Pubblicati i dettagli sulla chiusura dei black market Alphabay e Hansa

di | 21 Luglio 2017

L’FBI ha comunicato ufficialmente ieri l’esito dell’operazione che ha portato alla chiusura dei due black market Alphabay e Hansa Market, dove centinaia di migliaia di criminali acquistavano e vendevano illegalmente droghe, armi, strumenti di hacking, identità rubate e ogni tipo di beni e servizi illeciti. Il dark market Alpha Bay era un hidden service ONION attivo sulla rete Tor da un paio di anni e gli inquirenti stimano che avesse gestito oltre un miliardo di compravendite in Bitcoin e altre criptovalute.

Chiusura del black market AlphaBay su Tor da parte dell'FBI

L’azione è stata frutto di sforzi congiunti da parte di Forze dell’Ordine di tutto il mondo e ha portato – in collaborazione con le autorità locali di diversi paesi – al sequestro e confisca delle criptomonete (Bitcoin, Zcash, Monero ed Ethereum) frutto delle attività illecite dei due mercati neri. Un team dedicato di agenti dell’FBI, analisti d’intelligence e personale di supporto ha collaborato con investigatori di tutto il mondo per chiudere il sito e interrompere lo scambio di beni e servizi fuorilegge. In contemporanea, centinaia di squadre si sono coordinate per gestire le indagini in segreto, evitando così d’insospettire i personaggi che poi sarebbero stati arrestati.

A luglio diversi server sui quali era ospitato il sito AlphaBay sono stati sequestrati in contemporanea con l’arresto dell’autore e amministratore del sito, un ragazzo canadese di 25 anni che si trovavain Taliandia. Alexandre Cazes – il nome del ragazzo, che nel dark market si faceva chiamare “Alpha02” e “Admin” – è stato arrestato dalle autorità Tailandesi su richiesta degli Stati Uniti il 5 luglio 2017. Una settimana dopo sembra si sia tolto la vita all’interno di un carcere Tailandese.

AlphaBay ere un black market totalmente nascosto dalla rete Tor, per questo motivo gli amministratori erano certi che non si riuscissero a ricavare dati dai server né informazioni circa gli utenti. Sapevano di essere monitorati ma pensavano di essere protetti dalla rete Tor. L’FBI con le divisioni che hanno collaborato all’indagine hanno utilizzato una combinazione di tecniche investigative tradizionali con nuovi strumenti tecnici per arrivare a identificare e colpire autori e sito web.

Indictment di Alexandre Cazes per la chiusura del black market Alpha BayPer chi è interessato ad approfondire, è stato pubblicato l’indictment nei confronti di Alexandre CAZES, una sorta di iscrizione al Registro Generale delle Notizie di Reato contenente la descrizione del caso e i dettagli dell’indagine. Dal documento emerge come gli inquirenti abbiano stimato le commissioni dei gestori del sito in decine di milioni di dollari, frutto della gestione del mercato nero nel dark web.

Dietro al market non c’era soltanto Alexandre Cazes ma si nascondevano operatori e amministratori dislocati in tutto il mondo, una sorta di organizzazione distribuita che si occupava di mantenere attivo il sistema, fornire agli utenti sistemi per ripulire il denaro tramite mixer e tumbler, monitorare le transazioni e mantenere alta la reputazione del sito.

Dalla ricostruzione degli investigatori dell’FBI, il sito Alpha Bay è stato lanciato nel dicembre 2014 da Cazes con la collaborazione di diversi individui che lui comunque gestiva e controllava, incluso un amministratore della sicurezza e diversi moderatori, venditori e migliaia di utenti. Nell’organigramma era presente persino personale di controllo antiscam, per identificare tentativi di truffa e phishing a danni degli utenti del black market e responsabili delle relazioni con il pubblico, che facevano uso di forum nel dark web ma anche nel clear web (es. reddit) per pubblicizzare i servizi del sito.

