¿Aburridos? Esta es la historia de la operación Bayonet: La caída de AlphaBay, 🤯UNO DE LOS MERCADOS NEGROS más grande que han existido en la Dark Web y el secuestro de Hasan por el gobierno Holandés.
¿Por qué leerla? Para aprender cómo las agencias gubernamentales rastrean a hackers o criminales en internet hasta encontrarlos.
🚧
Esta es la historia de AlphaBay, uno de los sitios más famosos en la dark web para vender drogas. AlphaBay fue creado por Alexandre Cazès, quien fue condenado a cadena perpetua por haber creado uno de los sitios para vender cosas ilegales más grandes del planeta, tan grande que nadie podía igualar la cantidad de drogas que se compraban/vendían.
AlphaBay tenía moderadores que trataban amigablemente a los usuarios, ayudándoles a resolver dudas cómo “Cómo usar bitcoins”, “Cómo usar PGP para cifrar sus chats”. Pero además de drogas, la gente vendía otras cosas ilegales; licencias de conducir falsas, pasaportes, armas, números de tarjetas de crédito robadas, skimmers y máquinas para falsificar dinero.
Un mercado así atrajo la mirada de agencias gubernamentales, quienes iniciaron investigaciones buscando pistas para llegar a los servidores, la identidad de los administradores, etc, pero durante años no lo lograron por que todos los chats estaban cifrados, el dueño AlphaBay usaba el ID Alpha02, y no lo usaba en ningún otro lugar para no ser rastreado, las conexiones a los servidores eran cifradas y anonimizadas.
Durante años las agencias buscaron pistas pero no lograban encontrar nada importante. Los administradores sabían que debían esconderse por que no solo el gobierno podía ir por ellos, sino también otros cárteles de drogas (de calle) se veían afectados por estos mercados digitales, hackers que veían entrar y salir enormes cantidades de bitcoins, dueños de otros mercados negros, etc.
Una vez alguien entrevistó al administrador de AlphaBay preguntando si tenían miedo de que lo atraparan. Su respuesta fue “No lo estoy”. Estoy absolutamente seguro de que mi OPSEC es segura y vivo en un país offshore donde estoy a salvo. Sin embargo, el FBI estaba teniendo problemas para encontrar alguna pista, así que fueron a AlphaBay y comenzaron a comprar drogas. Un agente encubierto del FBI creó una cuenta de usuario y usó algunos Bitcoins para comprar marihuana.
Unos días más tarde recibieron la hierba por correo, no se encontraron pistas, ni siquiera información sobre quién se los vendía, solo que fue enviado desde California.
Luego, el FBI compró otra droga, esta vez heroína, y nuevamente no hubo pistas sobre quién administraba el sitio. El FBI continuó comprando artículo tras artículo en AlphaBay con la esperanza de detectar algo y obtener más pruebas. El FBI compró más dr0gs. Luego el FBI pasó a comprar otras cosas; compraron cuatro licencias de conducir falsas y compraron un skimmer de tarjeta de crédito que cabe en un cajero automático, y más. El FBI estaba reuniendo más y más evidencia para este caso y también trabajando con otras agencias de todo el mundo para compartir la información que encontraban. Finalmente, el FBI vio algo cuando un agente encubierto creó una nueva cuenta en AlphaBay, recibió un correo electrónico de bienvenida y lo examinó detenidamente.
Miraron los encabezados del correo electrónico y había una dirección de correo electrónico de respuesta que era inusual. La respuesta al correo electrónico en el encabezado fue pimpalex91@hotmail.com. El FBI tomó esta dirección de correo electrónico y se dirigió a Microsoft, para solicitar información sobre quién es el propietario de esa dirección. Se encontró que esa dirección de correo electrónico estaba asociada a una cuenta de LinkedIn para un chico llamado Alexander Cazès que nació en 1991. Esto coincidía con los 91 en la dirección de correo electrónico. Su perfil de LinkedIn decía que es de Montreal, Canadá, y dirige una compañía de soporte técnico informático llamada EBX Technologies. Ahora que el FBI tenía un nombre, comenzaron a profundizar en Alexandre Cazès, descubriendo todo lo que pudieron sobre él. AlphaBay no era el único mercado oscuro que existía. Hubo muchos otros, pero uno que estaba ganando popularidad se llamaba Hansa y tenía una excelente interfaz de usuario y excelentes administradores con una gran atención al cliente y en realidad era muy popular en Europa.
