May 24

AlphaBay: Как ошибка в Opsec привела к поимке «короля» даркнета 

Примечание: AlphaBay — один из крупнейших нарко-маркетплейсов, был активен с 2014 года, а в 2017 году его ликвидировали совместно с Hansa Market.

Тогда закрытие AlphaBay и Hansa Market стало результатом крупной международной операции, в которой принимали участие: США, Канада, Тайланд, Голландия, Великобритания, Франция, Литва, а также представители Европола, ФБР и Управления по борьбе с наркотиками.

- AlphaBay, по данным ФБР, затмил даже печально известный Silk Road, став  гигантом теневого рынка, в десять раз превышающим своего предшественника по масштабам. Свыше 200 000 пользователей и 40 000 продавцов  совершали сделки на  этой платформе,  превратив ее в настоящий  "супермаркет преступности". 

В ассортименте AlphaBay было более 250 000 предложений о продаже наркотиков, более 100 000 объявлений о продаже украденных или поддельных  документов, контрафактных товаров, малвари и хакерских инструментов.

Глава Ⅰ: Борьба за пьедестал

На дворе начало 2010-х и анонимные средства оплаты, вместе с даркнетом набирают обороты. Благодаря биткоину - появилось новое средство оплаты, неконтролируемое властями, преступникам стало гораздо проще массово продавать свою продукцию в интернете.

С появлением дарквеба началась глобальная игра в кошки-мышки, которая продолжается и по сей день. Миллиарды и миллиарды долларов...

На сегодняшний день Silk Road пожалуй - это самая легендарная площадка, многим она знакома. Платформа заработала в феврале 2011г. и стала невероятно популярной, более 100 тыс. клиентов покупали на ней наркотики. Платформа продержалась недолго, спустя два года владелец площадки был пойман и Silk Road ушёл в offline.

Власти устроили «показательную казнь» и владелец сайта Silk Road (Росс Ульбрихт) получил пожизненный абонемент в места не столь отдалённые.

27.05.2024: Tpaмп пooбeщaл ocвoбoдить ocнoвaтeля Silk Road Pocca Ульбpиxтa - свежую новость вам в ленту.

Но бизнес был слишком прибыльным, чтобы заставить других сдаться, после Silk Road кол-во подобных интернет-площадок резко возросло, такие как: Valhalla; Budster; Project Black Flag; Pandora; Evolution; Agora. Все они боролись за первенство, но пали не протянув и пары лет. (exit scam, добровольный вывод в offline или захват со стороны властей - у каждой своя история)

— Silk Road 2.0 был поднят спустя 35 дней после закрытия его предшественника, но повторить успех или хотя бы прожить более года у площадки также не вышло.

Всё это шло на пользу пока ещё зарождающейся площадке AlphaBay, в июле 2014г. человек называющий себя Alpha02 приступает к разработке платформы.

За небольшой срок, а точнее спустя всего 5 месяцев - платформа была готова и начала свою работу. Вначале на AlphaBay предлагались лишь краденные данные карт, но вскоре на платформе появились и более прибыльные товары, помимо данных CC/CVV и др. на ней начали торговать наркотиками, оружием и вредоносным ПО.

На AlphaBay впрочем ограничений практически не было, но предметы или данные связанные с детским насилием и кражей банковской информации со счетов РФ строго запрещена. (тривиальный отвод глаз или реальная связь с «русской мафией» думайте сами)

Идёт время а AlphaBay стабильно растёт и работает, в то время как другие площадки появляются и исчезают - AlphaBay остаётся непоколебимой. Спустя всего год существования на площадке зарегистрировалось более 200 тыс. пользователей и 40 тыс. продавцов.

В 2017г. на сайте имелось более 300 тыс. товаров и ежедневный оборот на площадки достигал более 500 тыс. $

А какова была выгода для Alpha02?

Alpha02 зарабатывал деньги получая с каждой сделки долю (2-4%) и с этого момента его финансовое положение пошло в гору, он становится мульти-миллионером.

В этот момент на AlphaBay работает целая команда, состоящая из представителя (DESNAKE), кучки модераторов и PR-менеджера. А сам Alpha02 ушёл в тень, переименовав себя в Admin и перестав выходить на контакт, с тех пор, вся коммуникация шла только через DESNAKE.

Alpha02 засыпает, просыпается агенство по борьбе с наркотиками (DEA)

Примерно в этом промежутке времени сотрудники DEA во главе с Робертом Миллером заинтересовались площадкой и начали расследование, кто же стоит за этой мощной платформой, скрывающейся в даркнете...

Начинается охота которая охватит весь мир и продлится более нескольких лет...

Глава ⅠⅠ: Кто скрывается под маской Alpha02

Американские ИБ-спецы хотят выяснить где находятся сервера AlphaBay, ведь имея доступ к серверам появится возможность закрыть платформу или тайно на неё проникнуть и как следствие - обнаружить Alpha02.

