直接接管暗网网站,钓出几十万毒品买卖家信息!荷兰这波行动,越看越燃!

暗网,一个这几年下来,大家可能不在陌生的名词….

大家或许还记得,前几年的“丝路”事件,

一个建立在“暗网”上的线上毒品交易市场被警方捣毁。

然而,

丝路倒下之后的几年里,警方在暗网上的行动模式,似乎又是一样的…..

每当警方捣毁一个平台,这平台上的大小卖家和各种买家们,又蜂拥找到另一个交易的平台….

丝路倒了,另一拨人建立起了丝路2.0。 丝路2.0的创始人又被警方抓到被捣毁,又有另一群人建立起了丝路3.0。 又有人建立起了其他大大小小的平台…. 只要还有平台在,这些卖家和买家们总有存活的空间….

警方虽然不断的在捣毁,然而暗网上的非法交易,却一直没能阻止下来….. 

因此,

2016年,当荷兰警方追踪到另一个暗网非法交易平台Hansa的相关信息的时候,他们决定采取另一个不同的策略:不捣毁,而是把整个平台完全接管下来!! 

通过接管下整个网站,他们整个策划了一起无比史诗般的网络钓鱼行动。 最后不但彻底摧毁了这个平台,缴获了上千万美元价值的比特币。

更关键的是,通过接管网站,他们还得到了平台上上千卖家和上万毒品买家的各种个人信息,让数十位通过暗网交易毒品的顶级毒贩落网! 

这次行动,不但瓦解了Hansa这个平台,更是从心理上摧毁了整个暗网的交易信用体系。  当这整个网站都成了警方的钓鱼网站,所有买家卖家的交易信息都进入了警方的数据库。 那下一个网站还可不可信,还敢不敢在下一个网站上买非法物品? 一时间,暗网上草木皆兵….

1520610301-4374-20180309

这就是我今天要说的故事,

荷兰警方的这场无比燃的网络行动 —  代号:刺刀行动! 

again, 不用太担心,我会把其中的技术部分尽可能说的通俗易懂的..

。。。。

曾经,Hansa是欧洲最著名的线上毒品交易网站之一…

巅峰时期,Hansa有3,600名卖家,供应超过24,000种毒品,从可卡因到MDMA(亚甲二氧甲基苯丙胺,俗称“摇头丸”)再到海洛因,应有尽有。同时,Hansa还提供一些少量的,诸如造假工具和伪造文件的交易….

1520610299-1074-20180309

荷兰警方一直知道网站,但是暗网匿名的特性,想要抓到幕后的建立者,不是一件容易的事情….

行动代号:刺刀

这一切行动的开端,来源于一个安全公司的调查员的一条线报….

在这个安全人员的一次例行调查里,

他发现在荷兰一个数据中心的一台服务器,很可能就是Hansa的服务器。

他很快把这一切通知给了荷兰警方。

荷兰警方初步调查发现,这个服务器可能是Hansa的一个隐蔽的开发测试用的服务器。 也就是说,网站的创始人,会在这台服务器上,开发和测试网站的更新版本。

虽然网站的正式服务器隐藏在暗网上,有着各种保护措施。 但是这台开发测试用服务器,却成了创始人的一个疏忽,放在了互联网上每个人都访问得到的地方。 这才因为一个偶然,让那个安全人员发现了,并把它的IP地址记录了下来….

荷兰警方很快联系了主机服务商,要求进入他们的数据中心,安装网络监控设备以便他们监视所有进出这台主机的信息。

他们很快发现了这台开发测试服务器,也恰恰连接着暗网上Hansa的主服务器! 主服务器有三台,其中一台,恰恰也在这同一个机房里,另外两台在德国。

很快,他们拷贝了每一个服务器的所有硬盘。 警方得到了Hansa历史上的每一笔交易记录,以及通过匿名通信系统发生的每一段对话…

然而,尽管他们获得了这些记录,

可是意义却不是很大。

他们得到的,只是知道这个ID从那个ID那买了啥而已…

因为一切交易都有暗网匿名性的保护,调查人员还是不知道,这一个个ID背后真实的人都是谁….

