Полезные знания Захват Даркфорума

Probiv.Cache

Местный
Ветеран пробива
Регистрация
2/12/15
Сообщения
500
Репутация
4.330
Реакции
3.213
RUB
0
Депозит
5 200 рублей
Осенью 2016 года полиция Нидерландов начала операцию c целью не просто закрыть сайт по продаже наркотиков Hansa, а взять его под контроль.​
lightest

Заглушка голландских спецслужб, которая появляется при попытке войти на даркнет-площадку Hansa
Борьба властей разных стран с даркнет-площадками вроде Silk Road, RAMP или Hydra продолжается уже больше пяти лет, но тактика полицейских часто оказывается бесполезной. Они охотятся за создателями и уничтожают сервера сайта, но аудитория вскоре переходит на другую площадку. В тюрьму попадают лишь несколько человек, которых вскоре заменяют авторы новых сервисов.

Осенью 2016 года голландские полицейские получили наводку по поводу даркнет-сайта по продаже наркотиков Hansa и решили действовать иначе. Их целью было не уничтожение платформы, а её тайный захват и нанесение серьёзного удара репутации всей даркнет-индустрии. Историю успеха операции «Штык» и её последствий рассказал журнал Wired.
Дыра в системе
В 2016 году Hansa считалась одной из крупнейших даркнет-площадок по продаже наркотиков в Европе. На пике популярности около 3600 дилеров размещали там больше 24 тысяч видов своих товаров, в том числе кокаин, кислоту, экстази и героин. Такой масштаб не мог не привлечь внимание властей, однако долгое время никто не видел способа вывести магазин из строя.
Осенью того же года всё изменилось — неназванная организация по кибербезопасности обнаружила сервера Hansa в дата-центре голландского провайдера (его название не разглашается). Как пояснили специалисты, они нашли версию сайта для тестирования новых функций — в отличие от основного ресурса, она была видна в сети, и исследователи записали её IP-адрес.

