俄罗斯一家法院以有组织犯罪和毒品指控判处一名网络犯罪头目终身监禁,俄罗斯国家媒体称他是被捣毁的暗网毒品交易市场九头蛇(Hydra)的创始人。Hydra Market曾是全球最大的非法毒品销售和洗钱暗网市场,两年多前被美德联合执法行动捣毁,其领导人斯坦尼斯拉夫·莫伊谢耶夫被俄罗斯当局判处终身监禁,并处以37,000多美元的罚款。
据俄罗斯国有通讯社塔斯社报道,在莫斯科地区法院的审判后,陪审团认定Hydra创始人斯坦尼斯拉夫·莫伊谢耶夫及其15名同伙“组织犯罪团伙,非法生产和销售精神药物和毒品,包括通过互联网销售”,犯罪时间至少从 2015 年持续到 2018 年 10月。法院判处臭名昭著的Hydra的创始人与负责人终身监禁,其他15名同谋也将被判处多年监禁。
“暗网下/AWX”曾报道,暗网市场Hydra成立于2015年,主要销售非法毒品、被盗信用卡数据、假币和伪造身份证件,该暗网市场拥有1700万个客户账户和19000个供应商账户,这些账户的身份在Tor加密网络的掩盖下从事着各种犯罪行为。
成立后的几年里,Hydra暗网市场蓬勃发展,2022年4月,在德国当局关闭Hydra、控制其服务器并扣押其比特币资产时,Hydra暗网市场2023年处理的交易估值约15亿美元,但是其创始人的身份尚不为公众所知。
联合国《2024年世界毒品报告》称,在2022年4月被捣毁之前,Hydra“占暗网上所有毒品销售的80%至90%”,主要是包括卡西酮在内的合成兴奋剂。
莫斯科地区法院认定莫伊谢耶夫及其15名同伙犯有经营或参与有组织犯罪集团以及制造和贩卖毒品罪。但检察官办公室并未公开将莫伊谢耶夫与“Hydra”组织联系起来。
俄罗斯国家通讯社塔斯社和国际文传电讯社援引匿名执法部门的话称,周一因毒品和有组织犯罪指控被判刑的斯坦尼斯拉夫·莫伊谢耶夫是Hydra的创始人。
俄罗斯总检察院莫斯科分院称,2015年至2018年10月期间,莫伊谢耶夫及其15名同伙在俄罗斯和白俄罗斯经营一个有组织犯罪集团。据检察官称,Hydra暗网市场每年处理的交易价值约为10亿卢布(930万美元)。
斯坦尼斯拉夫·莫伊谢耶夫因经营暗网市场被判处终身监禁,并被处以400万卢布(约合37,500美元)的罚款,与该犯罪集团有关的其他同伙被判处8至23年不等的有期徒刑,并被处以总计1600万卢布(约合150,000美元)的罚款。
检察官办公室称,俄罗斯和白俄罗斯警方在一系列突袭行动中缴获了近一吨非法毒品以及属于该团伙的汽车、房屋和其他资产,看来该团伙活动的证据已经传到了俄罗斯当局手中。当局称,Hydra的供应商将毒品藏匿在预先确定的秘密地点,也就是藏匿处。
据国家媒体报道,“莫斯科地区法院根据陪审团的裁决,对这起刑事案件作出了有罪判决”,判决书中提到了莫伊谢耶夫和其他15人的名字。该团伙被指控生产和贩卖精神药物和毒品。
该团伙将在俄罗斯最严酷的监狱服刑,据报道,这些人将在严格制度或特殊制度类型的劳改营中服刑,后者指的是最高安全级别的机构,例如北极劳改营 IK-3,又名“北极狼”,俄罗斯反对派人物、反腐斗士阿列克谢·纳瓦尔尼曾被关押在此,并在可疑情况下死亡。这或许解释了为什么据报道他们对判决提出上诉。
被判刑名单上没有的一个名字是德米特里·奥列戈维奇·帕夫洛夫(Dmitry Olegovich Pavlov),他被美国当局指控为Hydra的IT管理员,并于2022年被捕后被拘留。
打击Hydra或许与国家安全有更大的关系,据当地媒体报道,内务部新闻中心在一份声明中表示:“犯罪者向互联网用户提供实施恐怖主义行为,包括针对俄罗斯联邦国家权力的行为以及其他犯罪行为,以获得金钱补偿。”“根据现有信息,呼吁采取非法行动的公告是由位于乌克兰的呼叫中心分发的。”
贩毒团伙通过Dead Drop实现配送 与倾向于使用国内或国际邮政服务来运送产品的西方暗网市场毒贩不同,俄罗斯犯罪分子通常会将毒品藏匿在隐蔽的地方,并提醒买家其行踪。
区块链情报公司TRM Labs在最近的一份报告中表示:“与邮政投递相比,Dead Drop为这些参与者提供了三大关键优势:速度、盈利能力和便利性。”“虽然邮件投递通常需要几天时间才能到达,但Dead Drop可能在几分钟内就出现。这是因为Dead Drop中在线市场所宣传的药品通常是预先包装并隐藏起来的:付款后,供应商只需向买家透露其位置即可。”
这种基于匿名的模式似乎正在国外传播,通常使用基于Telegram的销售,包括韩国,而俄罗斯侨民似乎正在斯里兰卡、印度尼西亚和泰国运营网络。
在西欧,TRM Labs的研究人员发现匈牙利、捷克共和国和希腊也在使用这种手段,但这些卖家似乎更喜欢使用端到端加密消息服务,如Telegram和Session,而不是暗网市场。
尽管采取了这些举措,与其他地区相比,俄罗斯暗网市场仍然占据主导地位。戴利和肖蒂斯在题为《打破Klad:俄罗斯的秘密毒品革命》的报告中表示:“在Kraken、Mega和Blacksprut等大型平台的推动下,俄罗斯暗网市场控制着全球93%的份额,仅在2023年就创造了约15亿美元的收入。”
国际联合执法行动摧毁Hydra暗网市场 2022年4月初,由德国联邦刑事警察局(又名Bundeskriminalamt或BKA)和美国执法机构领导的联合执法行动捣毁了Hydra组织,两年多之后,Hydra组织操作员被判刑。
