Pedofile złapani dzięki bitcoinom

Historia likwidacji pedofilskiej witryny zaczęła się w 2017 roku od śledztwa brytyjskiej NCA (National Crime Agency) w sprawie Matthew Faldera z Manchesteru, który podając się za artystę, wyłudzał od użytkowników serwisów internetowych nagie zdjęcia. Falder grożąc, że przekaże zdjęcia rodzinom swoich ofiar, zmuszał je do nagrywania filmów z różnego rodzaju dramatycznymi czynami, między innymi samookaleczeniami i napastowaniem seksualnym. Przestępca skrzywdził 50 osób, z których kilka próbowało popełnić samobójstwo. Agenci NCA przeszukując komputery Faldera, odkryli, że był on zarejestrowany w serwisie Welcome to Video, który okazał się witryną umożliwiającą wymianę materiałów wideo przedstawiających seksualne wykorzystywanie dzieci (CSAM).

Welcome to Video był serwisem działającym w darknecie i pośredniczył w wymianie CSAM za opłatą w bitcoinach. Te z pozoru anonimowe płatności są transakcjami trwale zapisanymi w rozproszonej bazie danych typu blockchain. Oznacza to, że chociaż w blockchainie nie odnajdziemy danych stron wymiany kryptowaluty, to możliwe jest śledzenie przepływów między adresami w sieci i przy zastosowaniu odpowiedniej metodyki można wykryć nadawcę oraz odbiorcę środków. To właśnie tym zajmuje się firma Chainalysis, z której usług korzysta wiele światowych trzyliterowych agencji bezpieczeństwa.

Zobacz również:

• Najlepsze antywirusy dla macOS 2023
• Działo się w 2022 roku! O tych rzeczach będziemy pamiętać

Należy do nich również NCA, której pracownicy zwrócili uwagę na przepływy w sieci bitcoina, prowadzące na portfele Welcome to Video. Sprawą zainteresował się Jonathan Levin, współtwórca Chainalysis. Zwrócił on uwagę, że wpłat są tysiące i większość z nich nie jest w żaden sposób „zaciemniona”, to znaczy często prowadzi wprost z adresów należących do użytkowników giełd kryptowalut do portfeli Welcome to Video. Levin odkrył także, że z adresów witryny wypłacano środki prawie zawsze na dwóch koreańskich giełdach – Bithumb i Coinone oraz Huobi w Chinach.

Jonathan Levin postanowił podzielić się tymi informacjami z dwoma agentami IRS-CI (pion śledczy amerykańskiej skarbówki), ponieważ sprawa dotyczyła także transferów na amerykańskiej giełdzie kryptowalut BTC-e. Agenci IRS Tigran Gambaryan i Chris Janczewski zatrudnili do analizy cyfrowych „przelewów” Aarona Bice z firmy Excygent. Badania potwierdziły wnioski Levina i agenci powiadomili o sprawie prokuratora federalnego Zia Faruquia, a ten zarządził śledztwo w sprawie pedofilskiej witryny.

Śledztwo, trauma agentów i pierwsi podejrzani

Chociaż Gambaryan i Janczewski niejedno widzieli podczas swoich karier, zawartość Welcome to Video zaskoczyła ich swoim poziomem deprawacji i znieczulicy. Filmy udostępniane przez użytkowników z całego świata zawierały sceny gwałtów na kilkuletnich dzieciach, a nawet niemowlętach. Obaj agenci podczas dochodzenia musieli obejrzeć kilkanaście filmów, co, jak mówią, na zawsze zmieniło ich spojrzenie na świat. Zrozumieli jednocześnie, że najważniejszym celem jest teraz dla nich przerwanie tego szaleństwa.

