Biznes Fakty
Kim byli hakerzy atakujący polityków? Śledczy idą tropem kryptowalut i kierują wnioski o pomoc prawną m.in. do USA
Tropy do siatki hakerów, którzy stali za głośnym atakiem, wiodą przez giełdy kryptowalut. Śledczy kierują wnioski o pomoc prawną m.in. do USA.
Grażyna Zawadka
Podszywali się pod numery telefonów znanych osób i głosem z syntezatora przekazywali fałszywe informacje. Dotąd wpadli tylko dwaj domniemani inspiratorzy takich działań. Jednak mogą być kolejni. Prokuratura wystąpiła z pytaniami z czterech krajów – USA, Australii, Niderlandów i Francji w śledztwie dotyczącym siatki hakerów, którzy trzy lata temu dokonali ataków spoofingowych na osoby publiczne – dowiedziała się „Rzeczpospolita”.
– Skierowane zostały wnioski o międzynarodową pomoc prawną oraz europejskie nakazy dochodzeniowe do kilku państw. Postępowanie pozostaje zawieszone w oczekiwaniu na ich realizację – mówi „Rz” prok. Mateusz Martyniuk, rzecznik Prokuratury Regionalnej w Warszawie.
Skierowane zostały wnioski o międzynarodową pomoc prawną oraz europejskie nakazy dochodzeniowe do kilku państw
Dwóch oskarżonych o zamieszczenie w darknecie instrukcji wykonania ataków
Zmasowane ataki zaczęły się jesienią 2021 r. i trwały z przerwami przez kilka miesięcy. Jak pisała „Rz”, miały identyczny modus operandi – „dzwoniący” podszywali się pod numery telefonów m.in. polityków i stosując metodę tzw. spoofing caller ID, głosem z automatu informowali m.in. o rzekomej śmierci kogoś z bliskich, pożarze w domu czy podłożeniu bomby. Ofiarą ich działań padł m.in. były szef CBA Paweł Wojtunik, poseł PO Borys Budka z żoną, znany adwokat oraz prokurator.
Prokuratura Regionalna w Warszawie i policyjne Centralne Biuro Zwalczania Cyberprzestępczości dotąd ustaliły dwie osoby zamieszane w te ataki – obie w darknecie zamieściły instrukcję wykonania spoofingu telefonicznego.
Najpierw, jesienią 2022 r., wpadł Krzysztof J., informatyk, który – według śledczych – używając nicku „Diabolo de Vilious” zamieścił na forum „Cebulka” w sieci TOR szczegółową instrukcję wykonania spoofingu. A także linki do przeprowadzenia ataków i nagrania z kilku dokonanych ataków. O jego zatrzymaniu pisała „Rz”. Później za to samo wpadł niejaki Daniel G. Zostali oskarżeni o pomocnictwo „nieustalonym sprawcom do podszywania się pod numery telefonów osób trzecich i wykonywania połączeń głosowych zawiadamiających o nieistniejącym zdarzeniu”. Ich procesy toczą się przed warszawskim sądem rejonowym (Daniela G., od nowa, bo jego uniewinnienie uchylił sąd drugiej instancji).
Hakerzy rozliczają się kryptowalutami. Ten trop może doprowadzić do całej siatki
Jednak śledczy uważają, że za atakami stała powiązana ze sobą grupa hakerów działająca w darknecie. Kto konkretnie? Pomocne mogą być odpowiedzi z krajów, do których poszła seria pytań. I tak, do władz Stanów Zjednoczonych – o informacje na temat jednej z domen internetowych i „dane ustalonego użytkownika portalu GitHub”.
Pytania do władz Australii skierowano „w celu uzyskania informacji posiadanych przez administratora giełdy kryptowalutowej CoinJar na temat czterech osób ustalonych jako użytkownicy forum darknetowego, których powiązano z opublikowaną na ww. forum instrukcją wykonywania połączeń z użyciem mechanizmu Caller ID Spoofing do celów przestępczych” – wskazuje nam prokuratura.
– Informacje te pozwolą na zweryfikowanie tożsamości wspomnianych osób oraz na ustalenie, czy brały one udział w procederze prania brudnych pieniędzy poprzez zakupy kryptowalut i dalszy ich transfer. A także – czy usługi te były powiązane z przestępstwami popełnionymi z wykorzystaniem spoofingu i czy były opłacane przez te osoby za pomocą kryptowalut – mówi „Rz” prok. Mateusz Martyniuk.
Podobne są pytania do władz Niderlandów – tu chodzi o informacje od administratora giełdy kryptowalutowej BTC Direct. Z czterech osób wskazanych we wnioskach dwie to Krzysztof J. i Daniel G. Kim są pozostali – nie wiemy.
Kryptowaluty, zwłaszcza monero, są ulubioną walutą darknetu i hakerów dokonujących ataków w sieci. Już ustalono, że posiadał je Krzysztof J. Czy odpowiedzi z zagranicy przyniosą przełom w śledztwie?
– Pozwolą wiele hipotez badawczych zweryfikować. Jeśli ktoś posiada konto na giełdzie kryptowalut, zawsze dla organów ścigania ciekawa jest analiza przepływów finansowych. Hakerzy płacą kryptowalutą także za strukturę informatyczną, której użyli do popełnienia przestępstwa. W ten sposób można ustalić np., gdzie kupili serwer związany z atakiem, czy powiązać ich z jakimiś transakcjami, z kim i za co się rozliczali – wskazuje nam jeden ze śledczych od walki z cyberprzestępczością.
Informacje uzyskane w ramach pomocy prawnej z czterech krajów mogą okazać się więc bardzo cenne. – Siła anonimowości w internecie jest duża, pytanie, jakie będą skutki pomocy prawnej i jakie błędy popełnili sprawcy – wskazuje nasz rozmówca.
Na trop Krzysztofa J. naprowadził śledczych – jak pisaliśmy – unikatowy nick „Diabolo de Vilious”, którego użył kilka lat wcześniej, rejestrując się na forum miłośników komputerów (podał wtedy swoje prawdziwe dane).
Co było motywem ataków? Swoisty „prestiż” lub korzyści materialne – przypuszczają śledczy.
Krzysztof J., informatyk z 20-letnim stażem, nie przyznaje się do zarzutu. Kiedy po zatrzymaniu trafił do aresztu, sąd odpowiedział „Rz”, że „W ocenie Sądu zgromadzony materiał dowodowy wskazuje na duże prawdopodobieństwo, że podejrzany dopuścił się zarzucanego mu przestępstwa i istnieje realna groźba matactwa z jego strony” – odpowiedziało nam biuro prasowe Sądu Okręgowego w Warszawie.