官员们表示,在此之前,Hydra不仅主导了暗网市场销售,还为各种犯罪分子提供洗钱服务,包括勒索软件运营商、诈骗者和资金混合服务。BKA 表示,在巅峰时期,Hydra拥有19,000 家供应商和 1700 万用户。
美国财政部外国资产控制办公室报告称,2019年俄罗斯虚拟货币交易所收到的所有非法比特币中约有86%来自Hydra。2022年4月,区块链分析公司Chainalysis报告称,Hydra当年就已经处理了价值6.45亿美元的“来自非法地址”的加密货币(参见:美国制裁暗网市场Hydra、加密货币交易所Garantex)。
判决并未提及网络犯罪 据报道,针对Hydra组织主谋及其同伙的指控并未提及网络犯罪或洗钱。
专家们早就观察到,俄罗斯当局很少起诉国内网络犯罪分子,只要他们不攻击俄罗斯或盟国的个人,并偶尔为该国的情报部门提供一些帮助(参见:俄罗斯网络犯罪规则提醒:切勿攻击俄罗斯人)。
也有一些例外情况,包括2022年1月,一群疑似REvil勒索软件运营当局的低级附属机构被拘留,他们使用了乔·拜登总统政府提供的情报。如果这是莫斯科发出的信号,表明它已准备好与美国合作打击网络犯罪,那么在俄罗斯总统弗拉基米尔·普京下令于次月对乌克兰发动全面征服战争后,任何此类合作都失败了(参见:俄罗斯逮捕14名疑似REvil勒索软件集团成员)。
另外,俄罗斯当局最近逮捕了米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev),并处以罚款后释放。FBI指控他为“Wazawaka”,是一名与Babuk、LockBit和Hive勒索软件攻击有关的罪犯。为了回应美国的指控,马特维耶夫制作了一张自己的照片,并在社交媒体上发布了一张他身穿印有FBI“头号通缉犯”海报的T恤的照片。他在俄罗斯被捕的情况,以及这是否是普京向即将上任的特朗普政府发出的外交提议,目前尚不清楚。
据报道,已倒闭的加密货币交易所Bitzlato的创始人已经可以免于进一步的牢狱之灾,此前他的交易所处理了来自俄罗斯暗网的超过7亿美元的非法收益,后于2023年初在美国被捕。
据报道,7月18日,纽约地方法院,法官埃里克·维塔里亚诺(Eric Vitaliano)判处阿纳托利·莱格科迪莫克(Anatoly Legkodymoc)服刑,在此之前,他承认了一项经营无牌汇款业务的指控。
维塔利亚诺法官表示,莱格科迪莫夫已在布鲁克林大都会拘留中心(MDC)服刑18个月,这对于他的罪行来说已经足够惩罚了。布鲁克林MDC是美国最臭名昭著的监狱之一。
维塔利亚诺表示:“这是一个可怕的地方,法庭确实考虑到了这一点。”
FTX创始人山姆·班克曼-弗里德(Sam Bankman-Fried)在自己的欺诈案审判之前也曾在MDC服过刑,他被判七项欺诈指控全部成立,并被判处25年监禁。
莱格科迪莫夫还同意放弃对法国执法部门在2023年1月23日关闭该交易所的全球执法行动中扣押的价值2300万美元的加密货币资产的任何索赔权。
检方指控,莱格科迪莫夫通过俄罗斯暗网市场Hydra Market协助兑换了超过7亿美元的加密货币,并且没有采取足够的措施来监控谁在使用该交易所。
检方还表示,Bitzlato交易所的用户定期访问该交易所的客户服务门户网站,就Hydra Market上的交易寻求帮助,并经常承认他们使用虚假身份进行交易。
他们还指出,在2019年5月的一条信息中,莱格科迪莫夫告诉Bitzlato的一名同事,该交易所的许多用户“都是众所周知的骗子”。
莱格科迪莫夫在向法庭提交的声明中表示,过去18个月他一直在反思自己在Bitzlato交易所的行为。
他说:“我现在意识到,作为公司的创始人,我本可以做得更多。”
在国际社会协调的联合执法行动关闭该交易所后,莱格科迪莫夫于2023年1月17日在迈阿密被捕。
美国、西班牙、葡萄牙、塞浦路斯和欧盟执法合作局(Europol)参与了逮捕莱格科迪莫夫并关闭交易所的执法行动。
欧洲刑警组织报告称,Bitzlato交易所处理的约46%的资产(当时相当于10.9亿美元)与非法活动有关。
欧洲刑警组织表示:“大多数可疑交易都与外国资产控制办公室(OFAC)制裁的实体有关,其他交易则与网络诈骗、洗钱、勒索软件和虐待儿童材料有关。”
Hydra是曾经是世界上最大的暗网交易市场,主要服务于俄语国家的用户,能够以匿名且不受法律管辖的方式买卖非法商品和服务,包括非法毒品、被盗财务信息、欺诈性身份证件以及洗钱和混合服务执法。Hydra上的交易以加密货币进行,Hydra运营商对Hydra上进行的每笔交易收取佣金。2021年,Hydra估计占所有暗网市场相关加密货币交易的80%,自2015年以来,该市场已收到约52亿美元的加密货币。
2022年4月5日,美国司法部和德国联邦政府执法机构宣布查封世界上最大、运行时间最长的暗网市场Hydra Market。当天,“暗网下/AWX”做了专门报道:德国联邦刑事警察局与美国执法部门协调,在德国扣押了Hydra服务器和包含价值2500万美元比特币(543个BTC)的加密货币钱包。
近日,根据Match Systems的数据,在Hydra暗网市场被查封一年后,已有118个比特币被从Hydra的藏匿处提取。Match Systems公司是一家领先的加密货币犯罪调查机构,调查了超过30%的价值超过25万USDT的加密货币被盗案件,在此前在针对Hydra的调查中也发挥了重要作用。