В данном же случае луковая маршрутизация TOR'а не позволяет этого сделать, так как запросы веб-сайтов отправляются через множество случайных серверов по всему миру, определение местоположения намерено затруднено. Поэтому до декабря 2016г. следователи впадают в отчаяние...

Ещё не забыли о Роберте? - именно он работает над расследованием площадки AlphaBay и до этого момента результаты были плачевны, вдруг в его почтовом ящике появляется письмо (отправитель аноним)

Похоже, что Alpha02 совершил роковую ошибку вначале своего пути каждый пользователь зарегистрировавшийся на сайте получал приветственное письмо и адрес электронной почты истинного отправителя был виден в метаданных этого письма. Хотя ошибка была незамедлительно исправлена, кто-то всё таки успел сохранить его. Пока в интернет пространстве рос AlphaBay этот аноним молча наблюдал за его успехами и только к моменту расследования передал данные в DEA.

Этим адресом оказался [email protected]

По адресу электронной почты следователи нашли фотографии нашего Санька(русифицируем, так роднее) датируемые лохматыми 2008-2009 годами на сайте французской социальной сети Skyrock.com (ныне закрыто)

А вот и Сашенька, Санёк

Кроме того, следователи нашли его на одном из сайтов знакомств, в котором был указан город - Trois-Rivieres. Согласно полученным данным выясняется, что Саня родом из канадской провинции Квебека, 1991 года рождения и на момент основания Alphabay ему должно было быть 23 года.

В процессе поиска по юзернейму Alpha02 (как это делать - вам подскажет шпаргалка от Cipher387) он фигурировал на франкоязычном технологическом форуме, а если быть точнее, то в 2008 году он объяснял как удалить вредонос с изображения. Теперь у следователей есть его внешность, имя, фамилия - но, как определить его местонахождение?

— Доблестные сотрудники находят счёт Cazes'а в PayPal, а всё потому, что и там была указана его мэйн-почта ([email protected]) эх, Санька - Opsec по тебе плакалъ.

Помимо счета в PayPal следователи также наткнулись на его профиль в LinkedIn, им стало известно, что он работает внештатным дизайнером, кроме того, он руководит собственной компанией EBX Technologies.

Ещё был найден профиль в Facebook, им пользовалась его невеста - тайка Sunisa. Следователей это натокнуло на мысль, что Саня греет булки в Тайланде, туда-то они и направились...

С помощью тайских властей следственная группа выявляет 3 объекта недвижимости в Бангкоке, столице Таиланда. Кроме того, у него есть домик для отдыха на Пхукете, а также вилла на Кипре (в процессе покупки)

С этого момента за Саней началась слежка, следователи выяснили, что у него имеется несколько люксовых автомобилей. АААвтомобиль, в студию!)

Cazes с удовольствием разъезжает по Бангкоку на своём Lamborghini, а агенты наблюдают за ним, следят за его маршрутами и отслеживают его мобильный телефон. А теперь вспомните о том, что у него имеется 3 объекта недвижимости в Бангкоке, так вот, пока в одном доме он проживает со своей возлюбленной тайкой Сунисой, во второй дом частенько заглядывает с другими пташками, следователи назвали этот дом «Холостяцкая берлога»

Саня также является активным участником форума пикаперов, под никнеймом Rawmeo он публикует консервативные семейные ценности и ведёт блог о своей успешной сексуальной жизни.

Следователи тщательно рассчитали его распорядок(цифры ориентировочные, он не робот, погрешность ≈30 минут): с 06:00 по 07:00 он просыпается; с 07:00 по 08:00 Саня просматривает свои соц. сети; c 09:00 по 16:00 работает; в некоторые дни посещает языковые курсы с 17:00 по 18:00; с 20:00 по 21:00 ужинает в ресторане со своей Сунисой. Таким образом, власти планируют его арест.

Забавный момент: встреча агентов и Сани в отеле

В июне 2017г. за несколько недель до ареста несколько американских агентов сидели в lounge-зоне 5 звёздочного отеля в Бангкоке и внезапно для агентов Саня припарковывает свой второй автомобиль Porsche Panamera прямо у центрального входа, направляясь в сторону оперов. Что в тот момент было в голове у этих ребят, к сожалению, останется в тайне.

Сашка сел в нескольких метрах от оперов, они ещё никогда не были так близки к нему...

Как оказалось, он приехал туда на бизнес встречу, невероятное совпадение, но в этот момент никто из них не подозревал, что всего через месяц Cazes будет мёртв.

