Нужен админ в канал про VPN
Соре, что пишу тут, это не реклама, просто, что-то мне подсказывает, что только тут можно найти нормального гика в этом. Я уже все облазил(
Стиль ведения канала - новости мира ВПН/технологий
Соре, что пишу тут, это не реклама, просто, что-то мне подсказывает, что только тут можно найти нормального гика в этом. Я уже все облазил(
Стиль ведения канала - новости мира ВПН/технологий
ИИ для кибербезопасности — поиск уязвимостей при помощи нейросетей или подбор ключей шифрования? Нет же! Мы тут за правопорядок и сохранение чужих данных.
Стартап собрал уже около 7 миллионов долларов в серии A. Подобные стартапы быстро растут из-за их успеха и уникального способа борьбы с киберпреступностью — прогнозированием атак.
Чтобы понять принцип работы приведенного нами стартапа, нужно немного разобраться в современном мире кибербезопасности и даркнета: какие методы взломов сегодня используются, что такое Shell-инъекции или квантовая криптография?
И мы сегодня не про социальный инжиниринг и попытки вытащить данные самыми простыми способами: фишингом, угадыванием паролей. Нет, мы про планомерные поиски уязвимостей: внедрение SQL-инъекций, когда хакер пытается вшить запрос в платформу по управлению базами данных, кибершпионаж, где примером может быть шпионский программный комплекс "Flame", обнаруженный в 2012 году, который использовался для кибершпионажа и сбора конфиденциальных данных с компьютеров во многих странах.
Ни в коем случае не является рекомендацией, но обыкновенная инъекция шелл-кода — получение дескриптора и внедрение этого хакерского кода через "запись". В простых терминах, дескриптор позволяет работать как указатель, "распознаватель". Дескриптор можно использовать для ссылки на объект или ресурс. Например, в ОС дескриптор файла представляет собой небольшое число, которое используется для идентификации открытого файла. В некоторых языках программирования дескриптор может быть указателем на область памяти или индексом массива, который указывает на нужный нам объект.
Дальше выделяется память для полезной нагрузки, запись полезной нагрузки и выполнение шелл-кода. Шелл-код обычно пишется на языке ассемблера, так как он представляет собой непосредственные машинные инструкции, которые выполняются процессором компьютера. Этот код обычно не содержит никаких "комментариев" или "подсказок", он просто состоит из последовательности инструкций, необходимых для выполнения определенной задачи, например, открытия оболочки командной строки, получения удаленного доступа к системе или установки того самого вредоносного ПО.
Хакерская тематика — интересная и ее изучение помогает лучше ориентироваться в основах информатики, криптографии и работы с ПК на самом низком уровне абстракций.
И хотя большинство хакерских способов взлома остаются дистанционными. Хотя Mr Robot, будучи социопатом, сумел засветиться и в роли настоящего агента, взламывающего, например, Bluetooth через утилиту btscanner и Bluesniff в комплекте. В некоторых сериях Эллиот, главный герой сериала, проникает в серверные, закидывает черви или вводит те самые инъекции Shell-Code.
Если хотите почитать статьи из мира хакерства — добро пожаловать на открытый журнал про методы взломов и новости мира кодеров даркнета https://xakep.ru/
Но не забывайте, любые хакерские атаки незаконны!
Пожалуй, вместе с ростом рынка "темного" интернета растет и предложение о защите. Да, у ML специалистов высокие зарплаты, но у специалистов по кибербезопасности они запредельные, хотя порог входа у кодеров в этом направлении высокий. Принципов защиты сегодня достаточно: даже системы квантовой криптографии, нулевого доверия или Zero Trust и наш вариант — системы ИИ и ML. Все они обладают изюминкой — работают превентивно, в момент атаки или после. Концептуально разные.
Например, в квантовой криптографии для передачи информации используются квантовые биты, или кубиты, которые могут находиться в состоянии, обозначенном как 0, 1 или суперпозиции 0 и 1 одновременно (квантовый параллелизм).
В квантовой механике измерение квантового состояния изменяет его, поэтому его нельзя скопировать без уничтожения оригинала. Это свойство называется принципом неразрушаемости измерения. Если злоумышленник пытается перехватить квантовые состояния, это будет заметно для отправителя и получателя, поскольку попытка перехвата изменит состояние квантовых битов. Каждой из сторон предоставляется ключ, по которому можно дешифровать передаваемую информацию.
Перехватить данные практически невозможно, но система требует серьезных финансовых вложений и пока что внедрена только в некоторых крупных проектах на стадиях тестирования. Конечно, сегодня есть и наиболее простые системы криптографии.
А так, большинство корпоративных специалистов кибербезопасности скрещивают алгоритмы по типу RSA, OpenOD или принципы хэширования и нулевое доверие, где каждое устройство априори не может быть допущено к данным без аутентификации.
Но у любой подобной системы есть существенный минус — они предохраняют утечку данных, но не отрабатывают превентивные меры и не ведут мониторинг "потерь". А это необходимо.
И здесь на рынок вступает искусственный интеллект и стартап StealthMole с кротом на логотипе. Основатели предлагают облачную унифицированную платформу для цифрового расследования, оценки рисков и мониторинга угроз. Команда у стартапа сильная! Состоит из белых хакеров, аналитиков киберугроз, экспертов по цифровой криминалистике и специалистов OSINT, которые обладают глубоким пониманием и обширным опытом борьбы с киберпреступлениями.
Компания предлагает три продукта для защиты, все они про мониторинг:
Darkweb-Tracker — комплексная платформа разведки с использованием превентивной Дата-аналитики, NLP и принципов OMNIST, своеобразного парсинга. Разведка нужна для понимания ситуации в комьюнити хакеров, для отслеживания атак на другие сервисы. Источники поиска разные: хакерские формы, блоги с утечками и черные рынки. ИИ фильтрует криптокошельки, сети, личную информацию и визуализирует связи и закономерности между точками данных — все для облегчения анализа. Ну и, конечно, сервис легко интегрируется с API-платформы клиента. В комплексе сразу идут методы визуализации, чтобы сотрудникам было легче ориентироваться в вырванных данных.
Подобный трэкер позволяет предвосхищать атаки и устранять найденные хакерами уязвимости — отличный вариант для тех, у кого "уязвимости" появляются на длинном отрезке времени.
Credential Protection. Дополнительно для отслеживания уже утекших данных, компания предоставляет другое ПО для мониторинга наличия нарушений или утечек учетных данных в даркнете, используя обширный набор данных из даркнета, клиенты получают дополнительную информацию о деталях инцидента с взломом, что позволит незамедлительно принять меры и защитить данные компании. Сервис систематически сканирует форумы, торговые площадки, дампы данных и другие источники, известные своей хакерской деятельностью.
Последний – Dark Web Monitoring хакеров-вымогателей. Модули мониторинга "инцидентов" парсят непрерывный поток данных в реальном времени о потенциальных угрозах и инцидентах безопасности, выявленных в даркнете.
Cтартап молодой. Нам самим интересно, как покажут себя ИИ в мониторинге и помогут ли сократить расходы компаний, число инцидентов. Покажет время, но пока проект выглядит многообещающе.
Даркнет — обратная сторона интернета, где ежедневно проводятся тысячи финансовых операций через блокчейн по продаже оружия/наркотиков/людей, а также данных.
Наконец-то первый в нашем списке стартап по кибербезопасности. Трояны, блокировщики Windows, DDOS — уже позади. На Всемирном экономическом форуме киберпреступность вписывают в списки глобальных вызовов наравне с вынужденной эмиграцией. Везде попытки нарушить работу сельскохозяйственных предприятий, финансовых систем, водных и даже космических. Впрочем, воровство корпоративных данных — настоящий бич современных компаний. Google, Microsoft готовы выложить 30 млрд долларов на повышение информационной безопасности.
В 2023 году ЦБ раскрыл сумму похищенного у обычных граждан денег за первый квартал– 4.5 млрд рублей. Общемировой ущерб почти достигает 6 трлн долларов. Все доходит до того, что некоторые данные государство готово выкупать у хакеров. Причем частным компаниям приходится тратить громадные суммы на покрытие выкупов данных, так как установка адекватной защиты — сложное и затратное предприятие. Почитайте учебник по криптографии и представьте себе тысячи строк кода на самых низких уровнях абстракций, откуда данные и вытаскиваются.
Мотивация киберпреступников
Для бизнесменов — хорошая новость, ведь рынок ИИ для соц-сетей снова вырастет до 2009 года, достигая 60 млрд долларов в объеме, — внушительные цифры. В отличие от стартапов, где предполагается разработка криптографических средств, ИИ для парсинга данных в даркнете и их анализ требуют не таких высоких затрат, поэтому молодые основатели могут рассчитывать на инвестирования и возможность развития с низкого старта.
Интересно, что ИИ полезно не только в ритейле/маркетинге/продажах и корпоративных задачах, но и кибербезопасности.
