Операция «Штык». Часть 2. Неудачная осень Hansa. Или как копы в шопе торговали.

Сладкий ноябрь 2016 года. В даркнете давно созрели биткоины, груверы собирали урожай, а мирные анонимные жители готовились к зимней спячке. И все шло обычным чередом, пока однажды полиция Нидерландов не решила вмешаться в привычный порядок вещей. А целью их стал известный ресурс Hansa, который спецслужбы решили не просто закрыть, а взять под свой контроль.

Помните историю о беспечном мальчике Саше Касисе? Таких преданий на просторах даркнета хватает, но похвастаться крупным уловом полиция может редко. Борьба властей разных стран с площадками вроде Silk Road, Agora, AlphaBay, RAMP или даже Hydra продолжается уже больше пяти лет, но тактика нападающих часто оказывается бесполезной. Они охотятся на создателей и уничтожают сервера сайтов, но аудитория вскоре переходит на другую площадку. В тюрьму попадают лишь несколько человек, которых вскоре заменяют авторы новых сервисов.

Итак, вернемся в осеннюю Голландию, где полицейские получили наводку на сайт Hansa и решили действовать иначе. Их целью было не уничтожение платформы, а её тайный захват и нанесение серьёзного удара репутации всей даркнет-индустрии.

В поисках Hansa

В 2016 году Hansa считался одним из крупнейших теневых ресурсов по продаже ПАВ в Европе. На пике популярности около 3600 дилеров размещали там больше 24 тысяч видов своих товаров. Такая ярмарка выходного дня не могла не привлечь внимание властей, однако долгое время никто не видел способа вывести эту карусель из строя.

Неожиданно для всех игроков пьесы всё изменилось — неназванная организация по кибербезопасности обнаружила сервера Hansa в дата-центре голландского провайдера. Как пояснили специалисты, они нашли версию сайта для тестирования новых функций — в отличие от основного ресурса, она была видна в сети, и исследователи записали её IP-адрес.

Вскоре голландским полисменам пришлось отложить участие в крупных парадах, они принялись за дело. Связавшись с провайдером подозрительного сервера и потребовав доступ к дата-центру, спецслужбы подключили систему мониторинга для слежки за всем трафиком устройства: они определили, что дополнительный сервер находится в одном месте с основным, а несколько других базируются в дата-центрах в Германии. Полицейские скопировали всю доступную информацию с ресурсов, включая истории транзакций и каждое сообщение, которое появлялось на Hansa.

И тут опять будет уместно вспомнить нашего друга Касиса и его Альфабей, раздававшего свои постовые ящики направо и налево. Но в случае с Hansa у полиции была лишь одна реальная зацепка — на сервере в Германии сохранилась старая переписка двух администраторов, где, как ни странно, были указаны их настоящие имена, а в одном случае даже домашний адрес.

Весенний биткоин

Администраторами Hansa оказались 30-летний житель Зигена и 31-летний пассажир из Кёльна. Голландские власти обратились к немецким с просьбой об аресте и экстрадиции подозреваемых, но узнали, что местные полицейские уже следят за ними. Против немцев начали расследование на почве создания пиратского сайта Lul.to с электронными книгами. Это подсказало голландским оперативникам идею: если немецкие полицейские арестуют администраторов Hansa без огласки, голландские коллеги займут места модераторов площадки.

Но как только охотники за работниками даркнет-площадки развернули операцию, трафик на серверах Hansa внезапно остановился. Оперативники заподозрили, что администраторы заметили копирование файлов с серверов и залегли на дно. Как выяснилось позже, они перевели площадку на более безопасные сервера в разных частях света.

У голландских полицейских было два выхода: дождаться ареста подозреваемых немецкими коллегами и воспользоваться данными с их компьютеров для отключения Hansa, или подождать. Оперативники выбрали второй вариант и продолжили по крупицам собирать информацию о даркнет-магазине.

