你还记得罗斯·乌布利希吗?这位干净利落的美国年轻人是第一个在暗网上创建并经营庞大毒品市场的人。该网站名为“丝绸之路”,于 2011 年 2 月启动,只能通过 Tor 浏览器访问。该网站一直运营到 2013 年 10 月其创建者被捕为止,最终产生了近 1000 万个比特币。随后,罗斯·乌布利希被判处终身监禁。
美国国土安全部特工贾里德·德-叶吉亚扬 (Jared Der-Yeghiayan) 是参与逮捕他和摧毁丝绸之路的警察之一。在 FIC 2019 会议期间,他展示了这项非凡调查的幕后花絮。对他来说,这一切都始于芝加哥国际机场的货运和邮件处理区,当时他正在那里调查一个案件。 2011 年夏天的一天,一名警察打电话给他:“贾里德,过来看看,我们发现了狂喜。” “ 哦是的 ?多少万丸? ”。 “只有一个小包装。”还有很多类似的人。看起来像是网上销售的。”
为了看得更清楚,贾里德去找了这些包裹的其中一位收件人,并不是要逮捕他,而只是向他询问问题。用美国警方的行话来说,这被称为“敲门谈话”。开门的人赶紧在桌边坐下:
“不是我,是我室友。”他在网上购买了大量毒品:摇头丸、大麻、海洛因……”。
“他是从网站上买的,对吗? ”。
“是的,这个地方叫丝绸之路。”
“Silkroad.com,对吗?” ”。
“嗯,不,一点也不,这是一个只能通过 Tor 浏览器访问的 .ONION 网站。”
“是的,当然,我知道,这只是一个测试。付款是通过 Paypal 进行的吗? ”。
“我是一名修女,还有比特币”。
“啊,是的,就是这样。”
事实上,Jared 从未听说过 .ONION 网站、Tor 浏览器和比特币。
随后,他与其他警察部门的同事交谈,发现丝绸之路已经成为一项重大调查的对象。但至今还没有人成功破解这个谜团。经过快速的计算机进修课程后,贾里德踏上了丝绸之路之路。但由于该网站上的信息交换和支付都是加密和匿名的,所以没有太多值得深思的地方。“我们唯一拥有的就是包裹和信封””,贾里德解释道。
因此,他与同事开始分析截获的物品,并将它们与不同的丝绸之路商店联系起来。为此,他检查了包装的外部,并将内容物与网站上展示的产品进行了比较。“卖家通常会使用相同类型的信封或贴纸。这使我们能够将多个包分组到同一个系列中””,贾里德解释道。为了证实某些关联,他还渗透到该网站并进行在线药品购买。
然后包裹及其内容物被仔细检查以寻找指纹。然后将这些信息与原产国的警察部门共享,这使得在某些情况下可以追溯到经销商。“在暗网上,卖家总是将自己表现得非常专业,拥有实验室、24 x 7 支持等等。但事实并非如此。我们确认其中一位与他的母亲住在一起。他把摇头丸放在 DVD 盒子里,我们在上面发现了他的指纹。”,贾里德指出。
在近一年半的时间里,美国调查人员及其外国同事进行了身份识别、扣押和逮捕。但很快,他们就完全被丝绸之路的成功所震撼。卖家数量持续增加,交付数量也不断增加。因此有必要改变策略。就在那时,他们对该网站的管理员产生了兴趣,该管理员的用户名是“Dread Pirate Roberts”(DPR),指的是 1970 年代的小说。
通过仔细检查他在论坛上的信息,调查人员发现他们经常推荐受自由主义启发的书籍。“我们阅读它们是为了吸收这些想法,希望有一天能够在论坛上与他进行对话,从而收集有关他身份的线索””,贾里德解释道。 DPR 的帖子还提到了一个名为“供应商圆桌会议”的隐藏论坛。“我们想进入这个论坛来获取来自 DPR 的更多消息。但只有大卖家才能访问它。所以我们需要一个大卖家的账户”,贾里德继续说道。
办案人员因此重新开始之前的辨认工作,追踪几名大贩,并“说服”他们与警方合作。他们发现的前两个人无法访问隐藏论坛。但第三次逮捕,即逮捕一名名为“Nomad Bloodbath”的男子,是正确的。调查人员最终能够利用他的帐户读取隐藏论坛上的消息。失望:最终没有什么有趣的事情。警方再次发现自己陷入了死胡同。
