Se incautó el principal mercado darknet conocido como el mercado de Wall Street y sus supuestos operadores fueron arrestados en una operación conjunta entre las autoridades europeas y estadounidenses. Se recaudaron millones en efectivo, criptomoneda y otros activos, y el mercado cerró. Es instructivo cómo los investigadores vincularon a estas personas obsesionadas con el anonimato con las actividades ilegales.
Los tres hombres acusados de dirigir Wall Street Market (WSM), uno de los mercados de servicios ocultos más grandes que operan a través de la red Tor Todos son ciudadanos alemanes: Tibo Lousee, Jonathan Kalla y Klaus-Martin Frost; varios proveedores del mercado también han sido acusados, incluyendo uno que vendió metanfetaminas por kilogramo.
La investigación ha estado en curso desde 2017, pero fue empujada a una crisis por el aparente intento en abril de los operadores de WSM de ejecutar una estafa de salida Al retirar repentinamente toda la criptomoneda mantenida en depósito y almacenada de otra manera bajo su autoridad, los supuestos propietarios podían ganar unos $ 11 millones si podían convertir las monedas.
Hasta hace poco, el mercado de Wall Street era un bazar bullicioso para productos ilegales. , incluyendo drogas peligrosas como el fentanilo y artículos físicos como documentos falsos. Tenía más de un millón de cuentas de usuario, unos 5,400 proveedores y decenas de miles de artículos disponibles para su compra. Ha crecido a medida que se acorralaron y cerraron otros mercados darknet, llevando a los usuarios y vendedores a un grupo cada vez más pequeño de plataformas más pequeñas.
Ya sea que los propietarios buscaran simplemente parley este crecimiento a un rápido el robo de efectivo o si percibieron la ley a punto de derribar su puerta, la estafa de salida se llevó a cabo el 16 de abril.
Esta acción incitó a investigadores en los EE. UU. y Alemania, y Europol, a actuar, ya que esta estafa de salida no solo brindó una oportunidad para que los investigadores se reúnan y observen nuevas evidencias de los presuntos delitos del trío, sino que esperar mucho más podría permitirles ir a tierra y lavar sus bienes virtuales.
La queja del Departamento de Justicia detalla los medios por los cuales Los tres administradores del sitio estaban vinculados a él, a pesar de sus intentos de anonimizar su acceso. No es algo sin precedentes, pero siempre es interesante leer los análisis forenses paso a paso que llevan a los cargos, ya que puede ser muy difícil vincular a los actores del mundo real con entidades virtuales.
Para Frost, fue una conexión VPN inestable, además de algunos trucos por parte de la policía federal alemana, Bundeskriminalamt o BKA:
Los administradores de WSM accedieron a la infraestructura de WSM principalmente a través del uso de dos proveedores de servicios VPN. En ocasiones, la conexión del proveedor de VPN # 1 cesaría, pero como ese administrador específico continuó accediendo a la infraestructura WSM, el acceso de ese administrador expuso la verdadera dirección IP del administrador
La persona que utiliza la dirección IP mencionada anteriormente para conectarse a la La infraestructura de WSM usó un dispositivo llamado UMTS-stick (también conocido como surfstick) [i.e. a dongle for mobile internet access]. Este palo UMTS se registró con un nombre ficticio sospechoso.
El BKA ejecutó múltiples medidas de vigilancia para ubicar electrónicamente el palo UMTS específico. El equipo de vigilancia de BKA identificó que, entre el 5 y el 7 de febrero de 2019, el UMTS-stick específico se usó en una residencia de Lousee en Kleve, Northrhine-Westphalia (Alemania), y en su lugar de empleo, una empresa de tecnología de la información donde Lousee tiene empleo. como un programador de computadoras Lousee se encontró más tarde en posesión de un bastón UMTS.
Alguna otra evidencia circunstancial también vinculó a Lousee a la operación, como nombres de inicio de sesión similares, menciones de drogas y criptomonedas, etc. ("Basado en mi entrenamiento y experiencia como investigador, soy consciente de que '420' es una referencia a la marihuana", escribe el agente especial que fue el autor de la queja).