Пришла весна, запели птички и полицейским нежданно повезло — предполагаемый администратор провёл платёж биткоинами через адрес, который некогда засветился в чате в Hansa. С помощью блокчейн-аналитиков организации Chainalysis полицейские обнаружили, что криптовалюта прошла через компанию в Нидерландах и осела на счёте другой фирмы. На этот раз, в Литве

На карте

Полиция Нидерландов отправила пару оперативников в дата-центр в Литве, договорившись с местными властями. А 20-го июня всё было готово: немецкий спецназ арестовал двух подозреваемых в их квартире и дал зелёный свет голландским коллегам. В это же время агенты в Литве начали скачивать все данные с серверов и переводить их на подконтрольные полиции Нидерландов.

Несколько дней спустя подозреваемые выдали немецкой полиции данные от своих аккаунтов. На следующий день Hansa полностью перешла под наблюдение оперативников. Судя по всему, пользователи и администраторы не заметили перемен.

Следующие несколько месяцев голландская полиция тайно переписывала код сайта, чтобы следить за действиями пользователей. При входе ресурс больше не шифровал пароли аккаунтов, а добавлял их в оригинальном виде в специальный список. То же самое произошло со всеми сообщениями в чатах — полиция свободно изучала логины и вычисляла домашние адреса покупателей и дилеров.

Специалисты отключили автоматическое удаление метаданных с фотографий товаров, загруженных на сайт. Это позволило определить геолокационные данные многих кадров и понять, где их сделали. Как утверждают оперативники, способ оказался настолько действенным, что они намеренно удалили все фото с площадки и пояснили, что это сбой. Продавцам пришлось вновь загружать изображения, не подозревая, что их метаданные тщательно собирает полиция. Так удалось определить местонахождение 50 человек.

По словам специалистов, они предложили продавцам на Hansa файл, который якобы послужит резервным ключом: если сайт перестанет работать, запись позволит восстановить биткоины, отправленные им за последние 90 дней. Когда злоумышленники открывали документ, он скрытно передавал на полицейские сервера уникальный адрес, раскрывающий IP-адрес пользователя.

Параллельно с этим агенты разрешали конфликты и споры между дилерами и покупателями. Ради этого полицейские сменяли друг друга, предлагая место тем, кто лучше разбирался в дипломатии. Оперативники считают, что решать проблемы им удавалось даже лучше, чем оригинальным владельцам аккаунтов.

Публика Касиса

Как и предполагалось, после падения AlphaBay в июле 2017 года многие покупатели перебрались на Hansa. Суммарно на сайте регистрировались до пяти тысяч человек в день. В какой-то момент наплыв пользователей стал слишком большим, и оперативникам пришлось временно закрыть регистрацию. Им приходилось отчитываться за каждую транзакцию на сайте перед Европолом, а когда количество денежных переводов достигло тысячи в день, у полиции просто перестало хватать времени на бумажную работу.

За всё время управления чёрным рынком оперативники запретили продажу лишь одного вида ПАВ — чрезвычайно опасного опиоида фентанила, многократно превышающего эффект героина. Остальные виды запрещённых веществ свободно расходились по клиентам.

Копы в шопе

Спустя месяц, когда по ту сторону прилавка известоного шопа стояли копы, которые уже провели более тридцати тысяч транзакций, решили прикрыть лавочку. На сайте появилась заглушка с уведомлением о закрытии площадки властями и ссылкой на правительственный ресурс со списком покупателей и дилеров. «Мы следим за активными пользователями даркнета, которые предлагают незаконные товары или услуги. Вы один из них?», — говорилось на сайте. Да, оставалось добавить: «Тогда мы идем к вам!»

Полицейские арестовали примерно десять лидеров даркнет-площадки и вывели 1200 биткоинов. А еще оперативники встретились с 50 покупателями и пригрозили им арестом, если те хоть раз попадутся. Мы не знаем, насколько сильно те испугались, но знаем, что бдительность теперь им не помешает. А вы доверяете ресурсам на которых совершаете покупки выходного дня?

Чтобы быть вкурсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/ruonionblog