AlphaBay: Как ошибка в Opsec привела к поимке «короля» даркнета
Примечание: AlphaBay — один из крупнейших нарко-маркетплейсов, был активен с 2014 года, а в 2017 году его ликвидировали совместно с Hansa Market.
Тогда закрытие AlphaBay и Hansa Market стало результатом крупной международной операции, в которой принимали участие: США, Канада, Тайланд, Голландия, Великобритания, Франция, Литва, а также представители Европола, ФБР и Управления по борьбе с наркотиками.
- AlphaBay, по данным ФБР, затмил даже печально известный Silk Road, став гигантом теневого рынка, в десять раз превышающим своего предшественника по масштабам. Свыше 200 000 пользователей и 40 000 продавцов совершали сделки на этой платформе, превратив ее в настоящий "супермаркет преступности".
В ассортименте AlphaBay было более 250 000 предложений о продаже наркотиков, более 100 000 объявлений о продаже украденных или поддельных документов, контрафактных товаров, малвари и хакерских инструментов.
Глава Ⅰ: Борьба за пьедестал
На дворе начало 2010-х и анонимные средства оплаты, вместе с даркнетом набирают обороты. Благодаря биткоину - появилось новое средство оплаты, неконтролируемое властями, преступникам стало гораздо проще массово продавать свою продукцию в интернете.
С появлением дарквеба началась глобальная игра в кошки-мышки, которая продолжается и по сей день. Миллиарды и миллиарды долларов...
На сегодняшний день Silk Road пожалуй - это самая легендарная площадка, многим она знакома. Платформа заработала в феврале 2011г. и стала невероятно популярной, более 100 тыс. клиентов покупали на ней наркотики. Платформа продержалась недолго, спустя два года владелец площадки был пойман и Silk Road ушёл в offline.
Власти устроили «показательную казнь» и владелец сайта Silk Road (Росс Ульбрихт) получил пожизненный абонемент в места не столь отдалённые.
27.05.2024: Tpaмп пooбeщaл ocвoбoдить ocнoвaтeля Silk Road Pocca Ульбpиxтa - свежую новость вам в ленту.
Но бизнес был слишком прибыльным, чтобы заставить других сдаться, после Silk Road кол-во подобных интернет-площадок резко возросло, такие как: Valhalla; Budster; Project Black Flag; Pandora; Evolution; Agora. Все они боролись за первенство, но пали не протянув и пары лет. (exit scam, добровольный вывод в offline или захват со стороны властей - у каждой своя история)— Silk Road 2.0 был поднят спустя 35 дней после закрытия его предшественника, но повторить успех или хотя бы прожить более года у площадки также не вышло.
Всё это шло на пользу пока ещё зарождающейся площадке AlphaBay, в июле 2014г. человек называющий себя Alpha02 приступает к разработке платформы.
За небольшой срок, а точнее спустя всего 5 месяцев - платформа была готова и начала свою работу. Вначале на AlphaBay предлагались лишь краденные данные карт, но вскоре на платформе появились и более прибыльные товары, помимо данных CC/CVV и др. на ней начали торговать наркотиками, оружием и вредоносным ПО.
На AlphaBay впрочем ограничений практически не было, но предметы или данные связанные с детским насилием и кражей банковской информации со счетов РФ строго запрещена. (тривиальный отвод глаз или реальная связь с «русской мафией» думайте сами)
Идёт время а AlphaBay стабильно растёт и работает, в то время как другие площадки появляются и исчезают - AlphaBay остаётся непоколебимой. Спустя всего год существования на площадке зарегистрировалось более 200 тыс. пользователей и 40 тыс. продавцов.
В 2017г. на сайте имелось более 300 тыс. товаров и ежедневный оборот на площадки достигал более 500 тыс. $
А какова была выгода для Alpha02?
Alpha02 зарабатывал деньги получая с каждой сделки долю (2-4%) и с этого момента его финансовое положение пошло в гору, он становится мульти-миллионером.
В этот момент на AlphaBay работает целая команда, состоящая из представителя (DESNAKE), кучки модераторов и PR-менеджера. А сам Alpha02 ушёл в тень, переименовав себя в Admin и перестав выходить на контакт, с тех пор, вся коммуникация шла только через DESNAKE.
Alpha02 засыпает, просыпается агенство по борьбе с наркотиками (DEA)
Примерно в этом промежутке времени сотрудники DEA во главе с Робертом Миллером заинтересовались площадкой и начали расследование, кто же стоит за этой мощной платформой, скрывающейся в даркнете...
Начинается охота которая охватит весь мир и продлится более нескольких лет...