1. DuckDuck Go
Предпочтительная альтернатива Google в dark web. Эта частная поисковая система не отслеживает историю посещений и другие данные, а значит, предлагает неперсонализированные результаты поиска.
https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/
2. ProPublica
ProPublica - первый крупный новостной ресурс, у которого появилась dark web-версия. Присутствие этой некоммерческой организации, занимающейся журналистскими расследованиями, в Tor позволяет сохранять анонимность и обходить блокировки стран, а также способствует свободе слова.
http://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion/
3. KeyBase
По своей функциональности Keybase похож на такие приложения для обмена сообщениями, как WhatsApp, и позволяет обмениваться файлами с друзьями и другими контактами. Ваши данные шифруются end-to-end с использованием криптографии с открытым ключом для обеспечения конфиденциальности и анонимности.
http://keybase5wmilwokqirssclfnsqrjdsi7jdir5wy7y7iu3tanwmtp6oid.onion/
4. Riseup
Безопасный сервис электронной почты, предназначенный в первую очередь для групп активистов. Этот сайт, управляемый добровольцами, не ведет записей о вашей деятельности, а также защищен от вредоносных атак и государственного вмешательства.
http://vww6ybal4bd7szmgncyruucpgfkqahzddi37ktceo3ah7ngmcopnpyyd.onion/
5. Библиотека комиксов
Если вы фанат комиксов, то вам стоит заглянуть на этот сайт в Dark Web. Comic Book Library предоставляет доступ к тысячам комиксов различных жанров и изданий, а также позволяет скачивать их.
http://nv3x2jozywh63fkohn5mwp2d73vasusjixn3im3ueof52fmbjsigw6ad.onion/
6. Ahmia
Ahmia - это поисковая система, с помощью которой можно найти полезные сайты в dark web. Также с его помощью можно просматривать новости, информацию и статистику о сети Tor.
http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion/
7. Императорская библиотека
Этот сайт называется Императорская библиотека; на нем можно скачать более 500 000 книг и статей, и это, возможно, одна из крупнейших электронных библиотек.
https://kx5thpx2olielkihfyo4jgjqfb7zx7wxr3sd4xzt26ochei4m6f7tayd.onion/
источник https://t.me/itmozg/9678
Одна вакансия, два кандидата. Сможете выбрать лучшего? И так пять раз.
Tor — это веб-браузер, для анонимного использования и доступа к ограниченным ресурсам. Является средством борьбы со слежкой и цензурой в интернете.
— Для выхода в Tor использует технологию «луковой маршрутизации» — сети специальных нод, каждая из которых шифрует данные пользователя.
В этом посте познакомим вас с различными утилитами, которые будут полезны для работы с сайтами в сети Tor.
Поисковые утилиты:
- OnionSearch - позволяет с помощью одной команды произвести поиск во всех популярных поисковиках .onion.
- Darkdump - позволяет пользователям вводить поисковый запрос (запрос) в командной строке, и он извлекает все deep веб-сайты, относящиеся к этому запросу.
- Ahmia Search Engine - поисковая система для скрытых сервисов Tor.
Утилиты сканирования:
- Onionscan - выполняет сканирование .onion сервисов на бреши в безопасности.
- Onioff - проверяет .onion URL (сайты в сети Tor) на их работоспособность (получает код статуса), выводит заголовки этих веб-сайтов.
Краулеры:
- TorCrawl - сканирует и извлекает (обычные или луковые веб-страницы через сеть TOR.
- VigilantOnion - краулер, осуществляющий поиск по ключевым словам.
- OnionIngestor - инструмент для сбора и мониторинга .onion и индексации собранной информации в Elasticsearch.
4. Корея
В начале января 2018 года следователи округа Колумбия получили известие от Томаса Тэмси, что он и его команда арестовали ещё одного сотрудника федеральных правоохранительных органов, который являлся пользователем «Welcome to Video. Этот второй агент, служивший в таможенной и иммиграционной полиции США, казалось бы, не был связан с уже арестованным агентом пограничной службы. Однако он тоже проживал в Техасе, менее чем в часе езды от дома человека, к которому они недавно приходили с обыском.
Помимо этого мрачного совпадения, известие об аресте агента таможенной полиции также означало, что первоначальный список высокоприоритетных подозреваемых, составленный командой следователей, наконец-то был закрыт. Они могли перейти к своей основной цели, Сону Чжон Ву, и серверу «Welcome to Video», находящемуся под его контролем.
К февралю начиналась часть операции, ориентированная на Корею. Перед арестами в Техасе Янчевски, Гамбарян, Фаруки и Тэмси прилетели в Сеул, чтобы встретиться с Корейским национальным полицейским агентством. На ужине, устроенном местным атташе таможенной полиции США, сам начальник корейской полиции сказал Тэмси, известному поедателю осьминогов, что американцам поможет его «лучшая команда». Вскоре они взяли Сона Чжон Ву под постоянное наблюдение. Они знали, когда он приходил и уходил из своего дома, расположенного в двух с половиной часах езды к югу от Сеула в провинции Южный Чхунчхон.
Теперь, в разгар зимы на Корейском полуострове, всего через неделю после того, как Корея принимала Олимпийские игры в Пхенчхане, американские агенты снова прибыли в Сеул. Гамбаряну пришлось остаться на не вовремя организованную конференцию, на которой ему приказал выступить директор агентства. Но Янчевски и Фаруки взяли с собой в команду Аарона Байса и Юли Ли, корейско-американского прокурора по компьютерным преступлениям. К этому моменту вокруг этого дела также собрались растущие международные силы. Национальное агентство по борьбе с преступностью Великобритании, которое начало собственное расследование по делу «Welcome to Video» сразу после визита Левина в Лондон, направило двух агентов в Сеул, к коалиции присоединилась и федеральная полиция Германии. Выяснилось, что немцы преследовали администраторов сайта самостоятельно, еще до того, как узнали о расследовании налогового управления США, но им так и не удалось заручиться поддержкой Корейской национальной полиции.
В первые дни пребывания в Сеуле следственная группа неоднократно встречалась в отделениях Корейской национальной полиции, чтобы обсудить свои планы. Их отслеживание IP-адреса, основанное на случайном щелчке правой кнопкой мыши Гамбаряном, показало, что сервер сайта, как ни странно, находился не в центре обработки данных какой-либо хостинговой фирмы, а в собственной квартире Сона Чжон Ву — все доказательства с массовым сексуальным насилием над детьми располагались прямо в его доме. Это упрощало дело: им нужно было лишь арестовать его, отключить его сайт и использовать эти доказательства, чтобы осудить его. Команда разработала план, чтобы схватить администратора сайта в его квартире рано утром в понедельник.
Однако накануне в пятницу Янчевски простудился. Он провел большую часть выходных с прокурором Юли Ли, ошеломленно блуждая между рынками и магазинами в Сеуле, пытаясь произнести слово «гасыбги», корейское слово, обозначающее увлажнитель. В воскресенье вечером он принял дозу того, что, как он надеялся, было корейским эквивалентом Nyquil.
Именно тогда корейская полиция предупредила команду, что план изменился: Сон неожиданно поехал в Сеул на выходные. Теперь команда, следившая за его местонахождением, полагала, что он начал ночную поездку обратно в свой дом к югу от города.
Если бы полиции удалось подъехать к дому Сона той ночью и выследить его, возможно, они могли бы быть рядом, когда он вернется, готовые арестовать его у дверей. Таким образом, он не смог бы уничтожить улики или покончить жизнь самоубийством, что уже произошло с одним из фигурантов дела в Вашингтоне.
В тот вечер Фаруки находился в холле отеля. Затем он и Ли пошли в свои комнаты, чтобы лечь спать. Янчевски — больной, полусонный из-за лекарств от простуды и сжимавший подушку из своего гостиничного номера — вышел под проливной дождь и сел в машину со связным таможенной полиции HSI, чтобы начать долгую ночную поездку на юг. Агент HSI умолял Янчевски сесть за руль другой машины вместо пожилого корейца из его команды, который, по словам агента, был заведомо плохим водителем. Но Янчевски настаивал на том, что он был слишком накачан лекарствами, чтобы перемещаться по темным мокрым дорогам страны, находящейся в 11 000 км от его дома.
Через несколько часов группа прибыла на стоянку у квартиры Сона, расположенной в 10-этажной башне с несколькими небольшими зданиями с одной стороны и обширным пустынным сельским пейзажем — с другой, чтобы начать свою долгую разведку под дождем. Было далеко за полночь, когда они увидели, как машина Сона наконец въехала в гараж комплекса.
Там его ждала группа корейских агентов. Один особенно импозантный офицер, которого агенты HSI называли Смайли, потому что он никогда не улыбался, возглавлял группу полицейских в штатском, пробираясь в лифт рядом с Соном, когда тот входил внутрь. Агенты молча поднялись с ним на лифте на этаж Сона и вышли, когда вышел он. Они арестовали его, как только он подошел к входной двери. Он не оказал сопротивления.
На протяжении ареста и последовавшего за ним многочасового обыска в квартире Сона Янчевски и другие иностранцы застряли в своих машинах на залитой дождем стоянке. Только национальная полиция имела право захватить Сона и проникнуть в его дом. Когда корейские офицеры надели наручники на молодого администратора «Welcome to Video», они спросили его, не согласится ли он позволить войти Янчевски или кому-либо из американцев. Сон, что неудивительно, ответил отказом. Таким образом, Янчевски ограничился экскурсией через FaceTime по небольшой и ничем не примечательной квартире, которую Сон делил со своим разведенным отцом, мужчиной с грязными руками с той самой фотографии в начале расследования. Тем временем корейские агенты обыскивали квартиру в поисках улик и конфисковывали электронные устройства.