警察们只好继续顺藤摸瓜,逐个逐个的搜索硬盘中的数据和文件….

终于!

在仔细研究这些服务器的内容之后,

警方又找到了一个重要的线索!

在德国的其中一个服务器上,一份老旧的IRC聊天历史中,竟然找到了两个创始人的谈话记录!!

(就好像有人拿到了你的电脑硬盘,从硬盘中翻到了QQ聊天记录的文件夹,然后破解了你的QQ聊天记录)

这些谈话记录都很有些年头了,

跟让人惊讶的是,在这份古老的聊天记录里

竟然还包括了两位管理员的全名,其中一个竟然还有家庭住址!!

下套

很快,荷兰警方锁定Hansa那两个可疑的管理员,他们现在正住在德国。

其中一个叫Siegen,一个30岁的男子,另一个是在Cologne的31岁男子。

但是,当荷兰警方联系德国官方,要求协助逮捕和引渡他们时,

他们却发现了另外一个情况…..

原来,

这两人早就被德国警方盯上了! 

德国警方之间发现,

两人创建了一个名为Lul.to的网站,专门贩卖盗版电子书和音频书籍。

已经盯了他们很久,也打算要抓捕他们了…

1520610299-7664-20180309

这突如其来的情况,给了荷兰警方一个无比巧妙的灵感:

我们可以利用德国警方的这个抓捕行动,作为自己暗网抓捕行动的掩护! 

让德国警方以打击盗版电子书网站的名义逮捕他们,这样暗网Hansa上的用户就不会被惊动。 就算不小心走漏风声,暗网上的人也会认为他们是被那个盗版书网站被抓的,跟Hansa没关系,Hansa还是安全的。

这样,警察就看可以在不惊动暗网用户的情况下,秘密占领Hansa!!

把Hansa老大抓了,

自己做Hansa的老大!! 

荷兰警方的Gert Ras表示:

“我们带着这个计划行动,明查盗版,暗地占领Hansa…我们要搞定真正的Hansa管理员,把管理员变成我们自己。”

然而,

计划赶不上变化!

当荷兰警方的计谋正在一步步清晰起来时,

就在这个节骨眼上,整个案子崩了…. 

Hansa的荷兰服务器突然没了动静!

没有了流量,不在有人访问,

仿佛一瞬间有人把Hansa的网站彻底搬家,留下的只有一个不再有人来的空壳….

主导调查的警探表示,

他们怀疑,可能是他们拷贝服务器硬盘的动作,惊扰了网站管理员。

管理员觉得这台服务器不再安全,于是换到了其他的地方。

果然,不久之后,黑市被挪到另一个暗网上的另一个地址上去,

埋入了全球那浩如烟海的暗网服务器和匿名机器中去了…

警察表示,

“当时看来,这无疑是个重大挫折”

那时候,荷兰警方做了一个更大局的决定,

在线索断了之后,他们没有简单地粗暴地让德国警方直接抓人,

而决定,不抓,继续放长线钓大鱼!

他们依旧想继续进行他们的隐秘接手计划…

现在的问题就是,

服务器,被他们转移到哪里去了?

。。。。

接下来的几个月,

荷兰警方耐心得继续寻找线索。

他们从2016年的秋天一直等到了2017年的4月,

终于,线索来了!

Hansa的两个管理员从一个地址发起了一笔比特币支付,而这个地址同样包括在之前查获的聊天记录里!

警方知道这这个比特币地址。 他们一直追踪着这个地址可能进行的交易。 从全球比特币交易记录分析里,他们发现,这个比特币地址,给另一个位于荷兰的比特币支付商转了一笔帐…. 

(比特币支付商就相当于比特币的支付宝,一方给他们打比特币,他给帮他给另一方支付现金)

很快,警方给这个支付商发去了执法信,

要求他们公开这笔交易的收款方。

支付商回复了所有信息,表示这笔款,是打给立陶宛的一个服务器数据中心的。 

而这个数据中心,就很可能是新的Hansa服务器的所在地! 

