Методы, используемые правоохранительными органами для ареста пользователей дарквеба

Методы, используемые правоохранительными органами для ареста пользователей дарквеба

Принято думать, что пользователи дарквеба защищены завесой анонимности, находятся в полной безопасности и недоступны для сотрудников правоохранительных органов. Однако на деле это всего лишь иллюзия: достаточно вспомнить множество случаев, когда пользователей дарквеба арестовывали. Рассмотрим методы, с помощью которых правоохранительные органы деанонимизируют, вычисляют и в конечном итоге арестовывают пользователей дарквеба.

 

 

 

  1. Введение
  2. Почтовая система (The Postal System)
  3. Анализ изъятых данных
  4. Информация с открытым исходным кодом
  5. Тайные операции
  6. Взлом
  7. Выводы

 

Введение

В этой статье мы будем опираться на анализ инцидентов, в ходе которых правоохранительные органы использовали различные методы идентификации, задержания, а также доказательства вины киберпреступников. Рассмотрим техники обхода сервисов, предоставляющих сетевую анонимность, которыми активно пользуются преступники, а также ошибки, допущенные этими преступниками в процессе своих злонамеренных действий.

 

Почтовая система (The Postal System)

Несмотря на сложную технологию, гарантирующую пользователям анонимность, поставщики дарквеба зависят от почтовой системы или обычных курьеров для доставки того, чем они торгуют, например наркотиков. Понятно, что деятели дарквеба предпринимают меры для того, чтобы их продукты не были перехвачены на таможне, однако сотрудники правоохранительных органов могут все равно отследить, от кого и кому отправляется та или иная посылка.

В любом случае, почтовые отделения обеспечивают хорошую возможность отслеживания для правоохранителей.

Показательным примером является Chukwuemeka Okparaeke, дилер фентанила на рынке Alphabay в дарквебе. Согласно заявлению Министерства юстиции США, Okparaeke был замечен в нескольких почтовых отделениях в центре Нью-Йорка. Его ошибка заключалась в том, что он сдавал на хранение большое количество пакетов в почтовых отделениях США, нося при этом латексные перчатки. Естественно, это привлекло внимание почтового персонала.

Учитывая, что правоохранительные органы уже интересовались этой местностью, подозревая, что кто-то там торгует фентанилом, сообщение о человеке в латексных перчатках в почтовом отделении было воспринято серьезно. Офицеры прикинулись заказчиками фентанила, благодаря чему им удалось арестовать Okparaeke, который и послал им заказ.

При задержании в его телефоне было обнаружено установленное приложение VPN для приватного доступа в интернет, приложение прокси-сервера Orbot TOR и приложение для работы с биткойнами. Здесь он, к слову, допустил еще одну ошибку — не очистил историю браузера, которая и помогла связать его с торговлей наркотиками.

Таким образом, доставка своих товаров через почту доставляет массу проблем большинству поставщиков дарквеба.

 

Анализ изъятых данных

Арест поставщика дарквеба, как и захват части черного онлайн-рынка, обеспечивает поступление большого объема данных, в котором следователи пытаются найти зацепки, которые бы помогли им выйти на других пользователей дарквеба.

В рамках международной операции правоохранительных органов, получившей название onymous, нацеленной на черные онлайн-рынки и похожие формы услуг, работающие в сети TOR, были ликвидированы такие знаменитые площадки злоумышленников, как Silk Road 2.0, Hydra и Cloud 9.

Полученная информация привела к еще 17 арестам в разных странах.

 

Информация с открытым исходным кодом

Пользователи дарквеба могут оставлять то, что принято называть цифровыми следами, на открытых форумах или публичных документах, которые в конечном итоге раскрывают их личности следователям.

В качестве примера можно привести создателя рынка Silk Road Росса Ульбрихта. По сути, его выдал Google. Спецслужбы просто набрали в поисковике onion-адрес Silk Road и наткнулись на рекламное объявление, сделанное Ульбрихтом на знаменитом форуме bitcoin.org под ником altoid. Дальнейшее расследование позволило спецслужбам, исследовавшим учетную запись altoid на форуме bitcoin.org, выйти на электронную почту Ульбрихта — [email protected].

В конечном итоге вся эта информация привела к аресту и осуждению киберпреступника. Ульбрихт получил пожизненный срок без права на условно-досрочного освобождение.

Вот так обычный поисковой запрос в Google позволил арестовать крупнейшего игрока на черном онлайн-рынке.

 

Тайные операции

Благодаря широкому ассортименту инструментов, обеспечивающих пользователям анонимность в Сети, невозможно узнать наверняка, с кем именно вы общаетесь. Правоохранительные органы часто прибегают к использованию таких инструментов, представляясь поставщиками, покупателями или даже администраторами черных онлайн-рынков.

Примером такого подхода служат действия голландских правоохранительных органов, которые взяли под контроль работу незаконной торговой площадки Hansa. Они получили контроль над рынком, арестовав двух администраторов, стоявших за ним в Германии. После ареста они имитировали работу сайта, наблюдая за пользователями и покупателями. Это позволило правоохранителям получить адреса и удостоверения большинства пользователей.

В результате этой операции был арестован ряд пользователей Hansa. Помимо 28-летнего жителя Нидерландов, который был арестован за продажу наркотиков, были пойманы также уроженцы Австралии.

 

Взлом

Правоохранители пытались обойти TOR путем атаки конечной точки, которая является компьютерами лиц, посещающих сайты дарквеба. Взлом может быть самым эффективным способом идентификации пользователей, так как после его успешного осуществления большое количество компьютеров может быть идентифицировано и IP-адреса пользователей могут быть раскрыты.

Так, например, в феврале 2015 года ФБР захватило сайт детской порнографии Playpen, размещенный в дарквебе. В ходе операции под названием Operation pacifier спецслужбы в течение двух недель контролировали работу Playpen. За это время агентству удалось запустить инструмент для взлома Network Investigative Technique (NIT).

Этот инструмент был использован для определения настоящих IP-адресов посетителей сайта Playpen, которые пытались либо распространять детскую порнографию, либо получить доступ к ней.

Используя NIT, ФБР удалось идентифицировать более тысячи пользователей Playpen, находящихся в США. В итоге эта операция привела к арестам более чем 135 человек в 18 штатах США.

 

Выводы

Проанализировав все вышеописанное, можно сделать вывод: правоохранительные органы прекрасно осведомлены о методах, используемых посетителями и продавцами дарквеба, которые помогают им сохранять анонимность. Как следствие, спецслужбы давно разработали действенные методы, помогающие им деанонимизировать черные онлайн-рынки и их владельцев.

В ход идут разработанные специалистами инструменты и программы, практически не оставляющие киберпреступникам шансов остаться безнаказанными.

Подпишитесь
в Facebook

Я уже с вами
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новые статьи на Anti-Malware.ru