Kim był haker, który nękał polskich polityków?

Ataki spoofingowe, które – według prokuratury i policji – inspirował 44-letni informatyk Krzysztof J. dotknęły m.in. rodzinę byłego szefa CBA Pawła Wojtunika, posła PO Borysa Budkę i jego żonę oraz prokurator znaną z walki z hakerami. O zatrzymaniu i roli J. w tej głośnej sprawie napisaliśmy w sobotę jako pierwsi na portalu rp.pl.

Tajemnicza waluta

Podejrzany, programista z 20-letnim stażem jako „Diabolo de Vilious”, 1 lutego br. zamieścił na forum „Cebulka” w Darknecie instruktaż wykonania spoofingu telefonicznego i linki do nagrań z kilku ataków – ustaliły policyjne Centralne Biuro Zwalczania Cyberprzestępczości i Prokuratura Regionalna w Warszawie, która chce wątek J. skierować do sądu.

Czytaj więcej

Przestępczość

Złapany sprawca głośnych ataków spoofingowych, m. in. na Wojtunika i Budkę. Zdradził go unikatowy nick

Wpadł haker, który stał za akcją podszywania się pod znane osoby. Ofiarami padła m.in. rodzina by...

Hakerzy, którzy wykonali ataki, na razie są nieuchwytni. Kluczem do rozwikłania całej „szajki” jest – jak słyszymy – ustalenie motywu działania J. Bo wątpliwe, by 44-letni doświadczony informatyk, niekarany, zrobił to tylko dla rozgłosu. Czy ktoś całą akcję mógł opłacać?

– Na dziś brak na to dowodów, ale poszlaki są – słyszmy. Wyszło bowiem, że J. posiada kryptowalutę monero – ulubioną walutę Darknetu i hakerów dokonujących ataków w sieci.

Monero jest całkowicie odporne na „cenzurę”, to najbardziej anonimowa waluta cyfrowa, pozwala ukryć transakcje – nadawcę i IP urządzenia, z którego wychodzi płatność. Krzysztof J. twierdził, że monero kupił kilka lat temu, ale nie wiedział, na jakiej giełdzie, i nie znał adresu portfela. Za część tej waluty – jak przyznał – kupił dostęp do usługi VPN, która też służy do anonimizacji w sieci.

„Dzwoniący” podszywali się pod cudze numery i metodą tzw. spoofing caller ID informowali o śmierci bliskich, pożarze w domu czy bombie. Głos był z syntezatora.

Żonie posła Borysa Budki przekazał, że „Borys nie żyje”, a posłowi, że „Kasia nie żyje”. Przedsiębiorcy od zbiórki na „telefon zaufania” dla dzieci grożono: „jesteś pedofilem, zamorduję cię”. A żonie i córce Pawła Wojtunika: „obserwuję wasz adres, znajdę cię, spalę cię”.

Długa lista ofiar

Hakerzy, których miał inspirować J., zgłosili też, że w domu prokurator wybuchł pożar – w efekcie zjechały trzy zastępy strażaków – i na 112, że „mąż przeładował broń i chce zabić żonę”, co ściągnęło patrol policji. Szefowie policji we Wschowej i Włodawie dostali groźby: „zamorduję komendanta”, „jest bomba na komendzie”. Na koniec słychać zdanie: „co k...a, halo, ratuj ludzi”. Przekazując fałszywki, hakerzy podszyli się m.in. pod telefony Szymona Hołowni, Adama Haertle, znanej kancelarii, UMK w Toruniu i Jakuba Banasia juniora.

Krzysztof J. wpadł przez unikatowy nick „Diabolo de Vilious”, którego użył, rejestrując się kilka lat temu na forum miłośników komputerów – podał wtedy swoje prawdziwe dane. W śledztwie J. się nie przyznał, potwierdził, że używa unikalnego profilu, ale mówił, że nie zna forum „Cebulka” (najpopularniejsze forum użytkowników TOR-a, służące też do popełniania przestępstw w sieci) i „poza warzywem z niczym innym cebulka mu się nie kojarzy”.

– Odpowiadał, jakby miał wiedzę laika, a nie profesjonalisty. Ilość przeglądarek TOR na urządzeniach J. wskazuje, że jest on zaawansowanym użytkownikiem tej sieci – uważają śledczy.

J. na komputerze miał bazę danych z 30 tys. haseł i kodów do usług m.in. w Darknecie (za to też ma zarzut), a rejestrując karty SIM, podawał adresy w całym kraju.

Więcej ataków

– Podejrzany ma zarzut pomocnictwa do przestępstwa tzw. spoofingu, czyli podszywania się pod inne osoby. W tym tygodniu skierujemy przeciwko niemu akt oskarżenia do sądu – mówi nam prok. Marcin Saduś, rzecznik Prokuratury Regionalnej w Warszawie.

Zarzuty dla J. objęły ataki, na które są dowody, że je inspirował. Pozostałe (trwały od grudnia ub.r.) są wciąż badane. W tym przekaz: „Twój tata nie żyje, nie oddycha, dzwonię z jego telefonu” – do córki Pawła Wojtunika, i groźby do żony posła Władysława Kosiniaka-Kamysza, że „zadarł z mafią pedofilską” i dlatego „zgwałci i zabije jego córki” (pada też: „Tylko Agrounia, je...ać PSL”). A także groźby wobec kierownika cmentarza żydowskiego w Warszawie.

Ustalanie całej siatki powiązanych z J. hakerów trwa. Sąd, który (w kwietniu br.) aresztował J., uważa, że „zgromadzony materiał dowodowy wskazuje na duże prawdopodobieństwo, że podejrzany dopuścił się zarzucanego mu przestępstwa”.

– Zatrzymanie płotki to żaden sukces. Nadal nie wiem, kto groził mojej córce – mówi nam były szef CBA Paweł Wojtunik. Krytykuje, że o zatrzymaniu inspiratora dowiedział się z mediów.