Lo mismo se vendía en Hansa; pistolas, identificaciones, dispositivos falsificados y, por supuesto, drogas. Aunque Hansa era mucho más pequeña que AlphaBay, también atrajo la atención de la policía. Países de todo el mundo querían evitar que Hansa fuera un lugar de intercambio de artículos ilegales. Todos los servidores de Hansa estaban en la red anónima de Tor. Esto hizo imposible rastrear dónde se encontraba en el mundo, pero había un servidor de desarrollo que se encontraba en Internet. Un investigador de seguridad encontró este servidor Hansa que no estaba en Tor. Estaba solo en Internet normal y resultó ser un servidor de desarrollo en el que los administradores podían probar nuevas características. Informaron esta información a la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos.
Tomaron este hallazgo y rastrearon la IP que estaba en un centro de datos que en realidad se encontraba en los Países Bajos. Se pusieron en contacto con el centro de datos que alojaba el servidor y el gobierno holandés pudo hacer una especie de interferencia en el servidor para ver todos los paquetes que entraban y salían de él. Desde allí encontraron que el servidor estaba hablando mucho con el servidor Hansa que estaba en Tor. Este servidor de producción estaba en el mismo centro de datos que el de desarrollo, por lo que desde allí el gobierno holandés pudo hacer copias en el disco duro de algunos de esos servidores Hansa, tanto el de desarrollo como el de producción. Lo hicieron sin causar ninguna interrupción en el sitio, trabajando directamente con el centro de datos. La Unidad Holandesa de Delitos de Alta Tecnología revisó el contenido de esos discos duros. El objetivo era encontrar quiénes eran los administradores del sitio.
Vieron que los administradores estaban conectados al sitio, pero las conexiones eran a través de Tor, por lo que no pudieron determinar de dónde eran estas personas y todos los inicios de sesión de los alias de los administradores. Por supuesto, los propietarios del sitio no usarían sus nombres reales para iniciar sesión, pero en algún momento las autoridades encontraron registros de chat en el servidor y, al investigarlo, encontraron que estos registros databan de años y años atrás. Dentro de los registros había conversaciones entre los administradores del sitio, pero los holandeses no podían leer las conversaciones; no porque estaba cifrado sino porque las conversaciones eran en alemán. Las autoridades holandesas tuvieron que conseguir un traductor de alemán para que los ayudará a descifrar los chats y leer los registros. Mucho de esto se refería al sitio, cómo resolver problemas, mantenimiento y nuevas características, pero a medida que leían más en los registros de chat encontraron los nombres reales de los administradores del sitio.
Más adelante en los registros encontraron la dirección de la casa de uno de los administradores. El gobierno holandés tenía los nombres y la posible ubicación de los dos hombres que dirigían el mercado oscuro de Hansa, pero se encontró un nuevo problema. La dirección de la casa del administrador estaba en Alemania. Cuando el gobierno holandés contactó a Alemania para solicitar su arresto y extradición, el gobierno alemán explicó que ya están rastreando a esos dos tipos. Los mismos dos tipos que dirigían el mercado oscuro de Hansa habían creado previamente un sitio en línea para comprar y vender libros electrónicos y audiolibros pirateados. La policía alemana estaba tratando de encontrar la ubicación de estos dos tipos para arrestarlos. Las autoridades holandesas y alemanas comenzaron a tramar un nuevo plan. Se unieron para capturar a estos dos tipos bajó el caso alemán existente, pero el gobierno holandés se haría cargo de Hansa.
De esta manera, Alemania atrapó a los sospechosos y los Países Bajos obtuvieron el control de Hansa para capturar potencialmente más traficantes de drogas. El plan era reunir suficientes pruebas para arrestar a los dos hombres al mismo tiempo que se registran en cómo los administradores del sitio para que pudieran apoderarse de ella. Pero justo cuando recolectaban más evidencia contra los dos administradores alemanes, el servidor holandés se desconectó. El administrador de Hansa vio que se hizo una copia de los discos duros y los asustó, por lo que trasladaron el servidor a otra ubicación. Una vez más la ubicación del servidor llegó a ser anónimos sobre Tor y las autoridades no tenía idea de dónde iba y por lo tanto no podía apoderarse de ella. Volvieron a revisar lo que tenían, tratando de averiguar a dónde movieron el servidor. Pasaron meses y meses sin pistas sobre dónde se fueron los servidores. Hansa continuó operando, convirtiéndose en el lugar de referencia en Europa para comprar y vender drogas en línea.