Корейский агент, ведущий трансляцию для Янчевски, в конце концов, направил камеру телефона на настольный компьютер на полу в спальне Сона. Это был дешёвый системный блок, одна часть корпуса которого была снята. Внутри компьютера обнаружились жесткие диски, которые Сон добавлял один за другим, поскольку каждый диск постепенно заполнялся терабайтами видео с изнасилованиями детей.
Это и был сервер «Welcome to Video».
«Я ожидал чего-то светящегося, зловещего, — вспоминает Янчевски, — а это был просто убогий компьютер. Это было так странно. Этот убогий компьютер, вызвавший столько хаоса во всем мире, стоял на полу у этого пацана».
На обратном пути Янчевски понял, почему представитель HSI хотел, чтобы он сел за руль другой машины. Пожилой сотрудник HSI за рулем другого автомобиля в их фургоне каким-то образом был настолько дезориентирован после бессонной ночи, что свернул не в ту сторону, съехал с шоссе, едва избежав столкновения на высокой скорости и напугав своего пассажира, Аарона Байса.
Едва предотвратив эту катастрофу, когда солнце начало всходить и дождь прекратился, группа остановилась на стоянке грузовиков вдоль шоссе, чтобы позавтракать раменом быстрого приготовления на заправочной станции. Янчевски, все еще больной и совершенно измученный, был поражен тем, насколько все это выглядело разочаровывающим. Его команда обнаружила и вытащила как администратора, так и сервер, находившиеся в эпицентре глобальной сети, которую они расследовали. Он ждал этого момента больше полугода. Но он не чувствовал восторга.
Не было ни восторгов, ни празднеств. Агенты вернулись в свои машины, чтобы продолжить долгий путь обратно в Сеул.
На следующий день, наконец, выспавшись, Янчевски сквозь тоску операции прошлой ночи, начал осознавать, насколько им повезло. От судебно-медицинских экспертов, исследовавших компьютеры Сон Чжон Ву, он узнал, что Сон не зашифровал свой сервер. Там было все: весь контент «welcome to Video», его пользовательская база данных и кошельки, которые обрабатывали все его биткойн-транзакции.
Масштаб видеоколлекции, теперь, когда они могли видеть ее полностью, был ошеломляющим. На сервере хранилось более 250 000 видео. Это была самая крупная коллекция материалов о сексуальном насилии над детьми в истории. Когда позже они поделились коллекцией с Национальным центром пропавших без вести и эксплуатируемых детей (NCMEC), который помогает каталогизировать, идентифицировать и удалять материалы CSAM в Интернете, центр обнаружил, что 45 процентов видео никогда ранее не проходили через их систему анализа. Система проверки уникальности и поощрения загрузки свежего контента «Welcome to Video выполнила свою задачу, открыв бесчисленное количество новых случаев жестокого обращения с детьми.
Однако настоящим призом для следователей стала информация о пользователях сайта. Корейская национальная полиция предоставила американской команде копию баз данных «Welcome to Video», и они приступили к работе в здании посольства США в Сеуле, реконструируя эти коллекции данных на своем сервере. Между тем, чтобы не предупреждать пользователей сайта об удалении, они быстро создали похожую домашнюю страницу «Welcome to Video» на своем собственном сервере, используя закрытый ключ, полученный с реального сервера, и дублировали его адрес в даркнете. Когда пользователи заходили на сайт, теперь на нем отображалось только сообщение о том, что он находится в разработке и скоро вернется с «обновлениями». Надписи намеренно сопровождались опечатками, присущими его бывшему корейскому администратору.
Байс потратил два дня, не поднимая головы, восстанавливая пользовательские данные сайта в форме, которую они могли легко запросить, а Янчевски и Фаруки стояли позади него, приставая к нему, с вопросами, готова ли система. Когда Байс закончил, у команды из США был полный каталог имён пользователей сайта. Теперь они могли связать каждый биткойн-платеж, который они изначально наметили в блокчейне, с этими именами пользователей и посмотреть, какое именно видео загрузил или скачал каждый из этих пользователей.
К тому времени, когда американцы были готовы вернуться домой в конце февраля, они интегрировали деанонимизированные личности из своих повесток в суд при обмене криптовалюты в доступную для поиска базу данных. В нем была представлена вся сеть «Welcome to Video» с реальными именами пользователей, фотографиями и — для тех, кто заплатил на сайте — отчетами об этих платежах и точными видео о насилии над детьми, к которым эти клиенты купили доступ. «Вы могли видеть всю картину, — говорит Янчевски. «Это было похоже на словарь, тезаурус и Википедию, вместе взятые».
Перед ними была выстроена полностью раскрытая структура глобальной сети эксплуатации детей «Welcome to Video» — сотни тщательно детализированных профилей потребителей, коллекционеров, дольщиков, производителей и непосредственных насильников. Теперь пришло время для проведения заключительной фазы этого беспрецедентного дела.
В течение последующих недель команда Томаса Тэмси в Колорадо начала рассылать свои досье «Welcome to Video» агентам HSI, местной полиции и иностранным полицейским агентствам по всему миру. Эти «целевые пакеты» включали описания подозреваемых, отчеты об их сделках, любые другие доказательства, которые они собрали о них, и — учитывая, что некоторые агенты правоохранительных органов никогда не участвовали в расследованиях, связанных с криптовалютой, — краткие инструкции о том, как работает Биткойн и его блокчейн.
Не будет скоординированного, глобального уничтожения, не будет попыток вызвать шок и трепет одновременными арестами. Обвиняемые по делу были слишком рассредоточены и интернациональны для такой синхронизированной операции. Вместо этого по всему миру начали проводиться обыски, аресты и допросы, в первую очередь тех людей, которые могли быть активными насильниками. Далее шли те, кто загружал видео, и уже в конце те, кто их скачивал. Постепенно, по мере того как пользователи «Welcome to Video» подвергались арестам, команда следователей начала получать отзывы о результатах своей работы — с мучительными, иногда обнадеживающими, часто трагическими последствиями.
Работник IT-отдела из Канзаса, чей арест был приоритетным, когда они обнаружили, что его жена руководила детским садом для младенцев и малышей, удалил со своего компьютера все свои видео с изнасилованиями детей до прибытия агентов. Прокуроры говорят, что позже он признался, когда остатки файлов в хранилище компьютера совпали с их записями с сервера «Welcome to Video».
Когда агенты пришли за двадцатилетним мужчиной в Нью-Йорке, его отец заблокировал дверь их квартиры, сначала подумав, что это взлом. Но когда агенты объяснили, за что был выдан ордер, мужчина впустил их. Сын, как позже выяснилось, изнасиловал дочь друга семьи и, по словам прокуроров, тайно записал другую девушку через ее веб-камеру.
Преступник из Вашингтона, округ Колумбия, пытался покончить жизнь самоубийством, когда команда HSI вошла в его дом; он спрятался в своей ванной и перерезал себе горло. Один из агентов, производивших арест, имел подготовку армейского медика. Ему удалось остановить кровотечение и сохранить мужчине жизнь. Позже они обнаружили на его компьютерах 450 000 часов видео с жестоким обращением с детьми, в том числе видеозаписи девочки из Техаса, загруженные агентом пограничной службы, который фигурировал в начале расследования.
Шли месяцы, истории продолжали накапливаться. Одним из преступников был пожилой мужчина семидесяти лет, загрузивший более 80 видео с жестоким обращением с детьми. Мужчина двадцати с небольшим лет с черепно-мозговой травмой, лечение которого усилило его сексуальные аппетиты и ослабило контроль над импульсами, и который, как считалось, имел тот же уровень когнитивного развития, что и подростки, любил смотреть такие видео. Сообщения другого мужчина из Нью-Джерси, содержали данные о его переговорах по поводу покупки ребенка для «собственного пользования».
Томас Тэмси, как ведущий агент HSI по этому делу, координировал больше арестов по делу «Welcome to Video», чем кто-либо другой — более 50,— и присутствовал при таком количестве из них, что они превратились в размытое пятно, в котором остались только самые резкие моменты, засевшие в его памяти. Одного почти голого подозреваемого он обнаружил в подвале. Другой подозреваемый сообщил ему, что был связан с бойскаутами и что «его всегда привлекали дети». Интересны были и реакции членов семьи и друзей преступников, которые до последнего верили, что их родственник или знакомый на такое не способен, а после резко менялись в лице после предоставления неопровержимых доказательств вины.
Преступления охватили весь земной шар, простираясь далеко за пределы США. Десятки пользователей «Welcome to Video» были арестованы в Чехии, Испании, Бразилии, Ирландии, Франции и Канаде. В Англии, где все дело началось с демонстрации Левину, Национальное агентство по борьбе с преступностью страны арестовало 26-летнего мужчину, предположительно изнасиловавшего двух детей — одного из которых они нашли обнаженным на кровати в его доме. Этот мужчина загрузил более 6000 файлов на сайт. В другом случае было обнаружено, что у посла Венгрии в Перу, который загружал контент с «Welcome to Video», на компьютере хранилось более 19 000 изображений CSAM. Его незаметно сняли с поста в Южной Америке, доставили в Венгрию и предъявили обвинение; он признал себя виновным.