W odnalezieniu pierwszego tropu pomógł przypadek. Gambaryan w trakcie sprawdzania zawartości strony postanowił zajrzeć do jej źródła, czyli przejrzeć kod HTML. Miał szczęście. Twórcy strony byli nieostrożni i w kodzie znalazł się prawdziwy adres IP serwera. Chociaż witryna działała w „ciemnej sieci”, to filmy ładowały się wprost z serwera, być może ze względu na szybkość transmisji. Odnaleziony adres IP wskazywał na prywatne mieszkanie w Korei Południowej. Jednocześnie Janczewski otrzymał e-maila z giełdy BTC-e ze zdjęciami Koreńczyka w średnim wieku, który wpłacał na tę platformę bitcoiny z portfela należącego do Welcome to Video. Wystarczyło teraz połączyć tę osobę z adresem IP z witryny i domniemany administrator byłby w zasięgu agentów. Należało jeszcze tylko przekonać do współpracy koreańskie służby…

Użytkownicy Welcome to Video – amerykańskie tropy

Na jesieni 2017 roku zespół śledczych rozpoczął poszukiwania poszczególnych użytkowników strony Welcome to Video. Polegały one na analizie „przelewów” kryptowalut i wysyłaniu do platform wymiany oraz handlu wniosków o udostępnienie danych osób realizujących transfery. Dzięki tej pracy stworzono profile setek mężczyzn, z których niektórzy byli obywatelami USA, a nawet… pracownikami amerykańskiej administracji państwowej!

Pierwszym podejrzanym, którego wziął pod lupę zespół Janczewskiego, był mieszkaniec Waszyngtonu, zatrudniony w przeszłości w Kongresie, a obecnie zajmujący wysokie stanowisko w znanej organizacji ekologicznej. Tropem, który doprowadził agentów do tego człowieka, był jego rejestr podróży. Okazało się, że przebywa on obecnie na Filipinach i niedługo wraca do Stanów. Po koniec października mężczyznę zatrzymano na lotnisku Detroit Metropolitan i po krótkim przesłuchaniu wypuszczono. Jednak jego laptop i telefon pozostały w rękach służb…

Traf chciał, że pierwszy użytkownik Welcome to Wideo, którego postanowili „prześwietlić” amerykańscy agenci, nie tylko mieszkał w Waszyngtonie, ale nawet w tym samym budynku, w którym miał mieszkanie jeden z prokuratorów zaznajomionych ze sprawą. To on pierwszy przekonał się o tym, że podejrzany, a jednocześnie jego sąsiad, nie pomoże w postępach śledztwa. W kilka dni po jego zatrzymaniu prokurator otrzymał e-maila od administracji budynku, że pewna część terenu będzie tymczasowo wyłączona z użytkowania, ponieważ ktoś wykonał samobójczy skok z okna… Na laptopie ekologicznego aktywisty służby znalazły filmy przedstawiające wykorzystywanie dzieci…

Administratorem Welcome to Video jest jednak Amerykanin?

Jednym z wytypowanych do zatrzymania użytkowników Welcome to Video był autor wpisów na czacie sugerujących, że pisze jako support, moderator lub administrator. To był jedyny trop na stronie prowadzący do organizatorów procederu. Zespół śledczych odkrył, że nick użytkownika podającego się za kogoś z obsługi, to również nick osoby, która wysłała na stronę ponad sto filmów. Agenci przeanalizowali więc adresy e-mail z bazy giełdy BTC-e i odkryli, że figuruje tam adres zawierający ciąg znaków nicka z czatu. Ponownie nieostrożność przestępcy lub brak wiedzy pomogły organom ścigania.

Chociaż adresy IP logującego się na giełdzie przestępcy były w większości przypadków ukryte za siecią Tor, to raz popełnił on błąd i zalogował się ze swojego prawdziwego IP. To wystarczyło, aby stwierdzić, że poszukiwanym użytkownikiem Welcome to Video jest mieszkaniec Teksasu, a także… funkcjonariusz amerykańskiej Straży Granicznej. Czy był on drugim, obok Koreańczyka administratorem witryny? Po przesłuchaniach okazało się, że człowiek ten podawał się za administratora Welcome to Video, aby wyłudzać dane logowania do serwisu i w ten sposób zdobywać dostęp do filmów innych użytkowników. Agenci zrozumieli, że prawdopodobnie jedynym, prawdziwym administratorem strony jest Koreańczyk.

