В начале октября ФБР арестовало американского хакера за кражу биткоинов. Позже выяснилась любопытная деталь — похищенные средства принадлежали администраторам и пользователям нелегальных площадок в даркнете, и с их помощью они проводили сделки с оружием и наркотиками. «Лента.ру» выяснила, кто навел ФБР на хакера и почему под следствие не попали сами наркоторговцы.
Анонимный донос
В 2013 году на электронную почту отделения ФБР в штате Коннектикут пришло анонимное письмо. В нем сообщалось, что 34-летний житель городка Уоллингфорд на протяжении нескольких лет занимается воровством биткоинов с аккаунтов сотен интернет-пользователей. Агенты бюро изучили данные, провели расследование и в начале октября 2016 года арестовали 34-летнего Майкла Ричо. В процессе обыска у него изъяли несколько компьютеров и жестких дисков, а обнаруженные на них данные стали одним из главных доказательств по делу.
Через неделю Ричо вышел под залог в 100 тысяч долларов, но в ближайшее время предстанет перед судом сразу по трем статьям: отмывание денег, несанкционированный взлом и доступ к чужим аккаунтам. С учетом имеющихся в распоряжении ФБР доказательств у хакера практически нет шансов на оправдательный приговор.
Правда, прокурор поспешил отметить: хотя данные с компьютеров Ричо доказывают его вину, описанные в письме факты все еще нуждаются в тщательной проверке. Дело в том, что, скорее всего, донос написали пострадавшие от хакера покупатели и продавцы наркотиков на анонимных торговых площадках в сети Tor.
Все гениальное просто
В родном Уоллингфорде Майкл Ричо был весьма уважаемым человеком. Судя по профилю в LinkedIn, в свои 34 года он успел получить степень по IT-предпринимательству и поработать на престижных должностях в нескольких крупных компаниях, включая разработчика софта Redhook E-Tech. За 16 лет он накопил немалый опыт в веб-дизайне и разработке пользовательских интерфейсов, что позволило ему основать небольшую онлайн-студию MediaPen.
Вряд ли кто-то из друзей и знакомых Ричо подозревал, что в свободное время респектабельный бизнесмен был завсегдатаем разных сайтов в «теневом» интернете. В 2013 году у него в голове родилась хитрая мошенническая схема. Наблюдая за перепиской на форумах, Ричо заметил, что пережившие разгром крупнейшей торговой площадки даркнета Silk Road наркоторговцы активно ищут новые рынки сбыта, а простые пользователи Tor — возможность купить наркотики.
Идея Ричо была проста. Сперва он создавал страницу, на которой располагалась точная копия обсуждаемого юзерами сайта, а затем начинал спамить ссылками на нее на крупных Tor-форумах, сопровождая свои посты красочным описанием.
Наркоторговцы и покупатели предсказуемо клевали на удочку и регистрировались на поддельных ресурсах, а Ричо с помощью специально написанного скрипта тут же узнавал их логины и пароли, а также информацию о привязанных к аккаунтам биткоин-кошелькам. После этого жертвы перенаправлялись на оригинальный ресурс, и злоумышленнику оставалось лишь внести их данные в программу по отслеживанию транзакций Bitcoin Monitor и ждать, пока они переведут себе деньги для покупки очередной дозы или оптовой партии наркотиков. В нужный момент он перехватывал перевод в биткоинах, после чего маскировал следы с помощью программы Bitcoin Fog.
Часть украденных денег мошенник обменивал на доллары и клал на счет в местном отделении Bank of America, но во избежание подозрений особо крупные суммы приходилось выводить через поддельные кредитки и аккаунты в Western Union. Позже Ричо написал более сложную версию скрипта, которая позволяла автоматически снимать деньги с биткоин-кошельков жертв.
Вор должен сидеть в тюрьме
Ричо был уверен, что его никогда не поймают: ведь действовал он через Tor, воровал криптовалюту, причем у наркоманов. Более того, на хакерских форумах он хвастался своими проделками и помогал всем желающим написать похожие скрипты.
Но он недооценил гнева лишившихся денег наркоторговцев, после долгих поисков обнаруживших переписку Ричо с начинающими хакерами. Драгдиллеры взломали его профиль и выяснили, что тот указал при регистрации почту mediapenllc@gmail.com. Запрос в Google вывел их на дизайн-студию MediaPen, а затем и на самого Майкла Ричо.
Вопреки традициям наркомафии, преступники решили не убивать обокравшего их хакера, а сдать ФБР. Похоже, следствию помог в попытках скостить себе срок и один из ранее задержанных наркоторговцев. На это указывает обвинительное заключение выложенное в сеть известным блогером-криминалистом Джозефом Коксом.
В документе специальный агент Майкл Моррисон демонстрирует прекрасную осведомленность о транзакциях хакера и его переписке на форумах. «У меня куча фишинговых сайтов, которые выглядят как площадки в Tor. А еще я работаю над одной новой штуковиной — программой для перехвата логинов и паролей», — цитирует он Ричо.
Моррисон отмечает, что несколько лет наблюдал за подозреваемым и копил доказательства. В частности, он отслеживал операции по его банковскому счету и установил все принадлежащие Ричо биткоин-кошельки. В ответ на официальный запрос, представители биржи LocalBitcoins подтвердили, что все они были зарегистрированы на почтовый адрес mediapenllc@gmail.com.
К середине 2014 года хакер скопил в банке более 100 тысяч долларов, а в начале 2016-го купил себе дом в элитном районе и люксовый Merсedes. К тому времени он уже полтора года находился под круглосуточным наблюдением бюро, но не подозревал об этом. «На основании вышеизложенных данных, я считаю арест Майкла Ричо обоснованным», — сообщил Моррисон 26 сентября 2016 года.
Нежданный визит ФБР стал для Ричо настоящим ударом. Он сразу сознался в создании поддельных сайтов и воровстве биткоинов, а также добровольно сдал агентам резервные копии жестких дисков, которые хранил в специально арендованной банковской ячейке. На его компьютерах нашли логины и пароли 10 тысяч посетителей нелегальных площадок в Tor, многие из которых были весьма крупными продавцами наркотиков и оружия.
Но это не послужило для него смягчающим обстоятельством. Ричо рискует провести в тюрьме следующие 55 лет, и у защиты практически нет шансов скостить ему срок. Обвинителям абсолютно все равно, кого он взломал и откуда украл деньги. Для них главное — состав преступления. Ведь по признаниям самого хакера, он «даже не помнит, сколько украл». Но там явно была сумма с шестью нулями.