Match Systems称,过去三天,总计超过118个BTC(按当前汇率计算价值超过300万美元)的加密货币资产从Hydra暗网市场中被转出。
自2022年春季以来一直处于休眠状态的Hydra暗网市场的资金已被提取到三个新的加密货币地址:
bc1q56zy5e7tt83zgyv49ftxuztgy68s5zrxsvtacd(63.4个BTC,9月3日操作)
bc1q5rv5rh2hyhfv6rfucu40x60ehjdun4yg3ng683(31.7个BTC,9月4日操作)
bc1prm0zarzxdrh5c9gz8d8xyfqhu2ymh346fwr9ncqt7mg5cpnq64wsjr2fyq(23.6个BTC,9月5日操作)
值得注意的是,从Hydra暗网市场提取的部分资金是使用加密货币混合器Blender.io和WasabiWallet.io进行混币洗钱的。
“暗网下/AWX”发现,上一次Hydra暗网市场提取比特币还是在被查封的前一天:2022年4月4日,在沉寂了一年多之后,其终于按耐不住了,毕竟118个BTC不是一个小数目,但显然曾经的比特币地址都在FBI及区块链公司的监控中,能够成功将其兑现是个问题,也许这118个BTC的结局最后一样会被FBI查封。“暗网下/AWX”也将持续跟进。
更多暗网新闻动态,请关注“暗网下/AWX”。
“丝绸之路”(Silk Road)和恐怖海盗罗伯茨(Dread Pirate Roberts)的时代可能已经过去,但暗网毒品市场似乎一如既往地盛行。随着2022年俄罗斯九头蛇(Hydra)市场的崩溃,我们探讨了2023年暗网毒品市场的状况。
什么是暗网,它是如何运作的? 对于那些不太熟悉暗网及其各种暗网市场运作方式的人,请允许我解释一下……
如果把互联网想象成一座冰山,那么我们现在所处的表层网络就是冰山的一角。表层网络仅占整个网络的4%,是人们最熟悉的部分。表层网络包含可通过搜索引擎(例如谷歌)访问的网络部分。然而,许多人没有意识到,网络的范围远远不止于此。
表层网络之下的一层是深层网络。这部分网络无法被传统搜索引擎访问,因此也不会被网络爬虫抓取。要访问深层网络中的网页和信息,用户需要正确的授权和凭证。
然而,仅仅因为网页存在于深层网络中并不意味着它是有害的。这一层中存在许多无害的项目,例如未发表的博客文章、存档的新闻报道和付费专区的文章。
深网之下是暗网(darknet,dark
web),由于其不可搜索、加密和私密的性质,为用户提供了完全的匿名性,因此访问起来更加困难。
暗网确实有一些合法用途,包括私人通信和保护机密资源。尽管如此,暗网可能因其托管丝绸之路等毒品市场、黑市和网络攻击服务而更为人熟知。其设计本身使暗网成为犯罪活动的热点,因此暗网已成为这部分网络的代名词。
洋葱路由器(TOR) 由于无法通过表面网络访问暗网,用户需要使用一种称为洋葱路由器(或TOR)的软件才能访问暗网。TOR最初由美国政府创建,是一种匿名浏览器,允许用户进入暗网并匿名化其身份。使用加密货币在暗网上进行交易,可以增加这一层的安全性和匿名性。
暗网毒品市场 暗网最广为人知的功能之一可能就是托管大规模毒品市场。最明显的莫过于2010年初“丝绸之路”市场的崛起,“丝绸之路”由罗斯·乌布里希特(Ross Ulbricht,又名恐惧海盗罗伯茨)创立,出售种类繁多的物品,但却是一个臭名昭著的毒品市场——2013年春季,毒品占所售商品销售量的70%。据估计,丝绸之路在其鼎盛时期价值3450万美元。在罗斯·乌布里希特被FBI逮捕后,丝绸之路最终于2013年10月被联邦调查局关闭。
最近,2022年又见证了另一个著名暗网毒品市场的衰落。俄罗斯暗网市场“九头蛇市场”(Hydra Market)于2015年推出,以毒品贸易等而闻名。Hydra市场逐渐发展成为暗网最大的市场之一,约占暗网活动的80%,拥有1.9万个卖家账户和1700万客户。从毒品销售方面来看,Hydra市场成为前苏联国家中最大的毒品市场。2022年4月,Hydra市场被德国警方关闭,遭遇了与丝绸之路类似的灭顶之灾。
2023年暗网毒品市场的情况 2022年Hydra市场消亡后,出现了数十个新的暗网市场,其中一些是针对前Hydra客户和供应商的暗网毒品市场。
根据来自多个安全信息来源的研究(flashpoint,chainalysis),Hydra市场关闭后,多个市场成为新的参与者,轮流引领暗网毒品市场。在运营第一个月结束时,OMG! OMG!市场的销售额已达到约1215万美元。与Hydra市场类似,许多俄罗斯暗网市场的排名也有所上升,其中最大的似乎是Mega暗网市场,仅3月份就获得了4000万美元的收入。紧随其后的是Blacksprut市场,获得约2000万美元的收入。
由于加密、匿名和隐私是暗网及各种暗网毒品市场设计的核心,因此很难获得有关毒品趋势的最新信息。《2023年世界毒品报告》的分析表明,虽然买家在毒品交易上的平均花费在增加(从2018年每笔交易100美元增加到2021年每笔交易500美元),但活跃买家和交易数量却明显减少。
有趣的是,社交媒体作为新兴毒品市场的崛起也影响了购买趋势。自我报告的数据表明,社交媒体平台已成为大麻、摇头丸和可卡因低级交易的有利平台,而新型精神活性物质在更大程度上仍通过暗网进行销售。
