El principal mercado de la darknet conocido como Wall Street Market ha sido incautado y sus presuntos operadores arrestados en una operación conjunta entre las autoridades europeas y estadounidenses. Se recolectaron millones en efectivo, criptomonedas y otros activos, y el mercado cerró. Es instructivo cómo los investigadores vincularon a estas personas obsesionadas con el anonimato con las actividades ilegales.
Los tres hombres acusados de dirigir Wall Street Market (WSM), uno de los mayores mercados de servicios ocultos que opera a través de la red Tor, son todos ciudadanos alemanes: Tibo Lousee, Jonathan Kalla y Klaus-Martin Frost; También se han cobrado varios vendedores del mercado, incluido uno que vendió metanfetamina por kilogramo.
La investigación ha estado en curso desde 2017, pero fue empujada a una crisis por el aparente intento en abril de los operadores de WSM de ejecutar una estafa de salida. Al eliminar repentinamente todas las criptomonedas mantenidas en custodia y almacenadas bajo su autoridad, los supuestos propietarios podrían ganar unos $ 11 millones si pudieran convertir las monedas.
Hasta hace poco, Wall Street Market era un bullicioso bazar de productos ilegales, incluidas drogas peligrosas como el fentanilo y artículos físicos como documentos falsos. Tenía más de un millón de cuentas de usuario, unos 5.400 proveedores y decenas de miles de artículos disponibles para su compra. Ha crecido a medida que otros mercados de la darknet han sido arrinconados y cerrados, llevando a usuarios y vendedores a un grupo cada vez menor de plataformas más pequeñas.
Ya sea que los propietarios buscaran simplemente negociar este crecimiento con una rápida toma de efectivo o si sintieron que la ley estaba a punto de derribar su puerta, la estafa de salida se llevó a cabo el 16 de abril.
Esta acción provocó investigadores de EE. UU. y Alemania, y Europol, tomar medidas, ya que esta estafa de salida no solo marcó una oportunidad para que los investigadores recopilaran y observaran nuevas pruebas de los presuntos delitos del trío, sino que esperar mucho más podría permitirles ir al suelo y lavar sus bienes virtuales.
La denuncia del DOJ detalla los medios por los cuales los tres administradores del sitio estaban vinculados a él, a pesar de sus intentos de anonimizar su acceso. No es algo sin precedentes, pero siempre es interesante leer los análisis forenses paso a paso que conducen a cargos, ya que puede ser muy difícil vincular a los actores del mundo real con entidades virtuales.
Para Frost, era una conexión VPN inestable, además de algunas investigaciones de la policía federal alemana, el Bundeskriminalamt o BKA:
Los administradores de WSM accedieron a la infraestructura de WSM principalmente mediante el uso de dos proveedores de servicios VPN. En ocasiones, la conexión del proveedor de VPN n. ° 1 cesaba, pero debido a que ese administrador específico continuaba accediendo a la infraestructura de WSM, el acceso de ese administrador exponía la verdadera dirección IP del administrador.
La persona que utiliza la dirección IP mencionada anteriormente para conectarse a la infraestructura de WSM usó un dispositivo llamado UMTS-stick (también conocido como surfstick) [i.e. a dongle for mobile internet access]. Este UMTS-stick se registró con un nombre ficticio sospechoso.
La BKA ejecutó múltiples medidas de vigilancia para localizar electrónicamente el UMTS-stick específico. El equipo de vigilancia de BKA identificó que, entre el 5 y el 7 de febrero de 2019, el UMTS-stick específico se utilizó en una residencia de Lousee en Kleve, Renania del Norte-Westfalia (Alemania), y su lugar de trabajo, una empresa de tecnología de la información donde trabaja Lousee. como programador informático. Más tarde se encontró a Lousee en posesión de un bastón UMTS.
Algunas otras pruebas circunstanciales también vincularon a Lousee con la operación, como nombres de inicio de sesión similares, menciones de drogas y criptomonedas, etc. (“Basado en mi entrenamiento y experiencia como investigador, soy consciente de que ‘420’ es una referencia a la marihuana”, escribe el agente especial que fue el autor de la denuncia).
