Kim był haker, który nękał polskich polityków?

Haker stojący za akcją podszywania się pod znane osoby miał walutę cyfrową pozwalającą na anonimowe transakcje. Śledczy nie wykluczają, że ktoś go opłacał.

Publikacja: 07.11.2022 03:00

Ofiarą ataków spoofingowych padł m.in. Borys Budka z PO

Ofiarą ataków spoofingowych padł m.in. Borys Budka z PO

Foto: PAP/Paweł Supernak

Ataki spoofingowe, które – według prokuratury i policji – inspirował 44-letni informatyk Krzysztof J. dotknęły m.in. rodzinę byłego szefa CBA Pawła Wojtunika, posła PO Borysa Budkę i jego żonę oraz prokurator znaną z walki z hakerami. O zatrzymaniu i roli J. w tej głośnej sprawie napisaliśmy w sobotę jako pierwsi na portalu rp.pl.

Tajemnicza waluta

Podejrzany, programista z 20-letnim stażem jako „Diabolo de Vilious”, 1 lutego br. zamieścił na forum „Cebulka” w Darknecie instruktaż wykonania spoofingu telefonicznego i linki do nagrań z kilku ataków – ustaliły policyjne Centralne Biuro Zwalczania Cyberprzestępczości i Prokuratura Regionalna w Warszawie, która chce wątek J. skierować do sądu.

Czytaj więcej

Złapany sprawca głośnych ataków spoofingowych, m. in. na Wojtunika i Budkę. Zdradził go unikatowy nick

Hakerzy, którzy wykonali ataki, na razie są nieuchwytni. Kluczem do rozwikłania całej „szajki” jest – jak słyszymy – ustalenie motywu działania J. Bo wątpliwe, by 44-letni doświadczony informatyk, niekarany, zrobił to tylko dla rozgłosu. Czy ktoś całą akcję mógł opłacać?

– Na dziś brak na to dowodów, ale poszlaki są – słyszmy. Wyszło bowiem, że J. posiada kryptowalutę monero – ulubioną walutę Darknetu i hakerów dokonujących ataków w sieci.

Monero jest całkowicie odporne na „cenzurę”, to najbardziej anonimowa waluta cyfrowa, pozwala ukryć transakcje – nadawcę i IP urządzenia, z którego wychodzi płatność. Krzysztof J. twierdził, że monero kupił kilka lat temu, ale nie wiedział, na jakiej giełdzie, i nie znał adresu portfela. Za część tej waluty – jak przyznał – kupił dostęp do usługi VPN, która też służy do anonimizacji w sieci.

„Dzwoniący” podszywali się pod cudze numery i metodą tzw. spoofing caller ID informowali o śmierci bliskich, pożarze w domu czy bombie. Głos był z syntezatora.

Krzysztof J. wpadł przez unikatowy nick „Diabolo de Vilious”, którego użył, rejestrując się kilka lat temu na forum miłośników komputerów.

Żonie posła Borysa Budki przekazał, że „Borys nie żyje”, a posłowi, że „Kasia nie żyje”. Przedsiębiorcy od zbiórki na „telefon zaufania” dla dzieci grożono: „jesteś pedofilem, zamorduję cię”. A żonie i córce Pawła Wojtunika: „obserwuję wasz adres, znajdę cię, spalę cię”.

Długa lista ofiar

Hakerzy, których miał inspirować J., zgłosili też, że w domu prokurator wybuchł pożar – w efekcie zjechały trzy zastępy strażaków – i na 112, że „mąż przeładował broń i chce zabić żonę”, co ściągnęło patrol policji. Szefowie policji we Wschowej i Włodawie dostali groźby: „zamorduję komendanta”, „jest bomba na komendzie”. Na koniec słychać zdanie: „co k...a, halo, ratuj ludzi”. Przekazując fałszywki, hakerzy podszyli się m.in. pod telefony Szymona Hołowni, Adama Haertle, znanej kancelarii, UMK w Toruniu i Jakuba Banasia juniora.