Глава Ⅲ: Операция Bayonet

Прежде чем начать повествование, хотел бы с вами поделиться феноменальным эпизодом Darknet Diaries, прочесть его вы сможете прямо из статьи, вам необходимо будет лишь навести мышкой по области окна и скролить по мере чтения - приятного ознакомления, @username

На дворе 2017г. AlphaBay крупнейший на данный момент рынок даркнета в мире, но конкуренция имеется - в Европе быстро растёт площадка Hansa, который не даёт покоя Европейским властям.

Голландские ИБ-исследователи находят серверы Hansa Market благодаря наводке иного, не раскрываемого лица. Сервера были расположены в дата-центре в Нидерландах. Появляется уникальная возможность, они начинают следить за серверами, делают бэкапы и копаются в бесчисленных записях операторов сайта.

Выясняется, что владельцы Hansa - немцы, которые, вероятно, всё ещё находятся в Германии. Совместно с федеральной полицией Германии голландцы хотят взять Hansa Market под свой контроль, но не тут то было! Внезапно они исчезают с голландских серверов, скорее всего операторы заметили утечку данных.

Но, Opsec никто не отменял, когда следователи копались в диалогах операторов, были найдены несколько Bitcoin-адресов. Они начинают отслеживать транзакции и дожидаются момента пока те не засветились на Голландской крипто-бирже, далее делая запрос к бирже, выясняется, что биткоины ведут в Литву.

Вместе с властями этой страны немцы и голландцы пытаются обнаружить новые серверы, на этот раз власти хотят нанести удар по Hansa Market. Но, и происходит нечто неожиданное...

ФБР сообщает Европейским властям о своих планах по аресту Alpha02 и закрытию AlphaBay, именно так зарождается операция Bayonet.

Операция проводится под руководством ФБР и УБН при участии правоохранительных органов семи стран, в операции также участвует Европол.

ФБР было поручено подождать с уничтожением AlphaBay, пока голландцы совместно с немцами не возьмут под контроль рынок Hansa. Если AlphaBay будет закрыт, то Hansa будет завален новыми клиентами и дилерами, именно так зачастую и случается. Когда площадка закрывается или происходит exit scam, клиенты и дилеры этих площадок мигрируют на другие площадки, в данном случае, большинство перешло бы на площадку-гигант Hansa, но уже взломанной правоохранительными органами.

Таким образом, у них появится возможность осудить ничего не подозревающих преступников.

Тем временем, наш Саня ничего не подозревает и продолжает гонять по Бангкоку на своём Lamborghini, писать забавные мысли на форуме пикаперов и натягивать любовниц...

20 июня 2017г. первая часть миссии правоохранительных органов удаётся, дата-центр в Литве штурмуют голландские силовики, в это же время в Германии арестуют двух операторов Hansa Market в Зигене и Кёльне. Операторы не успевают никого предупредить о своём задержании и рынок Hansa ныне под голландским контролем и никто об этом не знает.

5 июля 2017г. на Александра Казеса выписан ордер, сегодня Королевская тайская полиция, УБН и ФБР арестуют его.

После более чем двух летней охоты на Alpha02 его наконец могут посадить, но и тут был разыгран целый спектакль.

Серая Toyota Camry выезжает и едет прямиком к основному дому Сани, за рулём агент Тайской королевской полиции, остановившись рядом с его домом, она говорит охраннику «я не туда заехала, сейчас развернусь» и по сценарию въезжает в ворота его участка.

Данный маневр играет на неожиданности, шум и хаос должен выманить нашего Саню из дома, он должен выйти спонтанно, не задумываясь. Эта часть плана невероятно важна, так как его устройства в момент задержания должны остаться не заблокированными. А иначе его устройства могут быть заблокированы и зашифрованы а у властей, навряд ли, будет доступ к AlphaBay.

Как и следовало ожидать, Саня клюнул, как говорится - птичка в клетке.

Поднявшись в его кабинет, следователи увидели, что ноутбук остался во включенном состоянии. Они нашли в нём необходимые данные к серверу и площадке AlphaBay - ВСЁ!

Состояние Александра Казеса составило 23 млн. $ власти также арестовали его роскошные автомобили, дома и др. активы а его женщине Сунисе были предъявлены обвинения в отмывании денежных средств.

12 июля 2017г. Через неделю после задержания Александр Казес покончил жизнь самоубийством, находясь под стражей, так он и ушёл в историю...

А закрытие AlphaBay намерено держится в тайне, площадка вдруг просто перестала работать и никто толком не знает, в чём проблема. Как и ожидалось, огромная база клиентов и продавцов начала мигрировать на другие площадки, включая Hansa Market. В течение месяца голландские власти собирают ценные улики и уже 20 июля 2017г. закрывается и Hansa Market.

Особо внимательные заметили, что при аресте Alpha02 я не упомянул DESNAKE и связанно это с тем, что в 2021г. он возобновил работу AlphaBay и до сих пор управляет этой площадкой, такие дела, на этом прощаюсь.