lightest

Герт Рас (слева) и Маринус Бокело — они руководили операцией по проникновению и захвату Hansa. Фото Wired
Вскоре голландская полиция связалась с провайдером подозрительного сервера и потребовала доступ к дата-центру. Оперативники подключили систему мониторинга для слежки за всем трафиком устройства: они определили, что дополнительный сервер находится в одном месте с основным, а несколько других базируются в дата-центрах в Германии. Полицейские скопировали всю доступную информацию с ресурсов, включая истории транзакций и каждое сообщение, которое появлялось на Hansa.
Но даже такая, казалось бы, ценная информация едва могла бы помочь оперативникам захватить авторов платформы. На даркнет-площадках принято регистрироваться исключительно под псевдонимами, а все пользователи заходят через Tor. У полиции была лишь одна реальная зацепка — на сервере в Германии сохранилась старая переписка двух администраторов, где, как ни странно, были указаны их настоящие имена, а в одном случае даже домашний адрес.
Ловушка для дилеров
Администраторами Hansa оказались 30-летний мужчина из Зигена и 31-летний из Кёльна. Голландские власти обратились к немецким с просьбой об аресте и экстрадиции подозреваемых, но узнали, что местные полицейские уже следят за ними. Против немцев начали расследование о создании пиратского сайта Lul.to с электронными книгами. Это подсказало голландским оперативникам идею: если немецкие полицейские арестуют администраторов Hansa без огласки, голландские коллеги займут места модераторов площадки.
Но как только охотники за работниками даркнет-площадки развернули операцию, трафик на серверах Hansa внезапно остановился. Оперативники заподозрили, что администраторы заметили копирование файлов с серверов и залегли на дно. Как выяснилось позже, они перевели площадку на более безопасные сервера в разных частях света.
У голландских полицейских было два выхода: дождаться ареста подозреваемых немецкими коллегами и воспользоваться данными с их компьютеров для отключения Hansa, или подождать. Оперативники выбрали второй вариант и продолжили по крупицам собирать информацию о даркнет-магазине.
В апреле 2017 года им повезло — предполагаемый администратор провёл платёж биткоинами через адрес, который некогда засветился в чате в Hansa. С помощью блокчейн-аналитиков организации Chainalysis полицейские обнаружили, что криптовалюта прошла через компанию в Нидерландах и осела на счёте другой фирмы. На этот раз, в Литве.
Двоих одним ударом
Оперативники ещё не успели продумать дальнейший план, когда к ним внезапно обратились агенты ФБР. Они обнаружили в Нидерландах дата-центр с сервером AlphaBay — одного из самых популярных даркнет-магазинов в мире. Американские спецслужбы готовились вывести из строя сервера, чтобы остановить работу сайта, и ждали одобрения местной полиции.
Голландские оперативники поняли, что если AlphaBay выйдет из игры, часть клиентов может перейти на Hansa, которую к тому времени захватит полиция. «Даже переход в другой магазин не позволит им (пользователям — прим. TJ) избежать слежки спецслужб», — объясняет руководитель голландского подразделения по кибер-преступлениям Герт Рас (Gert Ras).
В начале лета 2017 года полиция Нидерландов отправила пару оперативников в дата-центр в Литве, договорившись с местными властями. 20 июня всё было готово: немецкий спецназ арестовал двух подозреваемых в их квартире и дал зелёный свет голландским коллегам. В это же время агенты в Литве начали скачивать все данные с серверов и переводить их на подконтрольные полиции Нидерландов.
Несколько дней спустя подозреваемые выдали немецкой полиции данные от своих аккаунтов. На следующий день Hansa полностью перешла под наблюдение оперативников. Судя по всему, пользователи и администраторы не заметили перемен.
Полный контроль
Следующие несколько месяцев голландская полиция тайно переписывала код сайта, чтобы следить за действиями пользователей. При входе ресурс больше не шифровал пароли аккаунтов, а добавлял их в оригинальном виде в специальный список. То же самое произошло со всеми сообщениями в чатах — полиция свободно изучала логи и вычисляла домашние адреса покупателей и дилеров.
Специалисты отключили автоматическое удаление метаданных с фотографий товаров, загруженных на сайт. Это позволило определить геолокационные данные многих кадров и понять, где их сделали. Как утверждают оперативники, способ оказался настолько действенным, что они намеренно удалили все фото с площадки и пояснили, что это сбой. Продавцам пришлось вновь загружать изображения, не подозревая, что их метаданные тщательно собирает полиция. Так удалось определить местонахождение 50 человек.
По словам специалистов, они предложили продавцам на Hansa файл, который якобы послужит резервным ключом: если сайт перестанет работать, запись позволит восстановить биткоины, отправленные им за последние 90 дней. Когда злоумышленники открывали документ, он скрытно передавал на полицейские сервера уникальный адрес, раскрывающий IP-адрес пользователя. Как пишет Wired, на обман попалось 64 продавца.
Параллельно с этим агенты разрешали конфликты и споры между дилерами и покупателями. Ради этого полицейские сменяли друг друга, предлагая место тем, кто лучше разбирался в дипломатии. Оперативники считают, что решать проблемы им удавалось даже лучше, чем оригинальным владельцам аккаунтов.
Затягивая петлю
Как и предполагалось, после падения AlphaBay в июле 2017 года многие покупатели перебрались на Hansa. Суммарно на сайте регистрировались до пяти тысяч человек в день. В какой-то момент наплыв пользователей стал слишком большим, и оперативникам пришлось временно закрыть регистрацию. Им приходилось отчитываться за каждую транзакцию на сайте перед Европолом, а когда количество денежных переводов достигло тысячи в день, у полиции просто перестало хватать времени на бумажную работу.
За всё время управления чёрным рынком оперативники запретили продажу лишь одного вида наркотиков — чрезвычайно опасного опиоида фентанила, многократно превышающего эффект героина. Остальные виды запрещённых веществ свободно расходились по клиентам. Оперативники относятся к этому спокойно: «Они бы всё равно распространились, но в другом магазине», — пояснил Герт Рас.
После 27 дней и около 27 тысяч транзакций полицейские решили отключить сайт. На его месте появилась заглушка с уведомлением о закрытии площадки властями и ссылкой на правительственный ресурс со списком покупателей и дилеров. «Мы отслеживаем людей, которые активны в даркнете и предлагают незаконные товары или услуги. Вы один из них? Тогда мы за вами следим», — говорилось на сайте.
Последствия
В отчете об операции «Штык» Нидерландская организация прикладных научных исследований назвала успех оперативников «первым признаком перемен» в борьбе против даркнет-площадок по продаже запрещённых товаров. «Когда магазин отключают, все просто переходят в другой», — говорит голландский оперативник Маринус Бокело (Marinus Boekelo). Его же команда стремилась не только поймать подозреваемых, но нанести психологический удар по индустрии. «Мы рассчитывали, что сможем реально снизить доверие ко всей системе».
Голландские полицейские утверждают, что их переворот в Hansa — это самая успешная атака против даркнет-площадок в истории. Они получили информацию о 420 тысячах пользователей, в том числе около 10 тысяч домашних адресов, и передали их в Европол для распространения по всем полицейским отделениям в Европе и мире.
Полицейские арестовали примерно 10 членов верхушки даркнет-площадки и вывели 1200 биткоинов, которые, по нынешнему равняются 12 миллионам долларов. Также оперативники встретились с 50 покупателями и пригрозили им арестом, если они ещё раз попадутся. Для убедительности полицейские пообещали следить за действиями даркнет-клиентов.
 
Последнее редактирование:
1. Почему с фото которые они заливали не удаляли метаданные изначально?
2. Почему не выбирать сервера в тех странах в которой дипломатия не так активна на территории той страны где работаешь?
3. Зачем эти олени сфотографировались и ещё выложили)?
 
1. Почему с фото которые они заливали не удаляли метаданные изначально?
2. Почему не выбирать сервера в тех странах в которой дипломатия не так активна на территории той страны где работаешь?
3. Зачем эти олени сфотографировались и ещё выложили)?
они "нинзя" и кощеи бессмертные в купе с неуловимыми. .не путать с ниндзя.
 
И очередной раз..доказали, что самый главный пробел в анонимности и безопасности, это не утечки DNS и т.п, это человеческий фактор) По той же причине и главу Silk Road в библиотеке арестовали
 
Сверху Снизу