Na początku 2018 roku do pracującej w Waszyngtonie ekipy Janczewskiego dotarła wiadomość z Teksasu o aresztowaniu kolejnego użytkownika Welcome to Video. Nowy zatrzymany także okazał się pracownikiem amerykańskich służb, a dokładnie agencji HSI (Homeland Security Investigations). Nie była to dobra wiadomość dla śledczych. Okazało się, że w swoich szeregach mieli kolejnego przestępcę i to z tych najbardziej odrażających. Wyglądało też na to, że pedofile zatrudnieni nieświadomie przez amerykański rząd byli ze sobą powiązani. Nowy zatrzymany także mieszkał w Teksasie i tylko godzinę drogi od pracownika Straży Granicznej.

Aresztowanie administratora serwisu

Obywatel Korei Południowej, którego wizerunek znajdował się w bazie danych giełdy BTC-e, nazywał się Son Jong-woo i był w średnim wieku. Jednak śledczym nie podobało się coś w jego wyglądzie. Był to mianowicie brud za paznokciami, który nie pasował do administratora serwisu internetowego dla pedofili. Było jeszcze coś innego. Na jednej z giełd zarejestrowany był inny Koreańczyk o tym samym nazwisku i adresie, ale innym wizerunku na zdjęciu. Ten drugi był też znacznie młodszy – podany przez niego wiek to 21 lat. Czy to był prawdziwy administrator Welcome to Video?

To młodszego Koreańczyka wytypowano do zatrzymania. Do koreańskiej prowincji South Chungcheong pojechał zespół śledczych i agent HSI Thomas Tamsi, jako „gość specjalny”. Tamsi znany był wśród koreańskich policjantów jako „Człowiek Ośmiornica”, ponieważ zjadł kiedyś na oczach koreańskich policjantów... żywą ośmiornicę. Ten wyczyn zapewnił mu dozgonny szacunek i podziw Koreańczyków oraz na zawsze zapewnione gorliwe wsparcie. Koreańczycy znani są z ekscentrycznych zwyczajów oraz przywiązania do własnej kultury. Współpraca z nimi układa się o wiele lepiej, gdy są przekonani, że partnerzy z innych krajów dorównają im w stawianu czoła pewnym wyzwaniom...

Son Jong-woo był pod stałą obserwacją. Adres IP wskazywał, że serwer, na którym oparta była światowa sieć udostępniania pedofilskich filmów, nie znajdował się w centrum danych, a po prostu w domu Koreańczyka. Dzięki temu akcja przejęcia urządzenia była znacznie łatwiejsza. Zatrzymanie Sona zaplanowano na poniedziałek, ale w weekend niespodziewanie pojechał on do Seulu. Agenci z USA oraz koreańscy policjanci liczyli, że niebawem wróci on do domu i jego zatrzymanie dojdzie skutku. Son Jong-woo pojawił się przed domem w nocy z niedzieli na poniedziałek. Koreańscy agenci weszli razem z nim do budynku i wjechali windą na górę. Son został zatrzymany tuż pod drzwiami mieszkania. Nie stawiał oporu.

Przeszukanie trwało wiele godzin, podczas którego Amerykanie czekali na zewnątrz w samochodzie. Son nie zgodził się, aby uczestniczyli w rewizji. Mogli jedynie obejrzeć wnętrze lokalu za pośrednictwem usługi FaceTime. Koreańczyk mieszkał w niewielkim mieszkaniu z rozwiedzionym ojcem, którego Amerykanie poznali jako „człowieka w średnim wieku” dzięki materiałom z giełdy BTC-e. Serwer, na którym działała witryna Welcome to Video, był niepozornym komputerem stojącym w sypialni młodego Sona.

Urządzenie miało otwartą obudowę i wewnątrz było widać kilka twardych dysków ze znaną agentom zawartością. Widok tego nieszczególnego komputera był sporym zaskoczeniem dla ekipy Janczewskiego. Agenci nie spodziewali się, że duży serwis udostępniający materiały wideo mógł być obsługiwany przez tak minimalną „infrastrukturę”.

