегистрирован на вымышленное имя.

BKA выполнила ряд следственных действий для электронного определения местоположения конкретного UMTS-stick. Группа наблюдения BKA установила, что в период с 5 по 7 февраля 2019 года конкретный UMTS-stick использовался в резиденции Лусе в Клеве, Северный Рейн-Вестфалия (Германия), и по месту его работы - в компании информационных технологий, где Лусе работает программистом. Позже у Лусе был обнаружен UMTS-stick.​

Некоторые другие косвенные улики также связывают Лусе с этой операцией, такие как похожие логины, упоминания наркотиков и криптовалют и так далее. («Основываясь на моей подготовке и опыте следователя, я знаю, что «420» - это намек на марихуану», - пишет специальный агент, автор жалобы.)

VPN Каллы держался крепко, но его выдали метаданные:

IP-адрес, назначенный дому этого человека (учетная запись для IP-адреса была зарегистрирована на имя матери подозреваемого), получал доступ к VPN-провайдеру №2 в течение примерно тех же временных рамок, в течение которых осуществлялся доступ к административным компонентам серверной инфраструктуры WSM через VPN-провайдер №2.​

Вряд ли это был единственный прокол, но Калла позже признал, что именно он был агентом пользователя, о котором шла речь. Это хороший пример того, как VPN может и не может защитить вас от слежки со стороны правительства. Он может замаскировать ваш IP-адрес для определенных систем, но любой человек с высоты птичьего полета может увидеть очевидную корреляцию между одним соединением и другим. Само по себе оно не сможет служить основанием для обвинения, но при хороших следователях это и не понадобится.

Что за хрень этот VPN?

Вы смотрите фильм. Преступник пытается скрыться с места преступления на спортивном автомобиле по шоссе. Сверху за автомобилем следует вертолет. Автомобиль въезжает в тоннель с несколькими выходами, и вертолет теряет след автомобиля. VPN работает точно так же, как тоннель в этой сцене фильма; он соединяет разные дороги и превращает их в одну, а вертолет не может видеть, что происходит внутри тоннеля.​

Фрост, третий администратор, требовал более тонкого подхода, но в конечном итоге это снова была плохая операционная безопасность; на этот раз необдуманное перекрестное загрязнение его криптографических и криптовалютных аккаунтов:

Открытый ключ PGP для [административной учетной записи WSM] 'TheOne' совпадает с открытым ключом PGP для другого прозвища на [другом скрытом сервисе] Hansa Market, 'dudebuy'. Как описано ниже, финансовая транзакция, связанная с виртуальным валютным кошельком, используемым Фростом, была связана с 'dudebuy'.

[BKA] обнаружил в базе данных WSM открытый ключ PGP для «TheOne», названный «Открытый ключ 1».

Открытый ключ 1 был открытым ключом PGP для «dudebuy». «Кошельком возврата средств» для «dudebuy» был Кошелек 2.

Кошелек 2 был источником средств для Биткойн-транзакции... В записях, полученных от компании по обработке Биткойн-платежей, была указана информация о покупателе для этой Биткойн-транзакции как «Мартин Фрост» с использованием адреса электронной почты klaus-martin.frost@...​

По сути, A - это B, а B - это C, поэтому A - это C. Этот небольшой дедуктивный трюк удобен, но биткойн-кошельки, используемые Фростом, также были идентифицированы посредством анализа Службой почтовой инспекции США, которая, если вы не знали, имеет “высококвалифицированное, опытное и преданное кибер-подразделение.”

Служба почтовой инспекции США, проанализировав блокчейн-транзакции и информацию, собранную при помощи вышеописанного проприетарного программного обеспечения, выяснила, что средства из Кошелька 2 сначала переводились в Кошелек 1, а затем «миксовались» коммерческим сервисом; сервисы-миксеры описаны выше в параграфе 4.m. Путем тщательного анализа, Служба почтовой инспекции США смогла «де-миксовать» поток транзакций, что в конечном счете позволило выяснить, что деньги из Кошельков 1 и 2 в конечном итоге попадали на счет Фроста в компании по техническому обслуживанию продукции.​

Здесь неудаляемая запись блокчейна явно работала против Фроста. Кошелек 1, кстати, обработал тысячи биткойнов во время его использования в связке с другим рынком даркнета, German Plaza Market - которым трое сегодняшних обвиняемых также предположительно управляли, и закрыли посредством exit scam.

В дополнение к администраторам, были выдвинуты обвинения некоторым поставщикам и другим лицам, связанным с сайтом. Они были идентифицированы более традиционными способами, и их деятельность была связана с рынком таким образом, что попытки оправдания выглядят безнадежными. История бразильца, который работал дилером и своего рода представителем WSM на Reddit и форумах, представляет собой интересное исследование в интернете, о наводящих на размышления учетных записях и именах, которые производят обличительное, хотя и косвенное, изображение ассоциаций и интересов человека, от банальных до преступных.

«Судебное преследование этих обвиняемых показывает, что даже самая маленькая ошибка позволит нам установить настоящую личность киберпреступника», - сказал прокурор США МакГрегор В. Скотт в пресс-релизе Министерства юстиции США. «Мы ищем даже самые малейшие крупицы».

Дела в отношении предполагаемых преступников будут проводиться в нескольких местах и под разными инстанциями - можно с уверенностью сказать, что это только начало долгого и сложного процесса для всех участников.