Как наркобароны из даркнета сдали обокравшего их хакера ФБР

27 июня 2020, 17:46
В начале октября ФБР арестовало американского хакера за кражу биткоинов.

Позже выяснилась любопытная деталь — похищенные средства принадлежали администраторам и пользователям нелегальных площадок в даркнете, и с их помощью они проводили сделки с оружием и наркотиками. Кто навел ФБР на хакера и почему под следствие не попали сами наркоторговцы?

Анонимный донос

В 2013 году на электронную почту отделения ФБР в штате Коннектикут пришло анонимное письмо. В нем сообщалось, что 34-летний житель городка Уоллингфорд на протяжении нескольких лет занимается воровством биткоинов с аккаунтов сотен интернет-пользователей. Агенты бюро изучили данные, провели расследование и в начале октября 2016 года арестовали 34-летнего Майкла Ричо. В процессе обыска у него изъяли несколько компьютеров и жестких дисков, а обнаруженные на них данные стали одним из главных доказательств по делу.

Майкл Ричо

Справка #7арлан о том, что такое “биткоинт”

Битко́йн или Битко́ин (англ. Bitcoin, от bit — «бит» и coin — «монета») — пиринговая платёжная система, использующая одноимённую расчётную единицу и одноимённый протокол передачи данных. Для обеспечения функционирования и защиты системы используются криптографические методы. Вся информация о транзакциях между адресами системы доступна в открытом виде.

Проводимые сделки необратимы, электронный платёж между двумя сторонами происходит без посредников. Но есть возможность привлечения третьей стороны-гаранта при помощи мультиподпиcи. Средства никто не может заморозить за исключением самого владельца, включая заморозку на некоторое время. Эти и другие умные контракты могут быть реализованы при помощи специального языка сценариев, однако он не доступен из графического интерфейса и нетьюринг-полный в отличие от более новых блокчейн-систем таких как Ethereum.

Разные авторы по-разному классифицируют биткойны. Чаще всего встречаются варианты: криптовалюта, виртуальная валюта, цифровая валюта, электронная наличность.

Биткойны могут использоваться для обмена на товары или услуги у продавцов, которые согласны их принимать. Через онлайн-сервис обмена цифровых валют, другие платёжные системы или обменные пункты происходит обмен на обычные валюты.

Комиссия за проведение операций назначается отправителем добровольно, размер комиссии влияет на приоритет при обработке транзакции. Обычно программа-клиент подсказывает рекомендуемый размер комиссии. Транзакции без комиссии возможны и также обрабатываются, однако не рекомендуются, поскольку время их обработки неизвестно и может быть значительным.

Одна из главных особенностей системы — полная децентрализация: нет центрального администратора или какого-либо его аналога. Необходимым и достаточным элементом этой платёжной системы является базовая программа-клиент (имеет открытый исходный код). Запущенные на множестве компьютеров программы-клиенты соединяются между собой водноранговую сеть, каждый узел которой равноправен и самодостаточен. Невозможно государственное или частное управление системой, в том числе изменение суммарного количества биткойнов. Заранее известны объём и время выпуска новых биткойнов. Но распределяются они относительно случайно среди тех, кто использует своё оборудование для вычислений, результаты которых являются специфичным механизмом регулирования и подтверждения правомочности операций в системе «Биткойн» — метод доказательства выполнения работы.

Так вот..

Ричо разработал схему кражи биткоинов с аккаунтов пользователей торговых площадок в Tor.

Через неделю Ричо вышел под залог в 100 тысяч долларов, но в ближайшее время предстанет перед судом сразу по трем статьям: отмывание денег, несанкционированный взлом и доступ к чужим аккаунтам. С учетом имеющихся в распоряжении ФБР доказательств у хакера практически нет шансов на оправдательный приговор.

Правда, прокурор поспешил отметить: хотя данные с компьютеров Ричо доказывают его вину, описанные в письме факты все еще нуждаются в тщательной проверке. Дело в том, что, скорее всего, донос написали пострадавшие от хакера покупатели и продавцы наркотиков на анонимных торговых площадках в той же сети Tor.

Все гениальное просто

В родном Уоллингфорде Майкл Ричо был весьма уважаемым человеком. Судя по профилю в LinkedIn, в свои 34 года он успел получить степень по IT-предпринимательству и поработать на престижных должностях в нескольких крупных компаниях, включая разработчика софта Redhook E-Tech. За 16 лет он накопил немалый опыт в веб-дизайне и разработке пользовательских интерфейсов, что позволило ему основать небольшую онлайн-студию MediaPen.