La VPN de Kalla se mantuvo fuerte, pero los metadatos lo traicionaron:
Una dirección IP asignada a la casa de esta persona (la cuenta de la dirección IP se registró a nombre de la madre del sospechoso) accedió al Proveedor de VPN # 2 dentro de períodos de tiempo aproximados similares a los que se accedió a los componentes exclusivos para administradores de la infraestructura del servidor WSM. Proveedor de VPN n. ° 2.
Apenas un hoyo en uno, pero Kalla admitió más tarde que era el agente de usuario en cuestión. Este es un buen ejemplo de cómo una VPN puede y no puede protegerlo contra el espionaje del gobierno. Puede disfrazar su IP a ciertos sistemas, pero cualquiera que tenga una vista de pájaro puede ver la correlación obvia entre una conexión y otra. No se mantendrá en la corte por sí solo, pero si los investigadores son buenos, no tendrá que hacerlo.
Frost, el tercer administrador, requirió un enfoque más sutil, pero en última instancia, nuevamente fue una operación pobre; esta vez una imprudente contaminación cruzada de sus cuentas criptográficas y de criptomonedas:
La clave pública PGP para [WSM administrative account] ‘TheOne’ es lo mismo que la clave pública PGP para otro apodo en [another hidden service] Mercado de Hansa, ‘dudebuy’. Como se describe a continuación, una transacción financiera conectada a una billetera de moneda virtual utilizada por FROST se vinculó a ‘dudebuy’.
[The BKA] localizó la clave pública PGP para ‘TheOne’ en la base de datos de WSM, denominada ‘Clave pública 1’.La clave pública 1 era la clave pública PGP para ‘dudebuy’. La ‘billetera de reembolso’ para ‘dudebuy’ fue la billetera 2.
Wallet 2 fue una fuente de fondos para una transacción de Bitcoin … Los registros obtenidos de la Compañía de Procesamiento de Pagos de Bitcoin revelaron la información del comprador para esa transacción de Bitcoin como ‘Martin Frost’, utilizando la dirección de correo electrónico klaus-martin.frost@…
Básicamente, A es B y B es C, por lo que A es C. Este pequeño truco deductivo es útil, pero las billeteras bitcoin utilizadas por Frost también fueron identificadas a través del análisis del Servicio de Inspección Postal de EE. UU., Que, si no lo sabía, tiene “Una unidad cibernética altamente capacitada, capacitada y comprometida”.
El Servicio de Inspección Postal de los Estados Unidos se enteró, a través de su análisis de las transacciones de Blockchain y la información obtenida del software propietario descrito anteriormente, que los fondos de Wallet 2 se transfirieron primero a Wallet 1 y luego se “mezclaron” mediante un servicio comercial; Los servicios de mezcla se describen arriba en el párrafo 4.m. A través de un análisis exhaustivo, el Servicio de Inspección Postal de los Estados Unidos pudo “desmezclar” el flujo de transacciones, para eventualmente determinar que el dinero de las Carteras 1 y 2 finalmente pagó la cuenta de FROST en la Compañía de Servicios de Productos.
Aquí, el registro indeleble de la cadena de bloques claramente funcionó en contra de Frost. Wallet 1, por cierto, manejó miles de bitcoins durante su uso en asociación con otro mercado de la darknet, German Plaza Market, que los tres cobraron hoy también supuestamente se ejecutó y cerró a través de una estafa de salida.
Además de los administradores, se cobraron algunos proveedores y otros asociados con el sitio. Fueron identificados por medios más tradicionales y sus actividades ligadas al mercado de tal manera que la defensa parece una causa perdida. El récord de un brasileño que operaba como comerciante y como una especie de representante de WSM en Reddit y foros es un estudio interesante en la red de relatos y nombres sugerentes que producen una descripción condenatoria, aunque circunstancial, de las asociaciones e intereses de una persona. , de lo banal a lo criminal.
“El enjuiciamiento de estos acusados muestra que incluso el más mínimo error nos permitirá descubrir la verdadera identidad de un ciberdelincuente”. dijo el fiscal federal McGregor W. Scott en el comunicado de prensa del Departamento de Justicia. “Estamos a la caza de incluso la más pequeña de las migas de pan”.
Los casos contra los presuntos delincuentes se llevarán a cabo en múltiples lugares y bajo múltiples autoridades; es seguro decir que esto es solo el comienzo de un proceso largo y complicado para todos los involucrados.
Source link