至少他们一开始是这么想的。但一段时间后,调查人员发现Nomad 并不是普通人。他不仅有机会参加供应商圆桌论坛,而且拥有极好的声誉。此人过去曾作为主持人与 DPR 合作,但由于一场争执终止了这次合作。在隐藏论坛上,调查人员随后以Nomad的身份发布了一条消息,解释说他肯定想离开丝绸之路。“Nomad不仅出售毒品,还出售色彩缤纷的塑料头骨,在社区中很受欢迎。我们告诉Nomad,他想在消失之前把它们全部卖掉”,贾里德继续说道。
假身份渗透
这个感人的信息立即产生了销售,并因此获得了丝绸之路用户的认可。它还引发了一系列讨论,使调查人员能够更准确地了解该网站的运作情况。“事实上,DPR 并不孤单。他手下有四五个主持人。一个负责卖家支持,另一个负责买家支持,另一个负责论坛等。感谢 Nomad 帐户,我们能够与这些管理员和其他合适的人取得联系”,贾里德指出。
其中一个人是“Scout”,一位前管理员,刚刚被 DPR 解雇,在与 Nomad 讨论时泄露了秘密。察觉到了合适的机会,调查人员提出免费赠送斯各特一个彩色头骨,斯各特接受了。结果:贾里德和他的同事去找他,并反过来强迫他与他们合作。
不久之后,幸运再次向警察微笑。 DPR 修改了判断,建议 Scout 以另一个昵称再次担任主持人。这就是调查人员发现自己拥有“Cirrus”主持人帐户的方式。“这次访问使我们能够全面了解该网站。我们甚至可以访问不同管理员用来交换信息的聊天服务器。我们现在与 DPR 直接联系””,贾里德解释道。
成功渗透到网络主脑的核心圈子后,警方终于开始达到他们的目标。为了避免引起怀疑,显然有必要将斯各特的写作风格掌握得炉火纯青。“尤其是,他有一个习惯,就是在造句带有否定意义的句子时,使用大写字母。”记得贾里德
然后调查速度加快。联邦调查局 (FBI) 团队成功获取了丝绸之路位于冰岛的一台服务器。她复印并分析。“在 DPR 帐户的连接日志中,有旧金山一家网吧的 IP 地址。此外,连接日期系统地采用太平洋时间格式。信息泄露可能与网站配置不当有关”,贾里德解释道。
通过对关键词“丝绸之路”进行谷歌搜索,另一组调查人员发现了一位用户于 2011 年 1 月在 Bitcointalks.org 论坛上发布的一条消息,该消息是第一个报告存在名为 Silk 的新网站在线销售公司的消息路。该用户在 2011 年 10 月的一条消息中透露了他的个人电子邮件地址:[电子邮件受保护]。这位罗斯·乌布利希 (Ross Ulbricht) 住在旧金山,靠近被发现 IP 地址的网吧。他以化名“Frosty”在 Stack Overflow 论坛上发布了一个有关 Tor 隐藏服务的技术问题。然而,“Frosty”也是丝绸之路服务器日志中出现的一个词,它指的是DPR的计算机。最后,调查人员发现,每次 DPR 登录 Silk Road 时,Ross Ulbricht 几乎同时登录 Gmail。
从那时起,警方决定在罗斯·乌布利希的裤子上标记,不仅在互联网上,而且在现实世界中。他们等待合适的时机将他困住。那一刻发生在 2013 年 10 月,当时他们看到他走进一家公共图书馆。他们注意到了 DPR 的联系。他们以 Cirrus 的身份要求他访问网站中只有 DPR 可以访问的部分。然后警方采取行动。在图书馆里,两名便衣特工假装大声争吵以制造转移注意力,而另外两人则拿走了罗斯·乌布利希特的笔记本电脑。它显示身份 DPR 下的活动连接。
最终,第一个主要网络毒枭的倒台是一系列小操作安全错误的结果,这些错误结合在一起,让我们揭开了恐惧海盗罗伯茨的真实身份的面纱。