En los registros de chat en esos viejos discos duros había unas pocas direcciones de Bitcoin y las autoridades holandesas observaban estas direcciones para ver si se enviaba algo dentro o fuera de esas billeteras. Si bien Bitcoin es de hecho anónimo, en algún momento es posible que desee cambiar su Bitcoin por dinero en efectivo y debe hacerlo en un intercambio de Bitcoin que generalmente se audita y autoriza. Las autoridades vieron que una de las direcciones de Bitcoin enviaba dinero a un exchange en un intento de mover algo de dinero. Este fue un golpe de suerte porque el intercambio al que enviaron el dinero fue en Holanda. La Unidad de Delitos de Alta Tecnología holandesa fue al exchange para solicitar la información digital sobre dónde se envió el dinero. El exchange dio la información y las autoridades holandesas descubrieron que el Bitcoin fue enviado a un servidor en Lituania.
Con la ayuda del gobierno lituano pudieron rastrear la ubicación exacta del lugar donde se encontraba el nuevo servidor Hansa. Las agencias gubernamentales holandesas, alemanas y lituanas tenían todo lo que necesitaban para arrestar a los administradores y hacerse cargo de Hansa. Pero en este punto, el FBI notificó a las autoridades holandesas que habían descubierto quién estaba detrás de AlphaBay y la ubicación del servidor. El FBI estaba informando a los holandeses que realizarían una redada en el centro de datos y arrestaron al propietario. Pero el gobierno holandés dijo whoa, espera. Las autoridades de Alemania, Holanda y el FBI colaboraron en un plan. Debido a que las autoridades holandesas y alemanas estaban listas para hacerse cargo de Hansa, querían obtener el control de Hansa antes de que AlphaBay fuera eliminado. La teoría era que tan pronto como AlphaBay cayera, los usuarios acudirían en masa a Hansa para continuar comprando y vendiendo artículos ilegales.
Si el gobierno holandés ya estaba controlando a Hansa, podrían recopilar mucha información de los usuarios del sitio y potencialmente arrestar a muchos distribuidores en el proceso. El FBI aceptó este plan y decidió llamarlo Operación Bayoneta. Bayoneta era un juego de palabras; Bay proviene de AlphaBay, net proviene de darknet o internet, y también significaría perforar el oscuro mercado. Las autoridades creen que con el derribo de AlphaBay y el gobierno que controla a Hansa, después de todo esto, destruiría la confianza en el oscuro mercado durante mucho tiempo, lo que podría paralizar todo el comercio en línea de artículos ilegales. La Operación Bayoneta fue una oportunidad. Los siguientes pasos fueron para la adquisición de Hansa. Las autoridades holandesas trabajaron con Lituania y Alemania para llevar a cabo la redada en el centro de datos y arrestar a los dos hombres simultáneamente. Lituania aceptó el plan y dos autoridades holandesas fueron al centro de datos para prepararse para la adquisición. El 20 de junio de 2017, el plan entró en acción.
La policía holandesa allanó el centro de datos en Lituania y la policía alemana, con un método muy preciso y cuidadoso, allanó las casas de los dos administradores del mercado oscuro de Hansa. No está claro cómo se hizo esto, pero la policía alemana probablemente observó lo que estaban haciendo los administradores y verificó que estaban en sus computadoras y luego creó una perturbación para alejar a los hombres de sus computadoras mientras estaba encendida. Esta tuvo que ser una operación muy cuidadosa para apoderarse con éxito de Hansa, pero la policía alemana tuvo éxito en ambas redadas. Arrestaron a ambos administradores del sitio mientras sus computadoras portátiles estaban abiertas y desbloqueadas. La policía alemana dio la señal a las autoridades holandesas que luego migraron rápidamente todo el servidor Hansa a los Países Bajos y bajo su control. La policía alemana simplemente presentó los informes cuando dos tipos fueron atrapados pirateando libros electrónicos y audiolibros, lo que significaba que todos los usuarios en el sitio de Hansa eran ajenos al derribo y al movimiento de los servidores.
Mientras estaban en la cárcel, los dos hombres dieron todas las contraseñas y credenciales necesarias para acceder a todas las partes del sitio. El sitio tenía cuatro moderadores e incluso ellos no sabían que se había producido una redada. Este fue un gran éxito para las autoridades holandesas y alemanas. Ahora que el mercado oscuro más popular de Europa estaba bajo el control del gobierno holandés, comenzaron a convertir el sitio en una estación de vigilancia masiva.