Il resto del documento è un lungo elenco di reati per i quali Cazes viene accusato, con i dettagli sugli agenti sotto copertura ai quali ha venduto droga e documenti falsi oltre alle procedure di sequestro dei beni di Cazes che sarebbero state avviate nei giorni successivi.

Forfeiture Complaint di Alexandre Cazes per indagine AlphabayA proposito del sequestro di beni di Cazes, è disponibile il Complaint for Forfeiture in Rem (una sorta di verbale di sequestro) dove vengono elencati beni mobili e immobili sequestrati al ragazzo, incluse una Lamborghini, una Porsche Panamera, una Mini Cooper, diversi conti bancari tra i quali alcuni intestati a suo nome o alla “Bitcoin Company Ltd.”  e una serie di criptovalute, tutte sequestrate e confiscate dal Governo Americano.

La parte relativa al sequestro e confisca delle criptovalute è interessante dal punto di vista accademico e investigativo perché mostra come per le diverse monete matematiche sequestrate (Bitcoin, Ethereum, Monero e ZCash) l’Autorità Giudiziaria ha proceduto a trasferire il denaro su “indirizzi sicuri controllati dal Governo”, in modo tale da poter controllare le somme sequestrate e prevenire eventuali tentativi di terzi di riappropriarsene. Ricordiamo, per quanto sia banale, che non è sufficiente sequestrare il PC sul quale è installato il Wallet, né copiare le chiavi private degli indirizzi sui quali sono depositate le somme di denaro, né ricostruire eventuali codici mnemonic di Wallet HD.

Come in altri casi di sequestro e confisca di criptovalute, anche in questa operazione delle Forze dell’Ordine ricaviamo che gli investigatori hanno avuto accesso alle chiavi private o ai Wallet, dei quali hanno ottenuto la password per decifrare le chiavi private e poter firmare le transazioni verso gli indirizzi istituzionali. Per quanto riguarda i server AlphaBay, sembra che i wallet non fossero criptati ma lo erano i dischi (“encrypted container”)

tra l’altro per trasparenza tutti elencati con il resoconto preciso delle quantità di bitcoin trasferiti e messi al sicuro:

  • Approximately 1,605.0503851 Bitcoins seized from Alexandre CAZES and moved to secure government-controlled Bitcoin addresses: 18yWFVddqNrGE966zwXTpyJgYJgr82SvMs (837.81699505 BTC) and 1NXoCQLQqgaQU2cpBGtXTZ8NVm1cGnYD6p (721.76756789 BTC),
  • Approximately 8,309.271639 Ethereum seized from Alexandre CAZES and moved to secure government-controlled Ether address: 0x41CC3B9213DE6FF4a8Ea85306326B00D18145E65,
  • Approximately 3,691.98 Zcash seized from Alexandre CAZES and moved to secure government-controlled address t1UAr3j9Hyt1oCMygsSLr7S3pLMuKBoNgLg,
  • Any and all Monero seized from Alexandre CAZES’ personal computer and wallet addresses,
  • Approximately 293.79476862 Bitcoin moved from server 3203 into secure government- controlled Bitcoin address 1BBTk41STWuffTfvRrsovX7X8puhDpFofk,
  • Approximately 43.05943697 Bitcoin moved from server 3164 into secure government- controlled Bitcoin address 1BBTk41STWuffTfvRrsovX7X8puhDpFofk,
  • Approximately 360.384477 Ethereum moved from server 8131 into secure government- controlled Ether address 0x356114879f72f4bFFB343B0003DEED7944B4D31d,
  • Approximately 11,993.15882 Monero moved from server 10073 into secure government-controlled Monero address 47gSEo9DJCZfsYrPijJ1QpLksePfjNoBA6mUtQXAW6xBVz6GwEkgYaQf2PDBhm5fXUfozLWYpCxK2FmyZ29bWmZBKhXqKZo,
  • Any and all cryptocurrency contained in wallet files residing on AlphaBay servers, including the servers assigned the internet protocol addresses: XX.XXX.XX. 146 (“Server 11205”), XX.XXX.XXX. 163 (“Server 6223”), XXX.XXX.XXX.225 (“Server 3203a”), XXX.XXX.XXX.61 (“Server 3203b”), XXX.XXX.XXX.77 (“Server3164”),XX.XXX.XXX.130(“Server8131”), XX.XXX.XX. 168 (“Server 10073 ”), and
  • Any and all cryptocurrency seized from the personal computer, wallet addresses, and media of Alexandre CAZES. (Collectively referred to as “defendant assets”).