至于暗网毒品市场的销售对象,似乎也发生了变化。对于大多数市场来说,传统的买家最终是所售产品的最终用户,但专家认为,暗网毒品市场正开始转向批发。活跃市场、参与者和交易数量的减少,与暗网总体销售额和平均交易额的增加形成鲜明对比,表明供应商可能转而向药品分销商销售,或者扩大了产品和服务范围。
综上所述,2023年的暗网毒品市场面临着许多挑战——然而,尽管面临这些挑战,它们的反弹能力清楚地表明它们不会在短期内消失。“低水平”毒品交易社交媒体的兴起表明,暗网毒品市场将继续调整其应对措施,重点关注毒品批发分销商,而不是最终消费者。
根据最新研究,暗网市场获得的收入从2021年的26亿美元下降到2022年的13亿美元。
区块链分析公司Chainalysis的研究人员将下降的大部分原因归结于九头蛇暗网市场(Hydra Market)的关闭,该市场于2022年4月被德国和美国的执法机构联合取缔。即使4月份已经关闭,Hydra市场仍然作为收入最高的暗网市场在2022年仍处于领先地位。
仍在运作的主要市场——Mega暗网市场、BlackSprut市场和OMG!OMG!市场——所有“都在Hydra关闭后获得了最初的市场份额,链上数据表明这些市场在共同努力吸引以前的Hydra用户和供应商。”
前五个收入最高的暗网市场中,有四个以毒品为中心的市场,还有一家是名为Brian Dumps的出售欺诈信息的商店。
研究人员解释说:“Hydra暗网市场的关闭导致整个暗网市场的行业收入下降,所有市场的平均每日收入从关闭前的420万美元下降到关闭后的44.7万美元”。
“虽然毒品市场的集体收入还没有完全恢复,但在2022年下半年,它又缓慢地攀升到以前的水平。然而,出售诈骗信息的商店则继续下降。”
出售诈骗信息的商店通常出售被盗数据,如信用卡信息或其他因黑客攻击和泄露而产生的个人信息。根据Chainalysis的数据,一些最著名的出售诈骗信息的商店——包括Bypass Shop和Brian Dumps——似乎在2022年面临问题或关闭,但目前尚不清楚原因。
在2022年4月关闭之前,Hydra占2022年暗网市场获得的所有经济价值的93%——约3.574亿美元。该平台总部设在俄罗斯,专门为毒品销售、洗钱服务和其他非法产品提供便利。
Chainalysis发现,在Hydra关闭后,一些最大的参与者建立了“单一供应商商店”,使他们能够重新安排他们的客户,并节省通常会支付给暗网平台管理员的费用。
随着Hydra和其他市场的关闭,单一供应商商店的收入在3月和4月有所增长,但到了6月,由于竞争对手取代了大型市场参与者的位置,收入有所下降。
BlackSprut、OMG!OMG!市场和Mega暗网市场在2022年都有过主导地位的时刻,其中OMG!OMG!市场看到了最大的、但短暂的兴趣高峰。该市场在4月和5月占据了超过50%的市场份额,在4月23日达到了65%的峰值。
类似于Hydra,OMG!OMG!市场提供获取非法药毒品、黑客工具、银行信息等的途径。它于2020年7月开始运营,但在Hydra关闭之前在暗网市场上几乎不存在,也就是之前几乎没有影响力。
“供应商的迁移,加上OMG初始收入的时间和来源表明,Hydra管理员可能参与了OMG的开发。此外,这两个市场显示出某些运营上的相似之处。例如,Hydra与竞争对手的不同之处在于它提供基于位置的快递服务。”报告称。
“在创建帐户后,用户将选择他们的位置,并安排从供应商到买家的“dead-drop”式交易。销售时,卖家会向买家发送地理坐标和一张图片,说明可以在何处找到他们的隐藏好的货物。OMG也提供同样的服务。”
Chainalysis能够跟踪切换到OMG!OMG!市场,通过查看与已知的Hydra供应商相关的个人钱包,随后与OMG进行了交易。
区块链数据还显示,OMG的中央钱包存在重叠,表明它可能是由负责Hydra的人操作的。
但Chainalysis表示,该市场在6月份遭受了分布式拒绝服务攻击,迫使用户转向Mega暗网市场和BlackSprut市场。BlackSprut在11月下旬也遭遇了黑客攻击,这导致了类似的兴趣下降。
研究人员说:“就像绝大多数暗网市场用户一样,所有类别的前Hydra交易对手——包括零售毒品买家和犯罪用户——在OMG的统治时期几乎完全与OMG进行交易。”
“在OMG主导地位之后的时期,OMG保留了一些前Hydra的交易方,但他们的活动在所有类别中都有很大份额流失到其他两个市场。”
这三个市场在后Hydra时代占主导地位的部分原因是,每个市场都推出了与Hydra提供的类似的洗钱服务。2023年1月,Blacksprut开始提供RedBull Exchange和BestChange的服务,作为那些希望将资金取出的人的选择。
上周末,BlackSprut在莫斯科各地竖起电子广告牌宣传其服务,这引起了争议。目前尚不清楚这些广告牌是否遭到黑客攻击,或者业主根本不知道BlackSprut是一个非法市场。
有报道称,BlackSprut以支持克里姆林宫和支持俄罗斯入侵乌克兰而闻名。据称,其管理人员向亲俄罗斯的准军事战士捐赠了加密货币,这些战士可以用它来购买设备和防弹衣。