。。。。。

一石二鸟

第二次找到这些服务器后,荷兰警方很快推进着他们的行动计划…

然而,

就在这时,

他们又得到了一个更意外的消息!!

美国FBI联系了他们,

并告诉他们,FBI锁定了暗网上另一个著名暗网毒品交易网站AlphaBay的服务器,

这台服务器币Hansa那台规模更大,而且,就坐落在荷兰境内!

FBI的调查员希望荷兰警方能够配合,关闭这台服务器,让它停止运作。

这两者之间能有什么关系??

还记得开头说过的么?

当一个平台被警方捣毁,平台上所有的买家和卖家都会蜂拥而至跑去下一个大的可信的平台…..

而也是这个节骨眼上,

荷兰警方又正在进行接管Hansa的服务器的钓鱼计划…

一个更大的设想出现了:

如果我们先接管下Hansa, 然后再去关闭掉最大的那个AlphaBay,

那AlphaBay上大量的毒品卖家和买家就会想尽办法,寻找新的“暗网黑市”,

不出意外,

AlphaBay的用户一定会跑到Hansa上来,

那Hansa就会成为暗网上最大的交易平台… 

如果那时他们正接管着Hansa,岂不是能把这网络上的大小卖家一锅端!!! 

简直完美!!!!

就差行动了。

很快,荷兰警方向立陶宛的数据中心派出了特工,

荷兰和立陶宛之间签有互惠法律行动的条约,这让荷兰警方的行动变得容易很多。

6月20日,德国警方迅速行动,突袭了两名管理员嫌犯在德国家,迅速抓人,并以迅雷不及掩耳之势控制了他们还没来得及加密锁定的电脑…. 

逮捕之后,荷兰警方顺利控制立陶宛的Hansa服务器,把Hansa服务器上的所有数据都迁入荷兰境内,迁入到了警方控制的一组全新的服务器里!

而此时此刻,暗网上Hansa所有用户,在这一刻都全然不知,

他们热火朝天买卖毒品的网站,已经落入了警方的手,他们的一举一动,都被警方完全掌握并记录在案….

两名Hansa的前管理员在德国接受审讯,

两人供出了自己所有的账户,服务器密码,社交密码,email密码。 包括Tox的点对点聊天系统的密码。 这是一个在Hansa上,两名管理员用于和另几个分管业务的“四大长老”沟通的系统。 

只要警方继续模拟他们的口吻在这个平台上继续跟几大管理员保持沟通,几大管理员根本不知道这背后,已经从他们的老大,变成了警察…..

几大管理员也完全不知道,他们的老大被抓了….

三天之后,Hansa的数据已经被全面迁移到荷兰境内,在荷兰警方的全盘控制之下。

所有的用户,包括那些“长老”们,都完全没有注意到他们每天登陆的Hansa,其实已经发生的惊天剧变….

。。。。

完全掌控

好了,现在Hansa这个暗网上欧洲最大的非法物品交易平台,已经完全到了警方的掌控下….

警方掌控了就可以为所欲为了么?

是的,还真就可以为所欲为了!

接下来警方的一波操作,简直完美!

他们修改了网站代码,直接记录下了每一位用户的登录密码。 

(出于安全的考虑,正常网站是不记录用户密码的,只是把用户设置的密码转换成一个加密的编码。数据库里只保存这个加密编码。 用户登录的时候只是比较一下这个转换过的加密编码是否一致。

单单只靠这个编码,是反推不出用户真正的密码的。 这样的话,就算网站数据库被攻破,用户密码也不会泄露。

警方接管后:密码?可以啊,我给你继续加密编码存着。 但是存之前我先把你的原始密码记录另存一份.. )

他们修改了网站的用户通信系统,直接记录下用户之间的聊天通信。 

(正常情况下,Hansa网站上2个用户的聊天是要经过PGP加密的。 一方的信息,网站经过公匙加密后,发给另一方,别人看到也只能是加密的信息,只有对方用自己的私匙解密之后才能看到具体的信息是啥。 也是通过这种加密的沟通方式,买卖家之间才敢发一些诸如收货地址之类的个人信息。

警方接管之后: 加密?可以啊! 反正我是网站,你通过我发信息,我先直接另存一份你发消息的原文。 然后在加密之后发给另一方咯)

这样,通过跟踪买卖家之间的各种交易交流,警方得到了买家卖家的各种个人信息!