Для команды следователей многие международные дела попали в своего рода черную дыру: один пользователь «Welcome to Video» из Саудовской Аравии вернулся в свою страну и был задержан правоохранительными органами этой страны. Фаруки и Янчевски говорят, что никогда не слышали, что случилось с этим человеком; он был предоставлен собственной системе правосудия Саудовской Аравии, которая приговаривает некоторых сексуальных преступников к основанным на шариате наказаниям в виде порки или даже обезглавливания. Когда агенты обыскали машину гражданина Китая, живущего недалеко от Сиэтла и работающего в Amazon, они нашли плюшевого мишку вместе с картой детских площадок в этом районе, несмотря на то, что у мужчины не было собственных детей. Впоследствии мужчина сбежал в Китай и, насколько известно прокуратуре, так и не был обнаружен.
В каждом из сотен пакетов, разосланных командой, контакт Криса Янчевски был указан как номер телефона, по которому можно было звонить с любыми вопросами. Янчевски поймал себя на том, что снова и снова объясняет блокчейн и его центральную роль в деле агентам HSI и местным полицейским в США и во всем мире, многие из которых никогда даже не слышали о Биткойне или даркнете.
В общей сложности Янчевски побывал в шести странах и поговорил с более чем 50 разными людьми, чтобы помочь им разобраться в этом деле, часто по нескольку раз каждому, включая одного американского прокурора и команду агентов, с которыми у него было более 20 бесед. Байс, руководивший восстановлением данных сервера, говорит, что разговаривал с еще большим количеством агентов и офицеров — по его подсчетам, их насчитывалось более сотни.
В конечном счете, с начала дела и в течение полутора лет, последовавших за конфискацией сервера, правоохранительные органы всего мира арестовали не менее 337 человек за причастность к делу «Welcome to Video». Они также изъяли 23 ребенка из сетей сексуальной эксплуатации.
Эти 337 арестов по-прежнему представляют собой лишь небольшую часть от общего числа зарегистрированных пользователей «Welcome to Video». Когда группа из США изучила свою копию данных сервера в Корее, они обнаружили на сайте тысячи учетных записей. Но подавляющее большинство из них никогда не переводили биткойны в кошельки сайта. Без денег след следователей обычно терялся.
Другими словами, если бы не криптовалюта и многолетняя ловушка, расставленная из-за ее предполагаемой невозможности отследить транзакции, большинство из 337 педофилов, арестованных по делу «WelcometoVideo», и их спасенные жертвы, вероятно, никогда бы не были обнаружены.
Всего через две недели после того, как Левин передал свою наводку, команда агентов отдела уголовных расследований Налогового управления США и прокуроров почти точно знала, где размещался сайт «Welcome to Video». Но они также знали, что им понадобится помощь, чтобы двигаться дальше. У них не было ни связей с Корейским национальным полицейским агентством, ни ресурсов для ареста, возможно, сотен пользователей сайта. А для этой операции потребовалось бы гораздо больше персонала, чем могло собрать Налоговое управление.
Фаруки предложил привлечь к этому делу Службу внутренней безопасности в партнерстве с неким местным отделением в Колорадо-Спрингс. Он выбрал это агентство и его отдаленный аванпост из-за конкретного агента, с которым он работал в прошлом, следователя по имени Томас Тэмси. Годом ранее Фаруки и Тэмси вместе раскрыли северокорейскую дело по торговле оружием, цель которой заключалась в контрабанде компонентов оружия через Южную Корею и Китай. В ходе этого расследования они прилетели в Сеул, чтобы встретиться с корейской национальной полицией. После успешно проведенной работы американские и корейские коллеги вместе выпивали в баре и пели в караоке.
В особенно памятный момент ночи корейские агенты подшучивали над американской командой за их предполагаемую диету из хот-догов и гамбургеров. Один агент упомянул саннакчи, своего рода маленького осьминога, которого некоторые корейцы едят не просто сырым, а живым и извивающимся. Тэмси мужественно ответил, что попробует это блюдо.
Через несколько минут пара корейских агентов принесла к столу живого осьминога размером с кулак, обмотанного вокруг палочки для еды. Тэмси положил извивающегося головоногого моллюска в рот целиком, прожевал и проглотил, даже когда его щупальца извивались между его губами и черные чернила капали с его лица на стол. «Это было просто ужасно, — вспоминает Тэмси.
Корейцы нашли это забавным. Тэмси приобрел почти легендарный статус в определенных кругах корейской национальной полиции, где впоследствии его называли «парнем-осьминогом».
Как и у большинства членов их группы, у Тэмси не было опыта работы с детьми. Он никогда даже не работал над расследованием криптовалютных преступлений. Но Фаруки настаивал на том, что для проникновения в Корею им нужен парень-осьминог.
Вскоре после этого Тэмси и еще один агент иммиграционной и таможенной полиции США (HSI), уполномоченный на секретные операции, вылетели в Вашингтон, округ Колумбия. Они арендовали конференц-зал в отеле, и на глазах у Янчевски агент под прикрытием зашел на сайт «Welcome to Video», заплатил сумму в биткойнах и начал скачивать гигабайты видео.
Странный выбор места — гостиница, а не правительственное учреждение — был обусловлен тем, чтобы лучше скрыть личность агента, на случай, если «Welcome to Video» каким-то образом сможет отслеживать своих пользователей, несмотря на защиту Tor, а также для того, чтобы, когда придет время для судебного преследования, Офис прокурора округа Колумбия был наделен юрисдикцией. (Агент иммиграционной полиции использовал точку доступа Wi-Fi для загрузки, чтобы не перекачивать наиболее опасный контент из Интернета через сеть отеля.)
Как только работа агента под прикрытием была завершена, они поделились файлами с Янчевски, который вместе с Линдси Саттенберг провел следующие недели за просмотром видеозаписей, каталогизируя любые улики, которые они могли найти для установления личности вовлеченных людей. Кроме того, они насыщали своим умы теми ужасами жестокого обращения с детьми, которые заполонят их кошмары до конца жизни.
Годы, проведенные Саттенберг на посту прокурора по делам об эксплуатации детей, несколько притупили её чувства; она обнаружила, что другие адвокаты в команде не могут даже слушать, как она описывает содержание видео, не говоря уже о том, чтобы смотреть их своими глазами. «Они просили меня замолчать, изложить это в письменной форме, — вспоминает она, — а потом говорили, что это было еще хуже».
Янчевски, как ведущему агенту по делу, было поручено составить показания под присягой, которые будут использованы в любом обвинительном документе, который они в конечном итоге смогут представить в суде. Это означало просмотр десятков видеороликов, поиск тех, которые представляли самые вопиющие материалы на сайте, а затем составление их описаний для жюри или судьи. Он сравнивает этот опыт со сценой из «Заводного апельсина»: бесконечный монтаж, от которого он постоянно хотел отвести взгляд, но ему не позволяли этого сделать.
В первые недели осени 2017 года команда, исследующая сеть «Welcome to Video», начала кропотливый процесс отслеживания всех возможных пользователей сайта в блокчейне и отправки сотен юридических запросов на биржи по всему миру. Чтобы помочь проанализировать каждый отросток кластера биткойн-адресов Welcome to Video в Reactor, они пригласили сотрудника Chainalysis по имени Арон Акбийикян, армяно-американского бывшего полицейского из Фресно, которого Гамбарян знал с детства и рекомендовал Левину.
Работа Акбийикяна заключалась в том, чтобы провести то, что он назвал «кластерным аудитом», — выжать все возможные следственные улики из следов криптовалюты на сайте. Это означало ручное отслеживание платежей с предыдущего адреса на последующий, пока он не найдёт биржу, где клиент «Welcome to Video» купил свои биткойны, и идентифицирующую информацию, которой биржа, вероятно, располагала. Множество пользователей «Welcome to Video» облегчили ему работу. «В Reactor была прекрасная кластеризация, — говорит Акбийикян. «Всё выглядело предельно ясно». В некоторых случаях он прослеживал цепочку платежей через несколько переходов, прежде чем деньги поступали на биржу. Но для сотен пользователей, по его словам, он мог видеть, как адреса кошельков получают деньги с бирж, а затем помещают средства непосредственно в кластер «Welcome to Video».
Когда начали поступать ответы от бирж с идентификационной информацией этих пользователей, команда начала процесс сбора более полных профилей своих целей. Они начали собирать имена, лица и фотографии сотен мужчин — почти все они были мужчинами — из всех слоев общества и со всего мира. Их описания пересекали границы расы, возраста, социального положения и национальности. Все, что у этих людей было общим, это их пол и их финансовая связь со всемирным скрытым тайником насилия над детьми.