Глава ⅠⅠ: Кто скрывается под маской Alpha02
Американские ИБ-спецы хотят выяснить где находятся сервера AlphaBay, ведь имея доступ к серверам появится возможность закрыть платформу или тайно на неё проникнуть и как следствие - обнаружить Alpha02.
В данном же случае луковая маршрутизация TOR'а не позволяет этого сделать, так как запросы веб-сайтов отправляются через множество случайных серверов по всему миру, определение местоположения намерено затруднено. Поэтому до декабря 2016г. следователи впадают в отчаяние...
Ещё не забыли о Роберте? - именно он работает над расследованием площадки AlphaBay и до этого момента результаты были плачевны, вдруг в его почтовом ящике появляется письмо (отправитель аноним)
Похоже, что Alpha02 совершил роковую ошибку вначале своего пути каждый пользователь зарегистрировавшийся на сайте получал приветственное письмо и адрес электронной почты истинного отправителя был виден в метаданных этого письма. Хотя ошибка была незамедлительно исправлена, кто-то всё таки успел сохранить его. Пока в интернет пространстве рос AlphaBay этот аноним молча наблюдал за его успехами и только к моменту расследования передал данные в DEA.
Этим адресом оказался [email protected]
По адресу электронной почты следователи нашли фотографии нашего Санька(русифицируем, так роднее) датируемые лохматыми 2008-2009 годами на сайте французской социальной сети Skyrock.com (ныне закрыто)
Кроме того, следователи нашли его на одном из сайтов знакомств, в котором был указан город - Trois-Rivieres. Согласно полученным данным выясняется, что Саня родом из канадской провинции Квебека, 1991 года рождения и на момент основания Alphabay ему должно было быть 23 года.
В процессе поиска по юзернейму Alpha02 (как это делать - вам подскажет шпаргалка от Cipher387) он фигурировал на франкоязычном технологическом форуме, а если быть точнее, то в 2008 году он объяснял как удалить вредонос с изображения. Теперь у следователей есть его внешность, имя, фамилия - но, как определить его местонахождение?
— Доблестные сотрудники находят счёт Cazes'а в PayPal, а всё потому, что и там была указана его мэйн-почта ([email protected]) эх, Санька - Opsec по тебе плакалъ.
Помимо счета в PayPal следователи также наткнулись на его профиль в LinkedIn, им стало известно, что он работает внештатным дизайнером, кроме того, он руководит собственной компанией EBX Technologies.
Ещё был найден профиль в Facebook, им пользовалась его невеста - тайка Sunisa. Следователей это натокнуло на мысль, что Саня греет булки в Тайланде, туда-то они и направились...
С помощью тайских властей следственная группа выявляет 3 объекта недвижимости в Бангкоке, столице Таиланда. Кроме того, у него есть домик для отдыха на Пхукете, а также вилла на Кипре (в процессе покупки)
С этого момента за Саней началась слежка, следователи выяснили, что у него имеется несколько люксовых автомобилей. АААвтомобиль, в студию!)
Cazes с удовольствием разъезжает по Бангкоку на своём Lamborghini, а агенты наблюдают за ним, следят за его маршрутами и отслеживают его мобильный телефон. А теперь вспомните о том, что у него имеется 3 объекта недвижимости в Бангкоке, так вот, пока в одном доме он проживает со своей возлюбленной тайкой Сунисой, во второй дом частенько заглядывает с другими пташками, следователи назвали этот дом «Холостяцкая берлога»
Саня также является активным участником форума пикаперов, под никнеймом Rawmeo он публикует консервативные семейные ценности и ведёт блог о своей успешной сексуальной жизни.
Следователи тщательно рассчитали его распорядок(цифры ориентировочные, он не робот, погрешность ≈30 минут): с 06:00 по 07:00 он просыпается; с 07:00 по 08:00 Саня просматривает свои соц. сети; c 09:00 по 16:00 работает; в некоторые дни посещает языковые курсы с 17:00 по 18:00; с 20:00 по 21:00 ужинает в ресторане со своей Сунисой. Таким образом, власти планируют его арест.
Забавный момент: встреча агентов и Сани в отеле
В июне 2017г. за несколько недель до ареста несколько американских агентов сидели в lounge-зоне 5 звёздочного отеля в Бангкоке и внезапно для агентов Саня припарковывает свой второй автомобиль Porsche Panamera прямо у центрального входа, направляясь в сторону оперов. Что в тот момент было в голове у этих ребят, к сожалению, останется в тайне.
Как оказалось, он приехал туда на бизнес встречу, невероятное совпадение, но в этот момент никто из них не подозревал, что всего через месяц Cazes будет мёртв.