警方又进一步修改了网站上传图自动移除照片元数据的机制…

(我们的各种图片里其实都有图片的一些相关信息,包括拍摄的时间,拍摄的相机类型,甚至拍摄的地理位置等…..

Hansa网站为了安全起见,会帮卖家自动移出他们上传的商品图里的所有的这些相关信息。 这样别人就算看到你的图片,也不会暴露自己)

1520610299-7719-20180309

警方接管后: 好啊,我还是帮你继续移除。 不过移除之前,我先自己另存一份原图….

因为Hansa网站一直很安全,所以很多卖家也很大条..  知道网站会帮自己移除,所以上传图之前就懒得自己移除了。 他们上传的很多手机拍摄的产品图里,其实都有自己的地理位置信息….  这就又泄露给了警察…

这就够了么?

还不够!

警方又伪造了一个服务器故障,跟所有卖家表示,哎呀,图片服务器故障了,你们所有的图片都丢失了。 实在不好意思,只能麻烦你们再传一次了啊! 

于是所有卖家又把自己卖的毒品的商品图又传了一次,其中很多都没有移除地理位置信息(反正他们知道网站会帮他们移除的嘛)

这下好了,警方把这些图全部复制了一份。 就这一个操作,警方又得到了超过50个大卖家的地理位置信息…..

这就完了么?

还不够啊! 

警方又通过网站给卖家们发了个通告,

“这是我们网站的一个备份密匙。 如果我们网站因为各种意外被关闭,90天之内你们卖家们依旧可以通过这个备份密匙,把你们放在我们网站上的比特币全都转出来”

一看Hansa网站对自己如此细心,这些卖家都高兴坏了。

他们之中的很多人都打开过这个(警方)管理员发来的文件…

而这个文件,却是警方的一个经过巧妙构建的Excel文档。

表面看来只是一串密匙信息。 实际上,当卖家把这个打开后,会暗暗连接警方的一个网络地址….卖家的IP地址立刻会暴露给警方….

这一切,就像一个灯塔一样,给警方指示着打开这个文件的人的位置。 也就是这些毒品卖家们的位置…..

这一波操作之后,又有64名卖家掉入了警方的圈套….

通过这一系列计策, Hansa在荷兰警方的秘密控制下开始活跃起来…

假扮管理员的卧底们通过研究前管理员的谈话日志,学会了和“各大长老”以及用户沟通,足以以假乱真,让电脑那头的使用者们信服…

事实上,在背后冒充Hansa两位管理员的,有整整一队警队的人马,人多力量大,办事效率也高…

一旦卖家买家以及“长老”之间有了矛盾,

这些卧底警察们便立刻出手,干净利落处理买卖双方矛盾,解决纠纷,

一时间,在警方管理下的Hansa,买卖家们都觉得,Hansa客服的效率比之前好多了! 而越规范,服务越好,就有越来越多的人愿意来这里交易! 

Hansa是个好平台啊!

来的人越来越多,警方也就有了越来越多买卖家的信息。。。。 

在暗网用户中的威望值也迅速提升…

。。。

收网捕鱼

好了,

去年6月,警方现在已经完全控制Hansa了。

我们再来说世界最大的那个,FBI端掉的AlphaBay的事情。

时机成熟,去年7月。警方端掉AlphaBay。

因为Hansa服务完善的名声开始在外传播。 正如警方预测的那样,越来越多离开AlphaBay的用户,选择来到Hansa。

一时间,新用户注册率直线攀升,竟然达到了过去日常注册量的8倍… 多的时候,一天有多达5000人涌入Hansa…

而这些新涌入的用户,从注册的那一刻起,便落入了荷兰警方的全盘监控中。

随着Alphabay被端掉的消息传遍各大媒体,Hansa被涌入的新用户挤得水泄不通,为了进一步满足新用户,NHTCU不得不另外开辟新的服务器。

开了服务器还承受不住….