К этому времени команда почувствовала, что с уверенностью определила корейского администратора сайта. Они получили ордер на обыск учетных записей Gmail Сон Чжон Ву и многих его обменных записей, и они могли видеть, что, похоже, только он один получал обналиченные доходы с сайта, но не его отец, который все больше казался невольным участником, человеком, чей сын похитил его личность, чтобы создать счета в криптовалюте. В электронных письмах Сон Чжон Ву они впервые нашли фотографии молодого человека — например, селфи, которые он сделал, чтобы показать друзьям, как он сломал зуб в автокатастрофе. Это был худощавый, ничем не примечательный молодой кореец с широко расставленными глазами и копной черных волос в стиле «Битлз».
Но по мере того, как формировался портрет этого администратора, формировались и профили сотен других мужчин, которые пользовались сайтом. Некоторые сразу привлекли внимание следственной группы: один подозреваемый, к ужасу Томаса Тэмси и его коллег из Национальной безопасности, был агентом иммиграционной и таможенной полиции в Техасе. Другой был заместителем директора средней школы в Джорджии. Администратор школы разместил в социальных сетях видео, на которых он поет дуэтом в караоке с девочками-подростками из своей школы. В любом другом случае видео можно было бы рассматривать как ничем не примечательные. Но, учитывая то, что они знали о сайтах, которые посещал этот человек, агенты, имевшие больший опыт работы с детьми, предупредили Янчевски, что видео могут отражать форму извращения.
Это были люди, занимавшие привилегированное положение во власти, с потенциальным доступом к жертвам. Следователи сразу поняли, что им нужно как можно быстрее арестовать некоторых пользователей «Welcome to Video», еще до того, как они смогут организовать демонтаж сайта. Эксперты по эксплуатации детей предупредили их, что у некоторых правонарушителей есть системы, предупреждающие других, если правоохранительные органы арестуют или скомпрометируют их подельников, — кодовые слова или так называемые переключатели мертвецов, которые отправляли предупреждения, если данные люди отсутствовали за своим компьютером в течение определенного периода времени. Тем не менее, следственная группа «Welcome to Video» чувствовала, что у них нет другого выбора, кроме как действовать быстро и идти на определённый риск.
Ещё один подозреваемый примерно в то же время попал в их поле зрения по другой причине: он жил в Вашингтоне, округ Колумбия. На самом деле дом этого человека находился через дорогу от офиса прокурора США, недалеко от столичного района Галерея-плейс. Он жил в том самом многоквартирном доме, из которого совсем недавно выехал один из прокуроров.
Они поняли, что это место может им пригодиться. Янчевски и Гамбарян могли легко обыскать дом этого человека и его компьютеры в качестве эксперимента. Если это докажет, что этот человек был клиентом «Welcome to Video», они смогут предъявить обвинение по всему делу в судебном округе округа Колумбия, преодолев ключевое юридическое препятствие.
Однако копнув глубже, они обнаружили, что этот человек был бывшим сотрудником Конгресса и занимал высокопоставленную должность в престижной экологической организации. Заставит ли арест или обыск дома жертвы с таким профилем вызвать общественный резонанс, что потопит их дело?
Однако, как только агенты сосредоточили свое внимание на этом подозреваемом, они обнаружили, что он подозрительно странно перестал появляться в социальных сетях. Кому-то из команды пришла в голову идея получить его записи о путешествиях. Они обнаружили, что он прилетел на Филиппины и собирался вылететь обратно в Вашингтон через Детройт.
Это открытие привело агентов и прокуроров к двум мыслям: во-первых, Филиппины были печально известным местом для секс-туризма, часто такого рода, где были замешаны дети — офис иммиграционной полиции в Маниле постоянно был занят делами об эксплуатации детей. Во-вторых, когда этот человек вылетел обратно в США, таможня и пограничная служба могли на законных основаниях задержать его и потребовать доступ к его устройствам для поиска улик — странное и противоречивое исключение из конституционной защиты американцев, которое в данном случае могло послужить на пользу.
Поднимет ли тревогу их подозреваемый из округа Колумбия и сорвет ли расследование в самом его начале?
«Да, все это могло сорвать наше дело», — говорит Янчевски. — Но нам нужно было действовать.
В конце октября сотрудники таможенно-пограничной службы в аэропорту Детройт Метрополитен остановили мужчину, высаживавшегося с рейса Филиппины – Вашингтон. Сотрудники отвели его в комнату вторичного досмотра. Несмотря на его яростные протесты, пограничники настояли на том, чтобы забрать его компьютер и телефон, прежде чем позволить ему уйти.
Несколько дней спустя, 25 октября, прокурор, который жил в том же многоквартирном доме округа Колумбия, что и подозреваемый, увидел электронное письмо от руководства ее старого дома; она осталась в списке рассылки, несмотря на то, что переехала. В электронном письме отмечалось, что пандус гаража в переулке позади дома будет закрыт этим утром. В сообщении поясняли, что неизвестный приземлился туда после того, как спрыгнул с балкона своей квартиры. Мужчина погиб.
Прокурор сложила два и два. Самоубийца был их тестовым подозреваемым-примером в деле «Welcome to Video». Янчевски и Гамбарян сразу поехали в многоквартирный дом и подтвердили руководству: самый первый объект их расследования только что покончил с собой.
Позже в тот же день два агента налогового управления вернулись на место смерти мужчины с ордером на обыск. Они поднялись на лифте на 11-й этаж вместе с управляющим, который был глубоко озадачен тем, почему в этом деле замешана налоговая служба, но молча открыл им дверь. За дверью их ожидала довольно грязная квартира с высокими потолками. Здесь же стояли еще не полностью распакованные чемоданы из поездки. Накануне вечером мужчина заказал пиццу, и часть ее оставалась несъеденной на столе.
Янчевски вспоминает, как чувствовал мрачную тишину пустого дома этого человека, представляя отчаянный выбор, с которым он столкнулся прошлой ночью. Глядя с балкона на 11 этажей вниз, агент видел место в переулке внизу, где тротуар недавно был вымыт из шланга.
Столичная полиция округа Колумбия предложила показать агентам видео с камеры наблюдения, на котором мужчина разбился насмерть. Они вежливо отказались. Тем временем Управление таможенной и пограничной службы в Детройте подтвердило, что они обыскали компьютер, изъятый у мужчины в аэропорту — часть его памяти была зашифрована, а часть — нет — и обнаружили видео изнасилования детей, а также тайно записанные видео секса взрослых. Их решение нацелиться на этого мужчину послужило своей цели: их выбор оказался верен.
Прокуратура округа Колумбия ненадолго приостановила свою работу, чтобы встретиться и признать сюрреалистический шок от смерти человека — их расследование сайта, размещенного на другом конце света, уже привело к тому, что кто-то покончил с собой всего в нескольких кварталах от их офиса. «Это было просто напоминание о том, насколько серьезным было то, что мы расследовали», — говорит Фаруки. Тем не менее группа согласилась: они не могут позволить этому самоубийству отвлечь их от работы.
Янчевски говорит, что он бы предпочел, чтобы этого человека арестовали и предъявили обвинения. Но к этому моменту он уже был вынужден час за часом смотреть видео с сексуальным насилием над детьми. Он отложил в сторону свои эмоции в начале этого дела, поэтому у него было мало сочувствия к потребителю этих материалов.
Следующим в их списке был помощник директора средней школы. Всего несколько дней спустя Янчевски прилетел в Джорджию и присоединился к тактической группе агентов таможенной полиции, которые проводили поиски. Впервые он столкнулся лицом к лицу с предполагаемым клиентом «Welcome to Video» в его собственном доме.
Несмотря на его стоицизм, второй случай затронул Янчевски больше, чем цель в Вашингтоне. Аккуратный, ухоженный кирпичный двухэтажный дом. Родителей допрашивали в разных комнатах. Дети того же возраста, что и дети Янчевски, смотрят «Клуб Микки Мауса».
Янчевский и агенты оставались в доме достаточно долго, чтобы обыскать его, допросить мужчину и изъять его электронные устройства для анализа. Фаруки говорит, что в дополнение к свидетельствам о том, что мужчина платил за материалы на сайте «Welcome to Video», он также признался в «неуместном прикосновении» к ученикам в своей школе. Позже мужчине будет предъявлено обвинение в сексуальном насилии над несовершеннолетними, хотя он так и не признает себя виновным.
По крайней мере, для Янчевски все последние сомнения, которые он испытывал после своей первой очной ставки с подозреваемым, основанной только на отслеживании криптовалюты, рассеялись за считанные часы. «В конце дня я чувствовал себя более уверенно», — говорит он. «Мы были правы». Блокчейн не лгал.
Команда усердно работала над своим коротким списком высокоприоритетных целей и тестовых примеров «Welcome to Video». Но в декабре 2017 года они наткнулись на другую зацепку, которая снова изменила их приоритеты.
Отслеживая финансовые следы «Welcome to Video», следователи позаботились о том, чтобы записать все содержимое страницы с чатом сайта, где пользователи по-прежнему оставляли постоянный поток комментариев на фоне спама и троллинга, типичных для любого анонимного веб-форума. Сайт, казалось, был полностью немодерируемым: нигде не было видно ни электронной почты администратора, ни контакта службы поддержки. Но Янчевски начал замечать повторяющиеся сообщения от одной учетной записи, которые отдалённо напоминали контакты службы поддержки: «Свяжитесь с администраторами, если вам нужна помощь в исправлении ошибки». Он включал адрес Torbox, электронной почты на основе Tor, ориентированной на конфиденциальность.