近期,纽约州布鲁克林联邦法院公布了一份起诉书,指控在香港注册、名为Bitzlato(Bitzlato Ltd.)的加密货币交易所,涉嫌通过洗钱手段为俄罗斯的非法暗网市场九头蛇(Hydra Market)处理了价值超过7亿美元的非法资金,此外通过为勒索软件组织洗钱获取了超过1500万美元的收益。
美国司法部网上的法庭文件显示,该加密货币交易所的创始人Anatoly Legkodymov在美国迈阿密因经营无牌加密货币兑换交易所被捕,并于本月19日在佛罗里达州南方法院提审,罪名是经营非法汇款业务。法庭文件指出,Legkodymov是俄罗斯公民,长期在中国深圳居住。
纽约东区美国检察官Breon Peace、司法部副检察长Lisa O. Monaco、司法部刑事司助理检察长Kenneth A. Polite、联邦调查局(FBI)副局长Brian C. Turner和联邦调查局纽约地区办事处主管助理局长Michael J. Driscoll宣布了逮捕和指控。
美国检察官Breon Peace表示:“从事加密货币交易的机构并不凌驾于法律之上,其所有者也并非超出我们的控制范围。” “正如所指控的那样,Bitzlato将自己作为一个无需质疑的加密货币交易所提供给犯罪分子使用,并因此获得了价值数亿美元的存款。被告现在正在为他的公司在加密货币生态系统中扮演的恶性角色付出代价。”
“正如所指控的那样,被告帮助经营一家加密货币交易所,该交易所未能实施反洗钱保障措施,并使犯罪分子能够从他们的不法行为中获利,包括勒索软件和贩毒,”助理总检察长Polite说,“国家加密货币执法小组为破坏 Bitzlato 和逮捕被告所做的巨大努力表明,我们将继续与我们的国内外的合作伙伴合作,打击由加密货币引发的犯罪,即使它们跨越国际边界。”
FBI助理副局长Turner表示:“FBI将继续追捕那些试图在键盘背后掩盖其犯罪活动并使用加密货币等手段逃避执法的行为者。” “我们将与我们的联邦和国际合作伙伴一道,不懈努力,瓦解和摧毁这些类型的犯罪企业。今天的逮捕应该提醒人们,联邦调查局将对从事这些活动的人施加风险和后果。”
“正如今天所指控的那样,Legkodymov故意让Bitzlato成为用于各种犯罪活动和由此产生的资金的避风港。FBI和我们的合作伙伴始终坚定地致力于保持加密货币市场——与任何金融市场一样——不受非法活动的影响。今天的行动应该成为这一承诺的榜样,因为Legkodymov现在将在我们的刑事司法系统中面对他的行为的后果。”联邦调查局助理局长Driscoll说。
这次涉及法国当局和美国财政部金融犯罪执法网络(FinCEN)的联合行动,可被视为截断因俄乌战争而受金融制裁的俄罗斯资金外流行动的后续。
美国和德国去年4月在一项联合执法行动中,关闭了全球最大丶历史最悠久的暗网市场Hydra,查获价值超过2500万美元的加密货币钱包。
而根据美国司法部文件,在关闭Hydra暗网市场前,Bitzlato为该市场的用户交换了价值超过7亿美元的加密货币。此外,Bitzlato还收到了超过1500万美元的勒索软件收益。
起诉书称,Bitzlato的客户经常使用公司的客户服务门户网站,要求为与Hydra的交易提供支持,而Bitzlato经常提供这种支持,并在与Bitzlato人员的聊天中承认,他们是以假身份进行交易。此外,Legkodymov和Bitzlato的其他经理都知道Bitzlato的账户充斥着非法活动,而且它的许多用户都是以其他人的身份注册的。例如,2019年5月29日,Legkodymov使用Bitzlato的内部聊天系统写信给一位同事,称Bitzlato的用户是“众所周知,都是骗子”,使用他人的身份证件注册账户。Legkodymov的同事一再警告说,Bitzlato的客户群体包括“在Hydra购买毒品的瘾君子”和“毒贩”,一位高级管理人员甚至强调,Bitzlato应该只是“名义上”打击毒贩,以避免损害公司的底线。保存在Bitzlato共享管理文件夹中的内部电子表格概括了公司对自身的看法:“优势:不需要KYC;劣势:都是脏钱”。
法庭文件显示,Legkodymov是Bitzlato公司的高级管理人员和大股东,Bitzlato是一家在香港注册、在全球运营的加密货币交易所。Bitzlato将自己推销为要求用户提供最少的身份证明,并指定“不需要自拍和护照”。在Bitzlato确实指示用户提交身份信息的情况下,它一再允许他们提供属于“稻草人”注册人的信息。
司法部助理部长Polite指出,Legkodymov涉嫌营运的加密货币交易所未能实施必需具备的反洗钱保障措施,让犯罪分子能够从其不法行为中获利。这些行为包括网上勒索软件丶贩毒及洗黑钱等。
司法部副部长Lisa O. Monaco在记者会上表示:“司法部对加密犯罪生态系统造成了重大打击,一夜之间,该部门与国内外的主要合作伙伴合作,破坏了 Bitzlato,这是一个为高科技加密犯罪轴心提供动力的洗钱引擎,并逮捕了其创始人俄罗斯国民Anatoly Legkodymov。今天的行动发出了明确的信息:无论是在中国还是欧洲犯罪——或者是在热带岛屿滥用我们的金融体系——你都必须在美国法庭上为你的罪行负责。”
起诉书称,尽管Bitzlato声称不接受来自美国的用户,但它与美国客户有大量业务往来,其客户服务代表一再告知用户,他们可以从美国金融机构转移资金。此外,Legkodymov本人在2022年和2023年从迈阿密管理Bitzlato,收到的报告反映出Bitzlato的网站有大量来自美国的互联网协议地址的流量,包括2022年7月超过2.5亿的此类访问。