不得已,警方只能暂停Hansa的新用户注册10天….

1520610301-9680-20180309(每天注册的人数,第一个波峰是因为AlphaBay被端掉。 之后10天停止注册,开放注册之后又迎来高峰,最高每天注册超过7000人)

10天之后,警方再次开放注册,新用户再次蜂拥而至…

Hansa上的交易数字令人咂舌,

粗略统计,差不多每天有将近1000笔非法交易!!

荷兰警方立案的手续工作都快跟不上了….

就这么放任下去么?

也没办法。 在接管Hansa,卧底当起管理员的这段时间,

荷兰管理的网站只禁止一种产品的在线交易:

阿片类药物芬太尼,这种药物致死性极强,极其危险。

而其他所有的交易一切照旧,畅通无阻,

对此,荷兰警方也表示:

“这些交易不在Hansa上发生,就会在其他地方发生,无论如何是阻止不了的…”

与其这样,不如让他们在这里发生,这样我还能追查到他们。

短短27天,27,000笔疯狂的交易之后,

NHTCU终于开始拉网收鱼了….

他们关停了网站服务,

取而代之的是一个醒目的告示和一个链接到荷兰高技术犯罪部NHTCU的链接,展示了一长串即将被逮捕的买家,卖家的个人信息…

“如果你看到这条信息,你的所有信息已经被我们掌握了” 

恩,刺刀行动,

捅了暗网的毒品交易最大的一刀!! 

整个行动下来,

荷兰警方掌握了42万注册用户的资料。

追查到了这些用户的至少1万个家庭住址。

这些参与过非法交易的用户和地址,之后他们会提交欧洲刑警组织,分配给欧洲各国以及世界各地的相关警方处理…

从关停网站起,他们抓获了数十位Hansa上的最大的卖家。还查获了1200枚比特币,按现在的汇率,相当于价值1千2百万美元。

荷兰警方逮捕了荷兰境内那些购买量特别大的买家。

还实地走访了荷兰当地的很多买家的地址,

上门告诉他们,你们在暗网上买违禁毒品的事实我们已经查到了。

“我们想让这些买家知道,他们的一切我们都记录在案,没有一个人能躲掉法律的制裁。“

在事后的总结上,警方表示:

这次Hansa的捣毁行动,跟之前的暗网捣毁行动都不一样。 之前都只是捣毁而已,然而在暗网上并不奏效。 这就像打地鼠一样。 你们打了这个,很快又会有另一个冒头….

然而这次通过偷偷接管Hansa,截获买卖双方的信息,相当于警方主动出击… 是一场颠覆性的行动…

最关键的,

这次行动摧毁了暗网上买卖家们对平台的信任…. 

说好的加密呢??

说好的保障我们安全呢?

结果成了警察的了?

那我们怎么知道接下来还有那个平台是安全的? 哪个平台是警方钓鱼的?

哪个平台被警方接管了 ???

在AlphaBay和Hansa行动公开后的一段时间里,暗网界人心惶惶。 他们疯狂的互相提醒修改密码,疯狂怀疑任何交易平台都可能有警方后门。

“看来我只能戒掉(毒品)一段时间了…”

“现在死都不相信任何平台… ”

在暗网的论坛上,一个个用户这么说道…

这一波行动的意义是深远的….

贩毒与缉毒,

这场猫与鼠的战争还会继续下去….

然而这一波刺刀行动,

荷兰警方,

简直赢得无比精彩!!

1520610300-3767-20180309(这次主导调查的两个荷兰侦探, Gert Ras,Marinus Boekelo)

Ref:

https://www.wired.com/story/hansa-dutch-police-sting-operation/?mbid=synd_digg