Krzysztof J. wpadł przez unikatowy nick „Diabolo de Vilious”, którego użył, rejestrując się kilka lat temu na forum miłośników komputerów – podał wtedy swoje prawdziwe dane. W śledztwie J. się nie przyznał, potwierdził, że używa unikalnego profilu, ale mówił, że nie zna forum „Cebulka” (najpopularniejsze forum użytkowników TOR-a, służące też do popełniania przestępstw w sieci) i „poza warzywem z niczym innym cebulka mu się nie kojarzy”.

– Odpowiadał, jakby miał wiedzę laika, a nie profesjonalisty. Ilość przeglądarek TOR na urządzeniach J. wskazuje, że jest on zaawansowanym użytkownikiem tej sieci – uważają śledczy.

J. na komputerze miał bazę danych z 30 tys. haseł i kodów do usług m.in. w Darknecie (za to też ma zarzut), a rejestrując karty SIM, podawał adresy w całym kraju.

Więcej ataków

– Podejrzany ma zarzut pomocnictwa do przestępstwa tzw. spoofingu, czyli podszywania się pod inne osoby. W tym tygodniu skierujemy przeciwko niemu akt oskarżenia do sądu – mówi nam prok. Marcin Saduś, rzecznik Prokuratury Regionalnej w Warszawie.

Zarzuty dla J. objęły ataki, na które są dowody, że je inspirował. Pozostałe (trwały od grudnia ub.r.) są wciąż badane. W tym przekaz: „Twój tata nie żyje, nie oddycha, dzwonię z jego telefonu” – do córki Pawła Wojtunika, i groźby do żony posła Władysława Kosiniaka-Kamysza, że „zadarł z mafią pedofilską” i dlatego „zgwałci i zabije jego córki” (pada też: „Tylko Agrounia, je...ać PSL”). A także groźby wobec kierownika cmentarza żydowskiego w Warszawie.

Ustalanie całej siatki powiązanych z J. hakerów trwa. Sąd, który (w kwietniu br.) aresztował J., uważa, że „zgromadzony materiał dowodowy wskazuje na duże prawdopodobieństwo, że podejrzany dopuścił się zarzucanego mu przestępstwa”.

– Zatrzymanie płotki to żaden sukces. Nadal nie wiem, kto groził mojej córce – mówi nam były szef CBA Paweł Wojtunik. Krytykuje, że o zatrzymaniu inspiratora dowiedział się z mediów.

Jakie są szanse na ustalenie wspólników J.?

– Często komunikacja pomiędzy podejrzanymi ma słabe punkty – używa „tradycyjnych” kanałów. Jest tu sporo możliwości i są przykłady zatrzymania nawet „grubych ryb” sieciowych. Kilka lat temu np. Europol i holenderska policja ustaliły założyciela ogromnego narkotykowego marketu w sieci TOR – mówi nam Przemysław Krejza, ekspert informatyki śledczej z Mediarecovery.

Czy uda się otworzyć zaszyfrowany dysk J.? – Tylko, jeśli da się ustalić hasła. Złamanie szyfrowania nie wchodzi w grę. Ale zdarza się, że udaje się pozyskać hasło – informatycy to też ludzie i czasem są niefrasobliwi – używają podobnych haseł lub mają je gdzieś zapisane – mówi Krejza.

Ataki spoofingowe, które – według prokuratury i policji – inspirował 44-letni informatyk Krzysztof J. dotknęły m.in. rodzinę byłego szefa CBA Pawła Wojtunika, posła PO Borysa Budkę i jego żonę oraz prokurator znaną z walki z hakerami. O zatrzymaniu i roli J. w tej głośnej sprawie napisaliśmy w sobotę jako pierwsi na portalu rp.pl.

Tajemnicza waluta

Pozostało 94% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Przestępczość
Prokuratura wie wszystko o Funduszu Sprawiedliwości. Dyrektor poszedł na współpracę
Przestępczość
Immunitet nie chroni mieszkań. Sądy od lat stoją na takim stanowisku
Przestępczość
Służby w budynkach zakonu sercanów. Fundusz Sprawiedliwości pod lupą
Przestępczość
Collegium Humanum: Jak zaczęła się afera z dyplomami?
Przestępczość
Rektor Collegium Humanum sypie układ. Paweł C. chce być świadkiem koronnym