La VPN de Kalla se mantuvo fuerte, pero los metadatos lo traicionaron:
Una dirección IP asignada al hogar de esta persona (la cuenta para la dirección IP se registró con el nombre de la madre del sospechoso) accedió al Proveedor VPN # 2 dentro de marcos de tiempo similares a los del administrador de la infraestructura del servidor WSM. fueron accedidos por el proveedor de VPN # 2.
Apenas un agujero en uno, pero Kalla luego admitió que era el agente de usuario en cuestión. Este es un buen ejemplo de cómo una VPN puede y no puede protegerlo contra el espionaje del gobierno. Puede disfrazar su IP a ciertos sistemas, pero cualquier persona con vista de pájaro puede ver la obvia correlación entre una conexión y otra. No resistirá en la corte por sí solo, pero si los investigadores son buenos, no tendrá que hacerlo.
Frost, el tercer administrador, requirió un enfoque más sutil, pero al final fue nuevamente una opsec pobre; esta vez una imprudente contaminación cruzada de sus cuentas criptográficas y criptográficas:
La clave pública PGP para [WSM administrative account] 'TheOne' es la misma que la clave pública PGP para otro apodo en [another hidden service] Hansa Market, 'dudebuy'. Como se describe a continuación, una transacción financiera conectada a una billetera virtual utilizada por FROST se vinculó a 'dudebuy.'
[The BKA] localizó la clave pública PGP para 'TheOne' en la base de datos de WSM, denominada 'Clave pública 1 [
La clave pública 1 era la clave pública PGP para 'dudebuy.' La 'billetera de reembolso' para 'dudebuy' era la billetera 2.
La billetera 2 era una fuente de fondos para una transacción de Bitcoin … Registros obtenidos de Bitcoin Payment Processing Company reveló la información del comprador para esa transacción de Bitcoin como 'Martin Frost', usando la dirección de correo electrónico klaus-martin.frost@…
Esencialmente A es B, y B es C, entonces A es C. Este pequeño truco deductivo Es útil, pero las carteras de bitcoin utilizadas por Frost también fueron mediante el análisis realizado por el Servicio de Inspección Postal de los EE. UU., que, si no lo sabía, tiene "una unidad cibernética altamente capacitada, especializada y comprometida".
El Servicio de Inspección Postal de los Estados Unidos aprendió, a través de su análisis de las transacciones de Blockchain y información obtenida del software propietario descrito anteriormente, que los fondos de la Cartera 2 se transfirieron primero a la Cartera 1 y luego se "mezclaron" por un servicio comercial; los servicios de mezcla se describen arriba en el párrafo 4.m. A través de un análisis exhaustivo, el Servicio de Inspección Postal de los Estados Unidos pudo "desmontar" el flujo de transacciones, para finalmente determinar que el dinero de las Carteras 1 y 2 finalmente pagó la cuenta de FROST en la Compañía de Servicios del Producto.
Aquí está la cadena de bloques Registro indeleble claramente trabajado contra Frost. La cartera 1, por cierto, manejó miles de bitcoins durante su uso en asociación con otro mercado de darknet, German Plaza Market, que los tres acusados hoy también presuntamente corrieron y cerraron a través de una estafa de salida.
Además de los administradores, Se cobraron algunos vendedores y otros asociados con el sitio. Fueron identificados a través de medios más tradicionales y sus actividades vinculadas al mercado de tal manera que la defensa parece una causa perdida. El registro para un hombre brasileño que operaba como comerciante y como una especie de representante de WSM en Reddit y foros es un interesante estudio en la web de cuentas y nombres sugestivos que producen una descripción condenatoria, si es circunstancial, de las asociaciones e intereses de una persona. , desde lo banal hasta lo criminal.
"El enjuiciamiento de estos acusados muestra que incluso el error más pequeño nos permitirá descubrir la verdadera identidad de un ciberdelincuente", dijo el Fiscal Federal McGregor W. Scott en el comunicado de prensa del Departamento de Justicia . "Estamos a la caza de las migajas de pan más pequeñas".
Los casos contra los presuntos delincuentes se llevarán a cabo en varios lugares y bajo múltiples autoridades. Es seguro decir que esto es solo el comienzo de un proceso largo y complicado para todos.
No comments:
Post a Comment