Когда Янчевски пытался расшифровать, кто стоял за этими сообщениями, он проверил имя пользователя перед знаком «@» в адресе Torbox, уникальную строку из шести символов, чтобы увидеть, соответствует ли оно пользователю в «Welcome to Video». Конечно же, он обнаружил, что кто-то с таким же ником загрузил более сотни видео.
Аарону Байсу из компании Excygent пришла в голову идея использовать этот адрес электронной почты Torbox в базе данных, изъятой из BTC-e во время расследования криптообмена налоговым управлением. Байс нашел совпадение: одна учетная запись на BTC-e была зарегистрирована с адресом электронной почты, который содержал ту же самую уникальную строку из шести символов. Это был не адрес электронной почты Torbox, а адрес другого почтового сервиса, ориентированного на конфиденциальность, под названием Sigaint.
Янчевски знал, что Torbox и Sigaint, обе службы даркнета, не будут отвечать на законные запросы о предоставлении информации о своих пользователях. Но данные BTC-e включали IP-адреса 10 прошлых входов на биржу одного и того же пользователя. В 9 случаях из 10 IP-адрес был скрыт с помощью VPN или Tor. Но во время десятого посещения BTC-e пользователь ошибся: он оставил открытым свой настоящий домашний IP-адрес.
Трассировка показала, что IP-адрес ведет к домашнему интернет-соединению — на этот раз не в Корее, а в Техасе. Был ли второй администратор «Welcome to Video», на этот раз из США? Янчевски и Байс продолжали дергать за верёвочки с нарастающей срочностью, запрашивая информацию об учетной записи пользователя у своего интернет-провайдера.
Было утро пятницы, начало декабря, Янчевски пил кофе за своим столом в офисе налогового управления, когда он получил результаты повестки в суд. Он открыл письмо, чтобы найти имя и домашний адрес. Это был американец лет тридцати, живший в городке недалеко от Сан-Антонио. Но должность этого человека, когда Янчевски разобрался в присланных данных, поразила еще больше: он был еще одним сотрудником Министерства внутренней безопасности, на этот раз агентом пограничной службы.
Янчевски быстро начал собирать общедоступную информацию об этом агенте из своих аккаунтов в социальных сетях. Сначала он нашел страницу жены этого человека в соцсети, а затем учетную запись самого мужчины, где его имя было написано задом наперед. Байс также откопал его страницу на Amazon, где он оставил отзывы о сотнях продуктов и добавил другие в «список пожеланий», включая внешние устройства хранения, которые могут хранить терабайты видео, скрытые камеры и камеры, предназначенные для просовывания в небольшие узкие отверстия, например, просверленные в стене.
Наконец, с подкрадывающимся чувством страха, Янчевски выяснил, что у жены агента пограничной службы есть маленькая дочь, и что он создал краудфандинговую страницу на GoFundMe, чтобы собрать деньги для того, чтобы законно усыновить девочку. «Черт, — подумал Янчевски. «Он, что, загружал видео дочери?»
Янчевски переключился на «Welcome to Video» и обнаружил, что некоторые миниатюры видеороликов, загруженных человеком с этим именем пользователя, показывают сексуальное насилие над маленькой девочкой примерно того же возраста, что и дочь подозреваемого. Он понял, что теперь у него есть обязанность как можно скорее изолировать этого агента пограничной службы от его жертвы.
В течение следующих 10 дней Янчевски почти не покидал своего рабочего места. Он ехал домой, быстро обедал со своей семьей в их небольшом особняке в Арлингтоне, штат Вирджиния, а затем возвращался в офис, чтобы работать допоздна, часто звоня Байсу и Фаруки глубокой ночью.
Янчевски попросил их агента под прикрытием загрузить видео, которые были загружены подозреваемым агентом из Техаса, и начал изнурительный процесс просмотра их одного за другим. В нескольких видеороликах он заметил нечто, что встряхнуло подпрограммы сопоставления образов в его мозгу: в какой-то момент записи у девочки на видео была красная фланелевая рубашка, повязанная вокруг талии. Он оглянулся на фотографию девочки, размещенную на странице GoFundMe, и увидел ее: на ней была та же красная рубашка.
Был ли этот агент пограничной службы администратором сайта «Welcome to Video»? Модератором? Вряд ли это имело значение. Янчевски теперь считал, что нашел личность активного насильника детей, который жил со своей жертвой, записывал свои преступления и делился ими с тысячами других пользователей. Техасец занял первое место в их списке целей.
За две недели до Рождества, на 10-й день после того, как он опознал агента пограничной службы, Янчевски вылетел в южный Техас вместе с Томасом Тэмси из таможенной полиции и прокурором его команды, занимающимся вопросами эксплуатации детей, Линдси Саттенберг. Прохладным сухим вечером примерно в сотне миль от мексиканской границы Тэмси и группа полицейских штата Техас преследовали подозреваемого, когда тот ехал домой с работы. Позднее они остановили его. Вместе с группой агентов ФБР они доставили мужчину в ближайшую гостиницу для допроса.
Тем временем Янчевски и группа местных следователей из иммиграционной и таможенной полиции вошли в дом мужчины и начали искать улики. Двухэтажный дом был ветхим и грязным, вспоминает Янчевски, за исключением хорошо организованного кабинета мужчины на втором этаже, где они нашли его компьютер. По коридору из этого кабинета он прошёл к спальне девочки и сразу узнал в ней съёмочную площадку, где снимались видеоролики, загруженные мужчиной. На стене он заметил постер, который видел в записи, и на мгновение почувствовал, как будто провалился сквозь экран собственного компьютера в декорации фильма ужасов.
Агент налогового управления и прокурор привезли с собой агента ФБР с опытом в делах по эксплуатации детей. Он увёл девочку от агентов, обыскивающих её дом, в более безопасное место. В конце концов, девочка подробно рассказала ему о жестоком обращении, которому она подвергалась.
Вскоре после обыска дома подозревамеого Янчевски прибыл в номер отеля, где другие агенты допрашивали подозреваемого. Он впервые увидел цель своей одержимости последних полутора недель. Мужчина был высоким и крепким, он был одет в военную форму, его волосы уже начали редеть. Сначала он отказывался говорить о каком-либо физическом насилии, которое он мог совершить, но, в конце концов, он признался в хранении, распространении и, наконец, в создании видео с сексуальным насилием над детьми.
Янчевски поразило бесстрастное, почти клиническое описание человеком своих действий. Он дал следователям пароль к своему домашнему компьютеру, и агент, все еще находившийся у него дома, начал извлекать улики из компьютера и отправлять их Янчевски. Здесь были подробные электронные таблицы всех видео с сексуальной эксплуатацией детей, которые мужчина хранил на своих жестких дисках и, судя по всему, снимал у себя дома.
Другая таблица с компьютера мужчины содержала длинный список учетных данных других пользователей «Welcome to Video». На допросе мужчина объяснил свою схему: он выдавал себя за администратора в сообщениях, которые он размещал на странице чата сайта, а затем просил пользователей, которые попались на приманку, прислать ему свои логины и пароли, которые он использовал для входа в их учетные записи, чтобы получить доступ к видео этих пользователей.
Агент пограничной службы никогда не был администратором или модератором сайта «Welcome to Video», а был лишь особо коварным его посетителем, готовым обмануть таких же пользователей-извращенцев, чтобы удовлетворить собственные аппетиты.
После напряженных 10 дней агенты установили и арестовали еще одного предполагаемого растлителя детей и даже спасли его жертву. Но когда Янчевски летел обратно в Вашингтон, он знал, что гораздо более обширная сеть «Welcome to Video» осталась практически нетронутой. И пока они не закроют сам сайт, он будет продолжать показывать свои видео — в том числе те самые, которые агент пограничной службы загрузил из своего домашнего кабиента в Техасе — анонимной толпе потребителей, таких же, как он.
2. SERACH VIDEO
В Тайланде уже наступил вечер, когда Левин поговорил с Крисом Янчевски и Тиграном Гамбаряном. Той ночью в начале июля 2017 года два специальных агента Налогового управления США по уголовным расследованиям сидели в бангкокском аэропорту Суварнабхуми, переживая из-за разочарования, вызванного тем, что они оказались в стороне от крупнейшего в истории уничтожения даркнет-рынка.
К 2017 году IRS (налоговое управление США) стало обладателем одних из самых искусных отслеживателей криптовалюты в правительстве США. Именно Гамбарян отследил биткойны двух коррумпированных агентов в расследованиях Silk Road, а затем раскрыл дело об отмывании денег BTC-e. Работая с Левиным, Гамбарян даже отследил сервер AlphaBay, обнаружив его в центре обработке данных в Литве.
Тем не менее, когда Гамбарян и Янчевски прибыли в Бангкок для ареста администратора AlphaBay, франко-канадца Александра Казеса, они были в значительной степени исключены из ближайшего окружения агентов Управления по борьбе с наркотиками и ФБР, которые руководили операцией. Их не пригласили ни на место ареста Казеса, ни даже в офис, где другие агенты и прокуроры смотрели прямую трансляцию задержания.