诉状中的指控是一项指控,除非并在证明有罪之前,被告被推定为无罪。如果经营非法汇款业务的罪名成立,Legkodymov将面临最高5年的监禁处罚。
在宣布逮捕的同时,法国当局与欧洲刑警组织以及西班牙、葡萄牙和塞浦路斯的合作伙伴合作,摧毁了Bitzlato的数字基础设施并采取了执法行动。
目前加密货币Bitzlato交易所的官方网站已经无法正常使用,代替的是已被屏蔽的图片,并标明是多国联合执法行动所为。
当俄罗斯在2月入侵乌克兰时,一个名为Conti的臭名昭著的网络犯罪集团宣布“全力支持”总统弗拉基米尔·普京(Vladimir Putin)。三天后,Conti的一名亲乌克兰成员泄露了日志,详细说明了该组织的后续行动计划,称Conti的领导人“已经失去了所有的狗屎”。
这些日志揭示了世界上最大的网络犯罪集团之一的演变的一个惊人的新维度:这些集团正在沿着地缘政治路线分裂——民族主义议程正在渗透到一个网络犯罪活动中,直到现在,这个活动一直是无情的以利益驱动。
这使得所谓的暗网市场的阴暗世界——犯罪分子在这里交易计算机黑客工具、窃取的数据、毒品和洗钱服务——变得更加危险和难以控制。网络犯罪集团正在放弃管理这些市场的规则,并利用他们在这些平台上交易的恶意软件来攻击与他们认为是敌人的国家的关键基础设施和政府服务有关的更敏感的计算系统。
网络安全技术公司CrowdStrike负责情报的高级副总裁亚当迈耶斯(Adam Meyers)说:“有一种意识形态的网络行动,发生在我称之为自愿参与者之间。我们看到进攻性网络行动向越来越多的民族国家扩散。”
9月,谷歌和IBM的研究人员注意到了同样的动态。Conti的黑客工具被用于针对乌克兰的网络攻击,研究人员称之为“前所未有的模糊界限”。
在暗网上,这种新环境的出现,部分归功于执法的成功。4月,德国当局关闭了Hydra——当时世界上最古老、最大的暗网市场,也是Conti买卖数据和黑客工具的地方之一,根据日志显示。
像Conti这样的集团一直是相对不依赖平台的,愿意跳到下一个大平台并继续他们的业务。当FBI于2013年10月关闭世界上第一个现代暗网市场丝绸之路(Silk Road)时,这为AlphaBay铺平了道路,这个暗网市场的规模比其前身大10倍。
但当Hydra消失后,它的前任管理者迅速用多个新的、较小的暗网市场和论坛填补了这一空白,为网络威胁情报公司Flashpoint的高级分析师András Tóth-Czifra所说的俄语暗网的”市场之战“创造了条件。
而这些市场不仅与法律有冲突,而且彼此之间存在意识形态上的冲突,以亲克里姆林宫和亲乌克兰的路线划分。
华盛顿担心这些团体,但也在努力寻找解决办法。
众议院国家安全、国际发展和货币政策小组委员会主席、众议员吉姆·海姆斯(Jim Himes)表示,利用暗网的犯罪分子特别危险,因为他们需要相对较少的资源来入侵和破坏美国的大规模计算系统。
“这是最终的不对称威胁,”海姆斯说。
他说,当我们谈论技术复杂的暗网世界时,监管尤其困难。
“每个人都了解桥梁,对吧?没有人了解门罗币(Monero),”海姆斯说,他指的是难以追踪的加密货币,这种货币正在成为暗网市场的默认货币。
而警察和执法机构也仍在追赶,在技术和外交方面存在重大障碍,阻碍了打击大规模、分散的网络犯罪活动的努力。
与此同时,这些平台上的网络犯罪分子也在不断提高操作安全性。许多较新的市场已强制使用Monero,并越来越多地使用加密通信工具。
网络犯罪的地缘政治 Conti泄密事件只是Hydra垮台后这些团伙在新市场上的第一次政治对峙。
8月,直言不讳的亲克里姆林宫黑客活动组织Killnet攻击了一个名为RuTor的亲乌克兰暗网讨论论坛,声称它是由乌克兰特勤局特工运营的。
Flashpoint的Tóth-Czifra说,到目前为止,这种行为在网络犯罪黑社会中几乎是被禁止的——攻击一个隶属于前苏联国家的暗网行为者。例如,Alphabay的指导方针称该平台禁止针对俄罗斯、白俄罗斯、哈萨克斯坦、亚美尼亚或吉尔吉斯斯坦的任何活动。
这在一定程度上是因为保持暗网市场的运行总是有一定的政治意义,而这通常涉及与执法不严的政府友好相处。
“俄罗斯和其他一些国家所做的是睁一只眼闭一只眼,”海姆斯说,他将Conti这样的团伙描述为政府允许其运作的“准国家行为者”,因为他们对敌对国家的攻击满足了这些政府的政治目标。
在俄罗斯入侵乌克兰之前,美国和俄罗斯之间至少有过一些解决跨国网络犯罪的提议。2021年7月,美国总统拜登(Joe Biden)与普京通了一次电话,试图说服他打击设在俄罗斯的黑客组织。尽管拜登威胁要采取“任何必要的行动”来保护美国的关键基础设施,但他还表示,两国已就此问题建立沟通渠道。
但俄罗斯特工最后一次在暗网执法行动中甚至名义上与他们的美国同行合作是在4月——在Hydra被逮捕10天后,在乌克兰遭受入侵后不到两个月。俄罗斯当局以大规模贩毒罪名逮捕了德米特里·巴甫洛夫。巴甫洛夫承认作为中介提供服务器出租,但否认直接参与该网站的管理。
与此同时,利用这些市场的犯罪团伙变得更加肆无忌惮,利用他们在平台上购买的黑客工具对更大的目标进行网络攻击,从而使政府陷入困境。