Вряд ли кто-то из друзей и знакомых Ричо подозревал, что в свободное время респектабельный бизнесмен был завсегдатаем разных сайтов в «теневом» интернете. В 2013 году у него в голове родилась хитрая мошенническая схема. Наблюдая за перепиской на форумах, Ричо заметил, что пережившие разгром крупнейшей торговой площадки даркнета Silk Road наркоторговцы активно ищут новые рынки сбыта, а простые пользователи Tor — возможность купить наркотики.

Идея Ричо была проста. Сперва он создавал страницу, на которой располагалась точная копия обсуждаемого юзерами сайта, а затем начинал спамить ссылками на нее на крупных Tor-форумах, сопровождая свои посты красочным описанием.

Наркоторговцы и покупатели предсказуемо клевали на удочку и регистрировались на поддельных ресурсах, а Ричо с помощью специально написанного скрипта тут же узнавал их логины и пароли, а также информацию о привязанных к аккаунтам биткоин-кошелькам. После этого жертвы перенаправлялись на оригинальный ресурс, и злоумышленнику оставалось лишь внести их данные в программу по отслеживанию транзакций Bitcoin Monitor и ждать, пока они переведут себе деньги для покупки очередной дозы или оптовой партии наркотиков. В нужный момент он перехватывал перевод в биткоинах, после чего маскировал следы с помощью программы Bitcoin Fog.

Часть украденных денег мошенник обменивал на доллары и клал на счет в местном отделении Bank of America, но во избежание подозрений особо крупные суммы приходилось выводить через поддельные кредитки и аккаунты в Western Union. Позже Ричо написал более сложную версию скрипта, которая позволяла автоматически снимать деньги с биткоин-кошельков жертв.

Вор должен сидеть в тюрьме

Ричо был уверен, что его никогда не поймают: ведь действовал он через Tor, воровал криптовалюту, причем у наркоманов. Более того, на хакерских форумах он хвастался своими проделками и помогал всем желающим написать похожие скрипты.

Но он недооценил гнева лишившихся денег наркоторговцев, после долгих поисков обнаруживших переписку Ричо с начинающими хакерами. Драгдиллеры взломали его профиль и выяснили, что тот указал при регистрации почту mediapenllc@gmail.com. Запрос в Google вывел их на дизайн-студию MediaPen, а затем и на самого Майкла Ричо.

Вопреки традициям наркомафии, преступники решили не убивать обокравшего их хакера, а сдать ФБР. Похоже, следствию помог в попытках скостить себе срок и один из ранее задержанных наркоторговцев. На это указывает обвинительное заключение выложенное в сеть известным блогером-криминалистом Джозефом Коксом.

В документе специальный агент Майкл Моррисон демонстрирует прекрасную осведомленность о транзакциях хакера и его переписке на форумах. «У меня куча фишинговых сайтов, которые выглядят как площадки в Tor. А еще я работаю над одной новой штуковиной — программой для перехвата логинов и паролей», — цитирует он Ричо.

Злоумышленник получил доступ к 10 тысячам аккаунтов на площадках в Tor.

Моррисон отмечает, что несколько лет наблюдал за подозреваемым и копил доказательства. В частности, он отслеживал операции по его банковскому счету и установил все принадлежащие Ричо биткоин-кошельки. В ответ на официальный запрос, представители биржи LocalBitcoins подтвердили, что все они были зарегистрированы на почтовый адрес mediapenllc@gmail.com.

К середине 2014 года хакер скопил в банке более 100 тысяч долларов, а в начале 2016-го купил себе дом в элитном районе и люксовый Merсedes. К тому времени он уже полтора года находился под круглосуточным наблюдением бюро, но не подозревал об этом. «На основании вышеизложенных данных, я считаю арест Майкла Ричо обоснованным», — сообщил Моррисон 26 сентября 2016 года.

Нежданный визит ФБР стал для Ричо настоящим ударом. Он сразу сознался в создании поддельных сайтов и воровстве биткоинов, а также добровольно сдал агентам резервные копии жестких дисков, которые хранил в специально арендованной банковской ячейке. На его компьютерах нашли логины и пароли 10 тысяч посетителей нелегальных площадок в Tor, многие из которых были весьма крупными продавцами наркотиков и оружия.

Но это не послужило для него смягчающим обстоятельством. Ричо рискует провести в тюрьме следующие 55 лет, и у защиты практически нет шансов скостить ему срок. Обвинителям абсолютно все равно, кого он взломал и откуда украл деньги. Для них главное — состав преступления. Ведь по признаниям самого хакера, он «даже не помнит, сколько украл». Но там явно была сумма с шестью нулями.