Для Гамбаряна и Янчевски история была совершенно типичной. Агенты отдела уголовных преступлений налогового управления США занимались детективной работой, носили оружие и производили аресты, как и их коллеги из ФБР и Управления по борьбе с наркотиками. Но из-за безвкусного имиджа IRS они часто обнаруживали, что коллеги-агенты обращались с ними как с бухгалтерами. «Только не устраивайте нам аудит», — шутили их коллеги из других правоохранительных органов, когда их представляли на собраниях.
Находясь в Бангкоке, Гамбарян и Янчевски проводили большую часть своего времени, лениво размышляя о том, каким должно быть их следующее дело, просматривая программное обеспечение Reactor для отслеживания цепочки блоков Chainalysis, чтобы провести мозговой штурм. Рынки даркнета, такие как AlphaBay, похоже, превратились в руины благодаря операции в Таиланде, и им потребуются месяцы или даже годы, чтобы снова набрать обороты. Ведь рынки в даркнете ворочают миллиардами долларов, и от столь прибыльного бизнеса отказываться никто не собирался. Агенты рассматривали возможность захвата игорного сайта в даркнете. Но нелегальные онлайн-казино вряд ли стоили их внимания.
В день отъезда из Таиланда Гамбарян и Янчевски прибыли в аэропорт только для того, чтобы обнаружить, что их рейс в Вашингтон сильно задерживается. Застряв в терминале на несколько часов, они сидели в полудрёме и скучали, буквально уставившись в стену. Чтобы скоротать время, Гамбарян решил попробовать позвонить Левину из Chainalysis, чтобы обсудить следующие дела. Когда Левин поднял трубку, оказалось, что у него есть новости. Он искал веб-сайт, который не вписывался в число обычных целей Налогового управления, но надеялся, что агенты захотят его проверить. Этим сайтом был «Welcome to Video».
Случаи сексуальной эксплуатации детей традиционно находились в центре внимания расследований агентств ФБР и Службы внутренней безопасности, но никак не IRS (Налогового управления США). Отчасти это было связано с тем, что изображения и видео с сексуальным насилием над детьми чаще всего распространялись без использования перехода денег из рук в руки, что следователи назвали системой «торговли бейсбольными карточками», что выводило их за пределы сферы действия IRS. Но «Welcome to Video» отличался от них. Этот сайт имел денежный след, и этот след казался очень четким.
Вскоре после возвращения в округ Колумбия Гамбарян и Янчевски наняли технического аналитика по имени Аарон Байс из контрактной технологической фирмы Excygent, с которым они исследовали криптовалютную биржу BTC-e. Вместе они набросали утилиту «Welcome to Video» для работы в Reactor и увидели то, что Левин понял мгновенно: как ярко этот сайт представлял собой цель. Перед ними была раскрыта вся его финансовая анатомия, тысячи сгруппированных биткойн-адресов, многие из которых были с едва скрытыми платежами и выплатами на биржах, которые, как они знали, могли использовать для идентификации информации. Вскоре Янчевски передал дело Зии Фаруки, федеральному прокурору, который сразу же поддался идее взяться за «Welcome to Video» и официально начал расследование.
Гамбарян, Янчевски, Байс и Фаруки составили необычную команду, которая сосредоточилась на разоблачении масштабной сети эксплуатации детей. Янчевски был высоким агентом со Среднего Запада с квадратной челюстью. Он представлял собой симбиоз Эдварда Нортона и Криса Эванса. Он надевал очки в роговой оправе, когда смотрел на экран компьютера. Он был завербован в команду по компьютерным преступлениям округа Колумбия из офиса IRS в Индиане после того, как доказал свою храбрость в борьбе с терроризмом, торговлей наркотиками, коррупцией в правительстве и делами об уклонении от уплаты налогов. Байс был экспертом в области анализа данных и, по словам Янчевски, работал как машина. Фаруки был опытным помощником прокурора США с большим опытом судебного преследования в делах об угрозах национальной безопасности и отмывании денег. Он обладал почти маниакальной сосредоточенностью и интенсивностью, говорил комично быстро и, как казалось его коллегам, почти не спал. А еще в команде был Гамбарян, агент с взъерошенными волосами и аккуратно подстриженной бородой, который к 2017 году сделал себе имя специалиста по криптовалюте IRS и специалиста по даркнету. Фаруки называл его «Биткойн-Иисус».
Команда начала понимать, что, каким бы простым ни казалось это дело, на самом деле оно было ошеломляющим по своей сложности.
При этом ни один из них никогда ранее не занимался делом о сексуальной эксплуатации детей. У них не было опыта работы с изображениями и видео жестокого обращения с детьми, простое хранение которых обычными американцами уже представляло собой уголовное преступление. Они даже никогда не видели такого рода материалы, и у них не было эмоциональной или психологической подготовки к графическому характеру того, с чем им предстояло столкнуться.
Тем не менее, когда два агента показали Фаруки то, что они увидели в блокчейне, прокурора не смутила их коллективная неопытность в сфере эксплуатации детей. Как юрист, специализирующийся на делах об отмывании денег, он не видел причин, по которым, имея доказательства преступных платежей, которые ему передали Янчевски и Гамбарян, они не могли рассматривать «Welcome to Video» как, по сути, финансовое расследование.
Когда Янчевски и Гамбарян впервые скопировали громоздкий веб-адрес, содержащий бессвязные буквы и цифры, в свои браузеры Tor, их приветствовал ничем не примечательный сайт со словами «Welcome to Video (Добро пожаловать в видео)» и приглашением для входа в систему. Янчевски сравнил минимализм начальной страницы этого сайта со стартовой страницей Google. Каждый из членов команды зарегистрировал собственное имя пользователя и пароль и вошел.
За первой страницей приветствия на сайте отображалась обширная, казалось бы, бесконечная коллекция заголовков видео и их значков, выстроенных в квадраты по четыре кадра, по-видимому, автоматически набранных из кадров каждого файла. Эти маленькие изображения представляли собой каталог ужасов: сцена за сценой в них демонстрировалось сексуальное насилие над детьми.
Агенты мысленно настроились на то, чтобы увидеть эти изображения, но они все еще не были готовы к реальности. Янчевски помнит, какой шок он испытал, увидев один лишь миниатюры видео, и как его мозг почти отказывался воспринимать происходящее на экране. Он обнаружил, что на сайте есть страница поиска, написанная с ошибками: «Serach video» вместо «Search video». Под полем поиска были перечислены популярные ключевые слова, введенные пользователями. Самым популярным был запрос «годовалый». Вторым по популярности значился запрос «двухлетний».
Янчевски сначала подумал, что, должно быть, он что-то неправильно понял. Он ожидал увидеть записи сексуального насилия над подростками или, возможно, детьми, но среднего возраста. Однако, прокручивая страницу, он с нарастающим отвращением и негодованием обнаружил, что сайт переполнен видеороликами о жестоком обращении с малышами и даже младенцами.
«Это что, правда? Не может быть», — говорил Янчевски, оцепенело рассказывая о своей реакции, когда он впервые просматривал сайт. «Неужели здесь так много видео? Нет. Это не может быть правдой».
Два агента знали, что в какой-то момент им действительно придется посмотреть хотя бы некоторые из предлагаемых видео. Но, к счастью, при первом посещении сайта они не смогли получить к ним доступ; для этого им нужно было перечислить биткойны по адресу, который сайт предоставлял каждому зарегистрированному пользователю. За биткойны они могли приобрести «токены», которые затем можно обменять на загрузки. А поскольку они не были агентами под прикрытием, у них не было разрешения покупать эти токены, да они и не особо стремились к этому.
Внизу на нескольких страницах сайта была дата авторского права: 13 марта 2015 года. То есть сайт «Welcome to Video» был запущен уже более двух лет назад. Даже с первого взгляда было ясно, что он превратился в одно из самых больших хранилищ видео с сексуальным насилием над детьми, с которыми когда-либо сталкивались правоохранительные органы.
«Вы не можете прекратить изнасилования детей, просто пытаясь отключить сервер в Южной Корее». Простое отключение сайта не было их первоочередной задачей.
Когда Янчевски и Гамбарян проанализировали механику сайта, они увидели, что пользователи могли получать токены, не только оплатив их, но и загрузив собственные видео. Чем больше этих видео впоследствии скачивали другие пользователи, тем больше токенов зарабатывал загрузивший его человек. «Не загружайте порно со взрослыми», — гласила страница загрузки, последние два слова были выделены красным для большей выразительности. Страница также предупреждала, что загружаемые видео будут проверяться на уникальность; будут приниматься только новые материалы - функция, которая, по мнению агентов, была специально разработана для поощрения большего числа загрузок таких видео.
Гамбарян уже много лет охотился за преступниками всех мастей, от мелких мошенников до коррумпированных коллег из федеральных правоохранительных органов и киберпреступников. Обычно он чувствовал, что может в общих чертах понять их намерения. Иногда он даже сочувствовал им. «Я знавал торговцев наркотиками, которые, вероятно, были более достойными людьми, чем некоторые белые воротнички, уклоняющиеся от уплаты налогов», — размышлял он. «Я мог бы быть связан с некоторыми из этих преступников. Их мотивация — обыкновенная жадность».