🚧 2da parte:
Mira, estos mercados oscuros tienen muchos traficantes, traficantes que venden cantidades masivas de drogas, armas y otros artículos ilegales. Las autoridades querían reunir la mayor cantidad de evidencia posible sobre esos distribuidores para poder evitar que pudieran vender más. Primero reescribieron el código para registrar todas las contraseñas de los usuarios en texto sin cifrar. De esta forma, podrían intentar reutilizar esos inicios de sesión en otros mercados oscuros y sitios web. Encontraron una manera de leer y registrar toda la comunicación entre compradores y vendedores mientras la mantenían encriptada. Esto revelaría la dirección de casa de muchos de los compradores.
El sitio había eliminado previamente todos los metadatos de cada imagen cargada. Estas serían imágenes de artículos ilegales para la venta, pero las autoridades pudieron quitar los metadatos de estas fotos y guardarlas antes de que se publicaran. Esto revelaría la fecha, la hora, la cámara que se usó para tomar la foto y, a veces, la ubicación geográfica de donde se tomó la foto. Una vez que esto estuvo en su lugar, la policía holandesa realizó una falla falsa en el servidor que eliminó accidentalmente todas las fotos en el sitio, obligando a los vendedores a volver a cargar sus fotos, lo que proporcionó a las autoridades numerosas ubicaciones de vendedores. En este momento, Hansa tenía más de 70,000 listados en su sitio en cualquier momento dado, por lo que esta era una gran cantidad de información para que las autoridades procesaran. Sorprendentemente, la policía también engañó a los usuarios en el sitio para descargar un software de rastreo. Afirmaron que este archivo era una clave de cifrado de respaldo para acceder a sus Bitcoins si el sitio alguna vez caía.
La gente lo descargó y lo abrió, lo que ejecutaría un script que intentaría conectarse a una URL y revelar la dirección IP real de esa persona. Esto les dio a las autoridades muchos más lugares en donde se encontraban los distribuidores y durante todo este tiempo la policía holandesa continuó suplantando a los dos administradores que anteriormente administraban el sitio, respondiendo a otros moderadores, manejando cualquier queja del sitio por parte de los usuarios y realmente haciendo un muy buen trabajo con atención al cliente. Los usuarios parecían muy contentos con el nivel de atención al cliente que estaban obteniendo del sitio, completamente inconscientes de que estaba siendo administrado por el gobierno holandés y las autoridades holandesas continuaron permitiendo que todos los artículos se compraran y vendieran excepto uno; prohibieron la venta de fentanilo en el sitio. Esto es similar a la heroína, pero es más peligroso y contribuyó a numerosas sobredosis según las autoridades.
En este punto la trampa estaba puesta. La policía holandesa había establecido un honeypot utilizando un mercado de drogas muy popular para atraer a los delincuentes para que cometieran delitos bajo su atenta mirada. Ahora que estaban recopilando toneladas de información, estaban listos para que el FBI llevará a cabo el siguiente paso en la Operación Bayoneta. El FBI estaba listo para la acción. Rastrearon al dueño de AlphaBay hasta Alexandre Cazès que vivía en Tailandia. Rastrearon la ubicación del servidor en Montreal, Canadá. El FBI coordinó con Canadá y Tailandia para realizar una redada simultánea en el centro de datos y la casa de Alexandre. Nuevamente, el objetivo era arrestar a Alexandre mientras estaba conectado a su computadora para que las autoridades pudieran tener pruebas de quién era el administrador del sitio. El 5 de julio de 2017, las autoridades de Canadá, Tailandia y el FBI entraron en acción.
La policía canadiense allanó el centro de datos y comenzó a desconectar los servidores. La policía tailandesa fue a la lujosa y costosa villa de Alexandre y utilizaron un automóvil policial sin identificación para organizar un falso accidente frente a la casa. Mientras un policía vestido de civil intentaba dar la vuelta a su automóvil, se estrelló contra la puerta principal de la casa de Alexandre a propósito, pero lo hizo parecer un accidente. Esto creó una perturbación. Otros policías vestidos de civil que actuaban como vecinos comenzaron a gritar, pero no había señales de Alexandre. Sabían que estaba en casa. Simplemente no iba a salir, así que continuaron gritando y tratando de dar vuelta el auto y hacer más ruido en su camino de entrada. Después de lo que pareció una eternidad para la policía, salió a ver qué estaba pasando. Salió con su teléfono celular en la mano, vistiendo un par de pantalones cortos azules y zapatillas de deporte. No llevaba camisa puesta. Salió al frente de su camino de entrada para inspeccionar la puerta destrozada mientras los policías vestidos de civil que se hacían pasar por vecinos lo rodeaban.