Durante le attività di sequestro, la comunità di utenti di AlphaBay ha notato scomparire i propri wallet e ha tentato di capire dove stessero finendo i fondi, scoprendolo poi una volta comunicato l’esito dell’indagine, dell’arresto e del sequestro di Bitcoin, ZCash, Monero ed Ethereum. Si noti che non sono stati utilizzati indirizzi multisig per il sequestro, ma indirizzi a chiavi private singole: sarebbe interessante conoscere i dettagli della catena di conservazione di tali chiavi private, considerando che chi le possiede (basta anche soltanto una fotografia o ricordarsi le parole di un eventuale mnemonic se il wallet è stato creato tramite sistemi come il BIP32 o BIP 39) può trasferire con un click e in totale anonimato svariati milioni di dollari. Si pensi ad esempio che l’indirizzo 18yWFVddqNrGE966zwXTpyJgYJgr82SvMs su cui le Autorità USA hanno riversato una parte dei bitcoin sequestrati contiene quasi due milioni di euro.

Indirizzo bitcoin 18yWFVddqNrGE966zwXTpyJgYJgr82SvMs su cui è stato riversato l'importo sequestrato a Cazes

Anche in Ethereum le cifre possedute da Cazes e dal black market Alpha Bay erano notevoli: basti pensare che l’indirizzo 0x41CC3B9213DE6FF4a8Ea85306326B00D18145E65 sul quale l’FBI (Federal Bureau of Investigation) e la DEA (Drug Enforcement Administration) hanno riversato gli Ethereum soggetti a sequestro contiene quasi 2 milioni di euro.

Indirizzo 0x41CC3B9213DE6FF4a8Ea85306326B00D18145E65 utilizzato per il sequestro dei fondi AlphaBay

Il documento con i dettagli del sequestro di Bitcoin, Ethereum, Zcash e Monero riporta, nella seconda parte, anche i dettagli dell’indagine che ha portato all’identificazione e all’arresto, che sono certamente particolari. Per arrivare a Cazes sono state sfruttate – almeno così riporta il documento – diverse sue “leggerezze”, come usare il suo indirizzo privato “Pimp_Alex_91@hotmail.com” nel suo profilo di Admin e inviarlo in chiaro nelle email inviate agli utenti che intendevano recuperare la password, usare lo stesso indirizzo anche su Paypal arrivando persino a spiegare in un forum come rimuovere un virus da immagini digitali firmandosi con lo username “Alpha02” e il suo nome e cognome.

Una volta identificato e avviata l’irruzione presso il domicilio di Cazes, gli investigatori lo hanno trovato loggato sul sito AlphaBay come “Admin”, con le password memorizzate sul PC mentre era in contatto con uno dei datacenter su cui era attivo AlphaBay per tentare di risolvere un problema di oscuramento del sito causato in realtà proprio dalle Forze dell’Ordine.

Poco dopo la chiusura di AlphaBay, le autorità Olandesi hanno sferrato l’attacco contro il black market Hansa Market, causandone la chiusura. Paradossalmente, con la chiusura di Alpha Bay buona parte dei venditori e compratori era passata ad Hansa Market pensando di poter continuare lì le proprie attività illecite.

Chiusura del black market hidden service ONION "Hansa Market"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *