Ataki spoofingowe, które – według prokuratury i policji – inspirował 44-letni informatyk Krzysztof J. dotknęły m.in. rodzinę byłego szefa CBA Pawła Wojtunika, posła PO Borysa Budkę i jego żonę oraz prokurator znaną z walki z hakerami. O zatrzymaniu i roli J. w tej głośnej sprawie napisaliśmy w sobotę jako pierwsi na portalu rp.pl.
Tajemnicza waluta
Podejrzany, programista z 20-letnim stażem jako „Diabolo de Vilious”, 1 lutego br. zamieścił na forum „Cebulka” w Darknecie instruktaż wykonania spoofingu telefonicznego i linki do nagrań z kilku ataków – ustaliły policyjne Centralne Biuro Zwalczania Cyberprzestępczości i Prokuratura Regionalna w Warszawie, która chce wątek J. skierować do sądu.
Czytaj więcej
Wpadł haker, który stał za akcją podszywania się pod znane osoby. Ofiarami padła m.in. rodzina byłego szefa CBA - Pawła Wojtunika oraz posła PO –...
Hakerzy, którzy wykonali ataki, na razie są nieuchwytni. Kluczem do rozwikłania całej „szajki” jest – jak słyszymy – ustalenie motywu działania J. Bo wątpliwe, by 44-letni doświadczony informatyk, niekarany, zrobił to tylko dla rozgłosu. Czy ktoś całą akcję mógł opłacać?
– Na dziś brak na to dowodów, ale poszlaki są – słyszmy. Wyszło bowiem, że J. posiada kryptowalutę monero – ulubioną walutę Darknetu i hakerów dokonujących ataków w sieci.
Monero jest całkowicie odporne na „cenzurę”, to najbardziej anonimowa waluta cyfrowa, pozwala ukryć transakcje – nadawcę i IP urządzenia, z którego wychodzi płatność. Krzysztof J. twierdził, że monero kupił kilka lat temu, ale nie wiedział, na jakiej giełdzie, i nie znał adresu portfela. Za część tej waluty – jak przyznał – kupił dostęp do usługi VPN, która też służy do anonimizacji w sieci.
„Dzwoniący” podszywali się pod cudze numery i metodą tzw. spoofing caller ID informowali o śmierci bliskich, pożarze w domu czy bombie. Głos był z syntezatora.
Krzysztof J. wpadł przez unikatowy nick „Diabolo de Vilious”, którego użył, rejestrując się kilka lat temu na forum miłośników komputerów.
Żonie posła Borysa Budki przekazał, że „Borys nie żyje”, a posłowi, że „Kasia nie żyje”. Przedsiębiorcy od zbiórki na „telefon zaufania” dla dzieci grożono: „jesteś pedofilem, zamorduję cię”. A żonie i córce Pawła Wojtunika: „obserwuję wasz adres, znajdę cię, spalę cię”.
Długa lista ofiar
Hakerzy, których miał inspirować J., zgłosili też, że w domu prokurator wybuchł pożar – w efekcie zjechały trzy zastępy strażaków – i na 112, że „mąż przeładował broń i chce zabić żonę”, co ściągnęło patrol policji. Szefowie policji we Wschowej i Włodawie dostali groźby: „zamorduję komendanta”, „jest bomba na komendzie”. Na koniec słychać zdanie: „co k...a, halo, ratuj ludzi”. Przekazując fałszywki, hakerzy podszyli się m.in. pod telefony Szymona Hołowni, Adama Haertle, znanej kancelarii, UMK w Toruniu i Jakuba Banasia juniora.
Krzysztof J. wpadł przez unikatowy nick „Diabolo de Vilious”, którego użył, rejestrując się kilka lat temu na forum miłośników komputerów – podał wtedy swoje prawdziwe dane. W śledztwie J. się nie przyznał, potwierdził, że używa unikalnego profilu, ale mówił, że nie zna forum „Cebulka” (najpopularniejsze forum użytkowników TOR-a, służące też do popełniania przestępstw w sieci) i „poza warzywem z niczym innym cebulka mu się nie kojarzy”.
– Odpowiadał, jakby miał wiedzę laika, a nie profesjonalisty. Ilość przeglądarek TOR na urządzeniach J. wskazuje, że jest on zaawansowanym użytkownikiem tej sieci – uważają śledczy.
J. na komputerze miał bazę danych z 30 tys. haseł i kodów do usług m.in. w Darknecie (za to też ma zarzut), a rejestrując karty SIM, podawał adresy w całym kraju.
Więcej ataków
– Podejrzany ma zarzut pomocnictwa do przestępstwa tzw. spoofingu, czyli podszywania się pod inne osoby. W tym tygodniu skierujemy przeciwko niemu akt oskarżenia do sądu – mówi nam prok. Marcin Saduś, rzecznik Prokuratury Regionalnej w Warszawie.
Zarzuty dla J. objęły ataki, na które są dowody, że je inspirował. Pozostałe (trwały od grudnia ub.r.) są wciąż badane. W tym przekaz: „Twój tata nie żyje, nie oddycha, dzwonię z jego telefonu” – do córki Pawła Wojtunika, i groźby do żony posła Władysława Kosiniaka-Kamysza, że „zadarł z mafią pedofilską” i dlatego „zgwałci i zabije jego córki” (pada też: „Tylko Agrounia, je...ać PSL”). A także groźby wobec kierownika cmentarza żydowskiego w Warszawie.
Ustalanie całej siatki powiązanych z J. hakerów trwa. Sąd, który (w kwietniu br.) aresztował J., uważa, że „zgromadzony materiał dowodowy wskazuje na duże prawdopodobieństwo, że podejrzany dopuścił się zarzucanego mu przestępstwa”.
– Zatrzymanie płotki to żaden sukces. Nadal nie wiem, kto groził mojej córce – mówi nam były szef CBA Paweł Wojtunik. Krytykuje, że o zatrzymaniu inspiratora dowiedział się z mediów.
Jakie są szanse na ustalenie wspólników J.?
– Często komunikacja pomiędzy podejrzanymi ma słabe punkty – używa „tradycyjnych” kanałów. Jest tu sporo możliwości i są przykłady zatrzymania nawet „grubych ryb” sieciowych. Kilka lat temu np. Europol i holenderska policja ustaliły założyciela ogromnego narkotykowego marketu w sieci TOR – mówi nam Przemysław Krejza, ekspert informatyki śledczej z Mediarecovery.
Czy uda się otworzyć zaszyfrowany dysk J.? – Tylko, jeśli da się ustalić hasła. Złamanie szyfrowania nie wchodzi w grę. Ale zdarza się, że udaje się pozyskać hasło – informatycy to też ludzie i czasem są niefrasobliwi – używają podobnych haseł lub mają je gdzieś zapisane – mówi Krejza.