到2017年,CrowdStrike的迈耶斯(Meyers)看到了“我们称之为大型游戏狩猎或企业勒索软件”的出现——指的是黑客用来阻止对计算机系统的访问,直到他们获得赎金。这些网络犯罪分子已经意识到,如果他们的目标离线几个小时的成本很高,或者如果泄露的数据特别敏感,他们的赎金要求就会得到更好的满足。“这确实是他们正在寻找的最佳方法。”迈耶斯说。
Flashbpoint的Tóth-Czifra表示,这些较高知名度的攻击意味着他们也不太担心政府会来找他们。
“我们认为,由于害怕报复,他们不会将关键基础设施或工业系统作为目标。然后Colonial Pipeline发生了,”他说,指的是2021年5月东欧组织DarkSide对东海岸一条主要燃料管道发动的网络攻击,迫使该公司停止运营六天。但DarkSide表示这次袭击不是政治性的。
监管和执法的问题 在Hydra倒下的那天,美国财政部长珍妮特耶伦向该平台的用户发出了不祥的警告。“你不能躲在暗网或他们的论坛上,你也不能躲在俄罗斯或世界其他任何地方,”耶伦说。“在与德国和爱沙尼亚等盟友和伙伴的协调下,我们将继续破坏这些网络。”
然而,到目前为止,Hydra的大多数网络犯罪用户群(供应商、买家和管理员)都逃脱了起诉。
批评人士说,这是因为执法部门适应缓慢,机构之间和政府之间的协调充其量也是零散的。
在美国国内,联邦机构尚未确定一项统一的战略来应对暗网上的网络犯罪活动——即使是非法毒品,执法部门重点关注的领域之一。
这是因为在加密货币主导的世界中,“追踪金钱”的传统方法越来越难。
自2015年以来,前DEA探员Elizabeth Bisbee一直在推动联邦执法部门学习如何在毒品调查中监控加密货币交易——这些市场的主要支付方式之一。
Bisbee现在是私营区块链分析公司Chainalysis的美国调查负责人,她表示,在她任职DEA期间,内部倡导在DEA的调查中提供更多的网络支持“遇到了犹豫”。
她说,在传统的执法环境中,数字支付和加密货币等概念仍然陌生。Bisbee回忆起她经常从努力适应的执法人员那里听到的说法:“我们管理电话号码,我们在街上进行监视。你的意思是,我们现在必须在计算机上进行监控?那有什么意思?”
调查人员有时会依靠传统技术,例如在个别暗网市场供应商试图兑现其加密货币收益时,分析他们的电话记录。
但这有其缺点。使用传统调查技术追踪单个供应商需要花费大量时间。Hydra在其服务器被没收时拥有19000多家活跃供应商。
由于技术挑战和这些调查的跨辖区性质,协调跨国执法行动以打击暗网上的网络犯罪活动可能需要数年时间。Hydra在其服务器被查封之前不受约束地运行了七年。
近年来取得了进展。在美国,DEA制定了多项举措来应对在线毒品交易,包括2018年成立的联合犯罪阿片类药物暗网执法小组。同年,美国司法部领导了一个多机构团队,摧毁了一个出售儿童色情制品的庞大暗网市场。在国际方面,经过美国司法部和国务院近四年的谈判,美国于5月签署了打击网络犯罪的国际执法合作协议。
但全球网络犯罪网络也升级了其游戏规则。
除了使用Monero等加密货币和更强大的加密技术之外,新的暗网市场正在转向内置的加密货币“混合器”,通过掩盖付款的来源来增加用户的匿名性。
缺乏监管继续帮助暗网市场的交易。世界各地对加密货币的监管差异很大,这意味着只要有一个国家进行打击,市场就可以转移到一个新的国家。美国于2022年8月对其中一个加密货币混合器——Tornado Cash的制裁所引起的反弹,凸显了监管支持用户匿名的技术是多么困难。
当联邦监管机构对如何监管区块链感到困惑时,Monero在8月宣布了加密升级,以提高用户匿名性。
适应变化的环境 因此,最新一代的暗网市场是庞大的网络犯罪企业,他们从前辈的操作安全错误中吸取了教训,具有阴暗的民族主义动机。
而且他们只会变得更加活跃。仅在2022年上半年,全球就报告了超过2.36亿次勒索软件攻击。
前FBI网络调查员Keith Mularski说:“你必须明白,你是一个目标,无论是来自有组织的网络犯罪集团、勒索软件,还是来自试图窃取你的知识产权的民族国家。”
随着这些团体动机的改变,打击他们的方法也可能必须改变。
Mularski说,归根结底,解决这些隐蔽的网络威胁的关键是了解“键盘末端的人”。
2022年4月,德国当局关闭了暗网上最著名的毒品和武器的俄语交易市场Hydra的网站(“九头蛇”),并没收了543个比特币,价值2300万欧元。
Hydra市场是全球成交量最高的非法交易平台,至少运行了七年。仅在2020年,该网站的销售额就至少达到12.3亿欧元。
据德国安全官员称,该交易市场不仅从事毒品销售的中介工作,个人数据和伪造文件也通过这个黑暗的网站出售。
在调查过程中,发现Hydra有超过1700万来自世界各地的注册用户,包括19000名活跃的非法商品和服务的卖家。
德国安全官员指出,美国情报机构和一些美国当局参与了调查,这使得对该犯罪网站的胜利成为一次展示的国际行动。
据称,Hydra市场是克里姆林宫的秘密机构、俄罗斯人的心血结晶。德国和世界媒体公开称其为“俄罗斯政府的网站”。
在德国的成功行动在乌克兰得到了意想不到的快速延续。
德国向乌克兰安全部队移交了因扣押“Hydra”暗网市场而获得的材料,这允许乌克兰开始拘留参与“Hydra”工作的公民,目前对涉案人员的逮捕已经同时在乌克兰多个城市进行。这是乌克兰武装部队战略通信办公室在其Telegram频道援引Politica的公告报道的。