🚧
Estaba confundido y enojado por la puerta, pero se dio la señal y los policías lo persiguieron. Alexandre corrió pero no muy lejos. Los policías lo agarraron de inmediato y lo pusieron en un par de esposas. El teléfono de Alexandre le fue quitado rápidamente y se mantuvo abierto para que no se bloqueara. La policía tailandesa entró corriendo y encontró su computadora abierta con la sesión iniciada en el servidor AlphaBay como administrador. Había estado tratando de descubrir por qué los servidores en Montreal estaban cayendo. Cuando la Real Policía Tailandesa y el FBI examinaron su computadora, encontraron un archivo de texto con todas las contraseñas del sitio AlphaBay. Esto sería suficiente evidencia para condenarlo por ser el dueño del mercado oscuro más grande del mundo. La redada en el centro de datos de Montreal también fue un éxito y el FBI pudo apoderarse de sus servidores y desconectarlos de inmediato.
La captura de Alexandre Cazès se mantuvo en silencio. El FBI no anunció que han desconectado AlphaBay. Esto causó una oleada de usuarios enojados de AlphaBay que inmediatamente pensaron que había una estrategia de salida, al igual que la forma en que los administradores de Evolution simplemente se habían cerrado y se habían llevado los Bitcoins de todos. Después de días en que AlphaBay estuvo desconectado, la gente sospechaba que el propietario del sitio también había robado todos sus Bitcoins. Alexandre Cazès fue llevado a una cárcel tailandesa donde esperaría a ser extraditado a los Estados Unidos. Descubrieron que Alexandre estaba casado con una mujer tailandesa de poco más de veinte años y que había estado viviendo en Tailandia durante los últimos ocho años. AlphaBay solo tenía dos años. Antes de eso fue desarrollador de software. Alexandre, en mi opinión, parece un técnico informático promedio. Tiene 26 años, hombre blanco, creció en Montreal, Canadá. Se parece a un joven Elon Musk. Su cabello siempre está un poco fuera de lugar y parece estar ligeramente desnudo. No es musculoso, no está en forma, tampoco tiene sobrepeso.
Mientras realizaban las incautaciones, encontraron que Alexandre había llevado un diario meticuloso de todos sus activos. Esto facilitó que el FBI fuera y lo recogiera todo. Esto es lo que confiscó el FBI; diez vehículos, incluido un Lamborghini comprado a $ 900,000, un Mini Cooper que manejó su esposa, una motocicleta BMW y un Porsche Panamera. Numerosas propiedades inmobiliarias, incluida su lujosa villa principal en Tailandia, y era dueño de la casa de al lado donde vivían los padres de su esposa. También estaba construyendo una nueva villa de lujo en Bangkok y tenía casas de vacaciones en Phuket, Antigua, y Chipre. Su casa en Chipre costó 2,3 millones de dólares porque puedes convertirte en residente de Chipre si posees dos millones de dólares en bienes raíces, de lo que él estaba tratando de convertirse en residente. También pagó a Antigua $ 400,000 para convertirse en residente allí. Tenía tres cuentas bancarias tailandesas, una cuenta bancaria suiza y una cuenta bancaria en San Vicente en las Granadinas.
También tenía grandes cantidades de criptomonedas, incluidas Bitcoin, Ethereum, Monero y Zcash. Entre sus cuentas bancarias y criptomonedas, el FBI confiscó 8,8 millones de dólares. Además de todo eso, el FBI confiscó todos los Bitcoin, Monero y Ethereum que estaban en los servidores AlphaBay que fueron incautados en Montreal. Cuando AlphaBay fue incautado tenía 250,000 artículos activos. Para poner esto en perspectiva, Silk Road tenía solo 13,000 artículos cuando se cerró. Puedes ver que AlphaBay era casi veinte veces más grande que Silk Road en términos de listados activos. Alexandre estaba cobrando del 2 al 4% de comisión en cada transacción y los registros mostraron que se transfirieron alrededor de 840,000 Bitcoins a través de AlphaBay por un total de alrededor de $ 450,000,000 en transacciones. Los federales estimaron que sus comisiones por todo esto oscilaban entre 9 y 18 millones de dólares. Según las notas de Alexandre, afirmó que tenía un patrimonio neto de $ 23,000,000.
[FIN]
CRÉDITOS: Hiram A Camarillo
Comments
Post a Comment