Но теперь он попал в мир, где люди совершали зверства, природы которых он не понимал. Они движимы мотивами, которые были ему совершенно неведомы. После детства в раздираемой войной Армении и постсоветской России, а также карьеры, связанной с преступным миром, он считал себя знакомым с худшими проявлениями того, на что способны люди. Теперь он чувствовал, что был наивен: его первый взгляд на «Welcome to Video» обнажил и уничтожил скрытый остаток его идеализма в отношении человечества. «Это немного убило меня», — говорит Гамбарян.
Как только они воочию увидели, что на самом деле представляет собой «Welcome to Video», Гамбарян и Янчевски поняли, что дело требовало срочности, выходящей за рамки их обычного расследования в среде даркнета. Каждый день, проведенный сайтом онлайн, приводил к еще большему насилию над детьми.
Гамбарян и Янчевски знали, что их улики все еще лежат в блокчейне. Важно отметить, что на сайте, похоже, не было механизма, с помощью которого клиенты могли бы снимать деньги со своих счетов. На сайте был только адрес, по которому они могли оплатить токены; не было даже модератора, чтобы попросить возмещение. Это означало, что все деньги, которые они могли видеть утекающими с сайта — биткойны на сумму более 300 000 долларов на момент транзакций — почти наверняка принадлежали администраторам сайта.
Гамбарян начал связываться со своими знакомыми в биткойн-сообществе, ища сотрудников на биржах, которые могли бы знать руководителей двух корейских бирж, Bithumb и Coinone, на которые была обналичена большая часть денег с «Welcome to Video», а также одной американской биржи, на которую поступила небольшая часть всех средств. Он обнаружил, что простое упоминание об насилии над детьми испарило обычное сопротивление криптовалютной индустрии вмешательству правительства. Еще до того, как он отправил официальный юридический запрос или повестку в суд, сотрудники всех трех бирж были готовы помочь. Они пообещали, как только смогут, предоставить ему реквизиты счета для адресов, которые он вытащил из Reactor.
Тем временем Гамбарян продолжал исследовать сам сайт «Welcome to Video». Зарегистрировав учетную запись на сайте, он решил попробовать некую базовую проверку его защищённости. Он щелкнул правой кнопкой мыши по странице и в появившемся меню выбрал «Просмотреть исходный код страницы». Это дало бы ему возможность взглянуть на необработанный HTML-код сайта до того, как браузер Tor преобразовал его в графическую веб-страницу. Во всяком случае, смотреть на массивный блок кода лучше, чем смотреть на бесконечный клубок жалкой человеческой испорченности.
Он почти мгновенно заметил то, что искал: IP-адрес. IP-адрес – это уникальный цифровой адрес компьютера в сети. К удивлению Гамбаряна, каждое миниатюрное изображение на сайте отображало в HTML-коде сайта IP-адрес сервера, на котором оно было физически размещено: 121.185.153.64. Он скопировал эти 11 цифр в командную строку своего компьютера и запустил базовую утилиту traceroute, следуя по пути через Интернет обратно к местоположению исходного сервера.
К его удивлению, результаты показали, что этот компьютер вообще не был закрыт анонимной сетью Tor; Гамбарян смотрел на настоящий, незащищенный адрес сервера «Welcome to Video». Подтверждая первоначальную догадку Левина, сайт был размещен на домашнем соединении интернет-провайдера в Южной Корее, за пределами Сеула.
Администратор «Welcome to Video», похоже, совершил типичную ошибку новичка. Сам сайт был размещен в Tor, но эскизы изображений, которые он собрал на своей домашней странице, оказались взяты с того же компьютера за пределами маршрутизации соединения через Tor, возможно, в ошибочной попытке ускорить загрузку страницы.
Гамбарян не мог сдержаться: сидя перед экраном своего компьютера в своём кабинете в округе Колумбия, глядя на обнаруженное местонахождение администратора веб-сайта, чей арест, как он чувствовал, приближался, агент разразился смехом.
Янчевски находился на полигоне в Мэриленде, ожидая своей очереди на стрельбу, когда он получил электронное письмо от американской криптовалютной биржи, которую его команда вызвала в суд. В нем содержалась идентифицирующая информация о подозреваемом администраторе «Welcome to Video», который обналичивал там заработок с сайта.
Во вложениях к электронному письму был изображен кореец средних лет с адресом за пределами Сеула, что точно подтверждает IP-адрес, который нашел Гамбарян. В документах даже была фотография мужчины, держащего свое удостоверение личности, по-видимому, чтобы подтвердить свою личность при регистрации на американской бирже.
На мгновение Янчевски показалось, что он смотрит на администратора «Welcome to Video» лицом к лицу. Но он понимал, что здесь всё не так просто: у человека на фотографии были заметно грязные руки, с землей, застрявшей под ногтями. Он больше походил на сельскохозяйственного рабочего, чем на компьютерного гения, который администрирует один из самых мерзких сайтов в даркнете.
В течение следующих дней, пока другие биржи реагировали на повестки в суд, начал вырисовываться ответ. Одна корейская биржа, а затем другая отправили Гамбаряну документы о мужчинах, которые контролировали адреса обналичивания «Welcome to Video». Они назвали не только этого мужчину средних лет, но и гораздо более молодого, 21- летнего мужчину, по имени Сон Чжон Ву. Оба указали один и тот же адрес и одну и ту же фамилию. Являлись ли они отцом и сыном?
Агенты считали, что приближаются к администраторам сайта. Но они пришли к пониманию, что простое закрытие сайта или арест его администраторов вряд ли послужит интересам правосудия. Созвездие биткойн-адресов, которые «Welcome to Video» сгенерировало в блокчейне, представляет собой обширную, оживленную связь как потребителей, так и, что гораздо важнее, производителей материалов о сексуальном насилии над детьми.
К этому моменту прокурор Зия Фаруки привлек на помощь команду других прокуроров, в том числе Линдси Саттенберг, помощника прокурора США, специализирующуюся на делах, связанных с эксплуатацией детей. Она отметила, что даже отключение сайта не обязательно должно быть их первоочередной задачей. «Вы не можете позволить изнасиловать ребенка, пока пытаетесь отключить сервер в Южной Корее», — подытожил Фаруки ее доводы.
Команда начала понимать, что, каким бы простым ни казался этот случай поначалу, после простой идентификации администраторов сайта он на самом деле был ошеломляющим по своей сложности. Им нужно будет проследить за деньгами не только к одному или двум веб-администраторам в Корее, но и от этой центральной точки к сотням потенциальных подозреваемых — как активных злоумышленников, так и их соучастников — пособников — по всему миру.
Обнаружение Гамбаряном IP-адреса сайта и быстрое сотрудничество с криптовалютными биржами оказались удачей. Однако настоящая работа была еще впереди.
Для всех поклонников футбола Hisense подготовил крутой конкурс в соцсетях. Попытайте удачу, чтобы получить классный мерч и технику от глобального партнера чемпионата.
А если не любите полагаться на случай и сразу отправляетесь за техникой Hisense, не прячьте далеко чек. Загрузите на сайт и получите подписку на Wink на 3 месяца в подарок.
Реклама ООО «Горенье БТ», ИНН: 7704722037
Алаа Мохаммед Аллави, гражданин США иракского происхождения, был приговорен к 30 годам тюремного заключения за распространение в даркнете большого количества запрещенных наркотиков с добавлением фентанила.
Аллави, который работал переводчиком в армии США в Ираке, жил в Техасе и использовал интерет для продажи поддельных таблеток с фентанилом. Схема включала в себя сложную операцию, которая включала подпольное производство, использование даркнета для распространения таблеток и привлечение студентов колледжей в качестве клиентов.
Расследование началось в 2016 году и завершилось в мае 2017 года, когда власти выдали ордер на обыск тайника Аллави в округе Форт-Бенд, штат Техас.
В ходе обыска было обнаружено по полкилограмма порошка фентанила, кристаллического метамфетамина и кокаинового порошка, а также 10 килограммов таблеток гидрокодона с добавлением фентанила, четыре килограмма таблеток Аддералла с добавлением метамфетамина, пять килограммов таблеток ксанакса, несколько таблеток промышленного размера. прессы и четыре единицы огнестрельного оружия.
Всего, по оценкам, Аллави распространил около 850 000 таблеток, в том числе оксикодон с добавлением фентанила, аддералл с добавлением метамфетамина и ксанакс.
Парень за 5 лет постоил целую империю сбыта, благодаря навыкам сисадминства. Он также оказался неплохим инженером: купил ручной пресс для таблеток на eBay за $600, в конечном итоге модернизировав его до электрической машины весом 250кг за $5000, способной клепать 21 600 таблеток в час. Он также использовал eBay для покупки неактивных ингредиентов, содержащихся в большинстве пероральных лекарств, таких как красители. 23 мая 2015 года Аллави создал учетную запись на AlphaBay.
Не знаю ещё ни одного случая, когда наркотики приводят к чему-то хорошему.
P.S.: Лучше бы джуном куда-нибудь устроился.