内政部消息人士称,这只是安全部队的第一波行动。行动人员打算尽快查明哪些乌克兰人在该国境内代表Hydra网站的利益,以及这些利益究竟表现在哪些方面。“Hydra”在哈萨克斯坦、俄罗斯、乌克兰和白俄罗斯销售毒品、伪造文件和被盗数据,在乌克兰(特别是在基辅)经营该网站的集团非常重要,而且组织良好。
通过Hydra服务器进行的洗钱活动是调查中特别感兴趣的是犯罪所得。记者补充说,“各种来源”的洗钱活动是通过该网站的服务器进行的,该资源还为出售虚假文件和个人数据提供服务。根据戒严令,与Hydra有关的罪犯将面临“长期监禁判决”。
目前已经确认,由于德国和乌克兰特种部队的联合行动,俄罗斯Hydra市场没有机会维持其犯罪业务。
在美国和德国当局表示他们关闭了他们所谓的世界上最大的非法暗网市场Hydra一周之后,俄罗斯称其逮捕了据称是暗网平台Hydra的联合创始人。
德国警方本月表示,它控制了Hydra在德国的服务器,并没收了价值2500万美元的比特币资产。美国司法部在刑事指控中称30岁的德米特里·巴甫洛夫(Dmitry Pavlov)为暗网市场Hydra服务器的管理员。
巴甫洛夫曾表示他不知道这些指控,并坚称自己是无辜的。
“我们是一家托管公司,拥有所有必要的通信许可证。我们不管理任何网站,只是作为中间商提供服务器出租。”他上周告诉BBC的俄罗斯服务台。
根据法院的数据库,莫斯科的梅尚斯基(Meshchansky)地区法院裁定在审判前拘留 D. Pavlov,罪名是大规模贩运毒品。 。
该裁决日期为4月11日(星期一)。一位法院发言人向俄罗斯媒体透露,嫌疑人是德米特里·奥列戈维奇·巴甫洛夫,与美国司法部的起诉书中的名字完全吻合。
这很让人诧异,因为大量证据表明,俄罗斯政府是Hydra市场背后的支持者。有网友猜测,俄罗斯拘捕巴甫洛夫的可能原因只是为了保护他,或者防止泄密。
如果被判有罪,巴甫洛夫将面临15到20年的监禁。但他不太可能被引渡到美国,因为俄罗斯与美国两个国家之间没有引渡条约。
自2015年成立以来,暗网市场Hydra就通过Tor加密网络销售非法毒品、被窃取的信用卡数据、假币和伪造的身份证件。
德国和美国对Hydra市场的调查于2021年8月开始。
网络安全专家援引俄罗斯当局的消息称,俄罗斯警方自Hydra市场成立以来也一直在对其进行调查。他们推测,尽管已经关闭,但Hydra市场可能会重新上线。
前几天“暗网下/AWX”刚刚介绍了暗网市场Hydra,Hydra是俄罗斯最大的暗网市场,也服务于各个俄语国家,用于销售毒品、伪造文件、买卖数据和其他非法数字服务,该暗网市场的商品销量在疫情流行期间飙升。
根据德国联邦刑事警察局(BKA)的消息,在“法兰克福检察官打击网络犯罪中央办公室(ZIT)”和“联邦刑事警察局(BKA)”的共同努力下,暗网市场Hydra已经被德国警方关闭。法兰克福的检察官将“Hydra Market”平台描述为世界上最大的非法暗网市场。德国警方表示,他们已经关闭了该暗网市场的德国服务器,同时还查获了543个比特币,价值2300万欧元(2500 万美元)。
德国联邦刑事警察局(BKA)在一份声明中说,嫌疑人正在接受调查,罪名是“以商业方式在互联网上经营犯罪交易平台”、销售毒品等。该声明的标题是“关闭非法暗网市场‘Hydra Market’”。
Hydra市场的基本情况 据BKA称,Hydra暗网市场自2015年开始运营,拥有大约19,000家注册供应商和1700万客户账户。
报告称,“Hydra市场可能是全球营业额最高的暗网非法市场”,仅在 2020 年,该平台销售额就至少达到 12.3 亿欧元。该平台提供的“比特币银行混合器”是一种隐藏数字货币交易的服务,使调查变得特别困难。
网络安全出版物CPO杂志报道称,从2018年到2020年,Hydra增长了634%,占在线非法交易的75%。
据区块链取证公司Ciphertrace称,该市场主要用于毒品交易,服务于俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦、阿塞拜疆、亚美尼亚、吉尔吉斯斯坦、乌兹别克斯坦、塔吉克斯坦和摩尔多瓦。
它还在美国吸引了“备受瞩目的网络犯罪分子,包括负责Colonial Pipeline勒索软件攻击的DarkSide团伙”。
随着越来越多的非法交易转移到暗网上,疫情流行见证了Hydra的业务蓬勃发展。
BKA对Hydra市场的调查 BKA表示,对俄罗斯非法市场Hydra的调查于2021年8月开始,美国当局的多个部门参与配合调查。声明中法兰克福检察官办公室和联邦刑事警察局感谢所有相关安全部门的出色合作。
之前缉获的横幅已经在该暗网市场的网站上发布。“暗网下/AWX”访问发现,现在访问Hydra市场,显示的是“502 Bad Gateway”。
在新型冠状病毒大流行期间,暗网交易市场的使用激增,此类暗网市场也面临着来自国际执法部门的越来越大的压力。
去年,以德国为首的警方还摧毁了臭名昭著的暗网市场DarkMarket,该市场在全球拥有近50万名用户和2400多家供应商。
究竟Hydra市场完全被摧毁,还是只是部分服务器被关闭?究竟Hydra市场还能不能恢复如初?“暗网下/AWX”将拭目以待,持续跟进。