Niesamowite szczęście, które towarzyszyło śledczym od początku dochodzenia, nie opuściło ich także w Korei. Po analizie komputera okazało się, że jego twarde dyski nie były zaszyfrowane. Pozwoliło to bez przeszkód przeanalizować ich zawartość. Oprócz filmów, na serwerze Sona znalazła się baza użytkowników serwisu oraz dane portfeli kryptowalutowych, z których Koreańczyk obsługiwał transakcje swojego przedsięwzięcia.

Materiały wideo z serwera przekazano organizacji National Center for Missing and Exploited Children (NCMEC), która zajmuje się zbieraniem informacji o zjawisku seksualnego wykorzystywania dzieci. Przedstawiciele NCMEC stwierdzili, że filmy z komputera Sona to w 45 procentach nowe materiały w obiegu. Świadczy to o tym, że Koreańczyk opracował sprawny system motywujący użytkowników serwisu do tworzenia nowych filmów. Skutkiem tego musiało być nasilenie zjawiska molestowania dzieci na całym świecie.

Welcome to Video przestał istnieć dzięki kryptowalucie

Dzięki analizie bazy użytkowników udało się aresztować 337 osób. Amerykańscy agenci odnaleźli na serwerze Welcome to Video tysiące kont, jednak większość z ich posiadaczy nigdy nie wpłaciła bitcoinów na portfele serwisu. Bez przepływów kryptowaluty śledczy nie mogli namierzyć tych użytkowników. Agenci prowadzili śledztwo w sześciu krajach i rozmawiali z setkami ludzi. W Czechach, Hiszpanii, Brazylii, Irlandii, Francji i Kanadzie aresztowano dziesiątki osób. Wśród zatrzymanych znalazł się ambasador Węgier w Peru, który aktywnie pobierał pliki z Welcome to Video. Na jego komputerze znaleziono ponad 19 000 filmów przedstawiających molestowanie dzieci. Ambasadora bez rozgłosu usunięto i postawiono w stan oskarżenia – przyznał się do winy.

Epilog

W 2008 roku, kiedy bitcoin pojawił się jako pierwsza kryptowaluta, popularne było przekonanie, że oto nadeszła era anonimowości w systemach płatności internetowych. To, że kryptowalutowe transfery nie tylko nie zabezpieczą prywatności stron transakcji, ale nawet posłużą do wykrywania przestępców, nie mieściło się wtedy nikomu w głowie.

Z bitcoinowych płatności korzystały tysiące amatorów zakazanych towarów, takich jak narkotyki, broń, niektóre leki, a także materiałów zawierających filmy ze scenami molestowania dzieci. Cecha kryptowaluty, która zapewnia jej bezpieczeństwo to zapis każdej transakcji w niezmiennej postaci w łańcuchu bloków. Ta zaleta stała się też cechą, którą do wykrywania przestępców wykorzystała firma Chainalysis. Tak też stało się w przypadku opisanej powyżej sprawy. Transakcje klientów Welcome to Video zapisane „na zawsze” w sieci bitcoin doczekały się dokładnego zbadania i doprowadziły śledczych wprost do organizatorów oraz wielu użytkowników serwisu.

Analiza płatności blockchain polega na śledzeniu poszczególnych transakcji, aż któraś z nich zostanie wykonana lub odebrana przez konkretną osobę, której dane są jawne. Może to być adres IP lub informacje teleadresowe zarejestrowane na którejś z kryptowalutowych platform. Zdarza się też, że agenci służb dokonają kontrolowanej wymiany środków z przestępcami i dzięki temu zdobywają ich prawdziwe tożsamości.

Powyższe cechy bitcoina pozbawiły złudzeń fanów kryptowaluty, którzy zamierzali przyjmować w niej zapłatę w przestępczych rozliczeniach. Metody tu opisane doprowadziły do zlikwidowania wielu miejsc handlu zakazanym towarem, między innymi forum Silk Road czy giełdy Hydra Market. Przestępcy oczywiście nie próżnują i szukają nowych rozwiązań. Są kryptowaluty, które znacznie utrudniają śledzenie transakcji w blockchain. Miejmy jednak nadzieję, że w przypadku tych monet także zostaną opracowane odpowiednie metody wykrywania stron wymiany. A może już istnieją?