Глава Ⅲ: Операция Bayonet
Прежде чем начать повествование, хотел бы с вами поделиться феноменальным эпизодом Darknet Diaries, прочесть его вы сможете прямо из статьи, вам необходимо будет лишь навести мышкой по области окна и скролить по мере чтения - приятного ознакомления, @username
На дворе 2017г. AlphaBay крупнейший на данный момент рынок даркнета в мире, но конкуренция имеется - в Европе быстро растёт площадка Hansa, который не даёт покоя Европейским властям.
Голландские ИБ-исследователи находят серверы Hansa Market благодаря наводке иного, не раскрываемого лица. Сервера были расположены в дата-центре в Нидерландах. Появляется уникальная возможность, они начинают следить за серверами, делают бэкапы и копаются в бесчисленных записях операторов сайта.
Выясняется, что владельцы Hansa - немцы, которые, вероятно, всё ещё находятся в Германии. Совместно с федеральной полицией Германии голландцы хотят взять Hansa Market под свой контроль, но не тут то было! Внезапно они исчезают с голландских серверов, скорее всего операторы заметили утечку данных.
Но, Opsec никто не отменял, когда следователи копались в диалогах операторов, были найдены несколько Bitcoin-адресов. Они начинают отслеживать транзакции и дожидаются момента пока те не засветились на Голландской крипто-бирже, далее делая запрос к бирже, выясняется, что биткоины ведут в Литву.
Вместе с властями этой страны немцы и голландцы пытаются обнаружить новые серверы, на этот раз власти хотят нанести удар по Hansa Market. Но, и происходит нечто неожиданное...
ФБР сообщает Европейским властям о своих планах по аресту Alpha02 и закрытию AlphaBay, именно так зарождается операция Bayonet.
ФБР было поручено подождать с уничтожением AlphaBay, пока голландцы совместно с немцами не возьмут под контроль рынок Hansa. Если AlphaBay будет закрыт, то Hansa будет завален новыми клиентами и дилерами, именно так зачастую и случается. Когда площадка закрывается или происходит exit scam, клиенты и дилеры этих площадок мигрируют на другие площадки, в данном случае, большинство перешло бы на площадку-гигант Hansa, но уже взломанной правоохранительными органами.
Таким образом, у них появится возможность осудить ничего не подозревающих преступников.
Тем временем, наш Саня ничего не подозревает и продолжает гонять по Бангкоку на своём Lamborghini, писать забавные мысли на форуме пикаперов и натягивать любовниц...
20 июня 2017г. первая часть миссии правоохранительных органов удаётся, дата-центр в Литве штурмуют голландские силовики, в это же время в Германии арестуют двух операторов Hansa Market в Зигене и Кёльне. Операторы не успевают никого предупредить о своём задержании и рынок Hansa ныне под голландским контролем и никто об этом не знает.
5 июля 2017г. на Александра Казеса выписан ордер, сегодня Королевская тайская полиция, УБН и ФБР арестуют его.
После более чем двух летней охоты на Alpha02 его наконец могут посадить, но и тут был разыгран целый спектакль.
Серая Toyota Camry выезжает и едет прямиком к основному дому Сани, за рулём агент Тайской королевской полиции, остановившись рядом с его домом, она говорит охраннику «я не туда заехала, сейчас развернусь» и по сценарию въезжает в ворота его участка.
Данный маневр играет на неожиданности, шум и хаос должен выманить нашего Саню из дома, он должен выйти спонтанно, не задумываясь. Эта часть плана невероятно важна, так как его устройства в момент задержания должны остаться не заблокированными. А иначе его устройства могут быть заблокированы и зашифрованы а у властей, навряд ли, будет доступ к AlphaBay.
Поднявшись в его кабинет, следователи увидели, что ноутбук остался во включенном состоянии. Они нашли в нём необходимые данные к серверу и площадке AlphaBay - ВСЁ!
Состояние Александра Казеса составило 23 млн. $ власти также арестовали его роскошные автомобили, дома и др. активы а его женщине Сунисе были предъявлены обвинения в отмывании денежных средств.
12 июля 2017г. Через неделю после задержания Александр Казес покончил жизнь самоубийством, находясь под стражей, так он и ушёл в историю...
А закрытие AlphaBay намерено держится в тайне, площадка вдруг просто перестала работать и никто толком не знает, в чём проблема. Как и ожидалось, огромная база клиентов и продавцов начала мигрировать на другие площадки, включая Hansa Market. В течение месяца голландские власти собирают ценные улики и уже 20 июля 2017г. закрывается и Hansa Market.
Особо внимательные заметили, что при аресте Alpha02 я не упомянул DESNAKE и связанно это с тем, что в 2021г. он возобновил работу AlphaBay и до сих пор управляет этой площадкой, такие дела, на этом прощаюсь.