Săn lùng ông trùm lớn nhất của Dark Web, Phần 4: Đối mặt trực tiếp

CHƯƠNG 8

Tháng 6 năm 2017, một đội ngũ cảnh sát Hoàng gia Thái Lan đến Khách sạn Courtyard Marriott ở Sacramento, California. Jen Sanchez, một điệp viên kỳ cựu của Cơ quan Quản lý Chất ma túy, đã được phân công đưa đoàn đến từ Bangkok đến California để phối hợp với đội ngũ Mỹ - để giải quyết bất kỳ vấn đề nào ở đầu Bangkok của điều được biết đến với cái tên là Hoạt động Bayonet.

Cảnh sát Thái Lan gặp các đặc vụ, nhà phân tích và công tố viên Mỹ tại văn phòng của Viện kiểm sát viên Hoa Kỳ, với hơn hai chục người sắp xếp xung quanh phòng. Hai nước trao đổi bản trình bày PowerPoint. Ali và Erin, các chuyên gia phân tích tiền điện tử của FBI đến từ Washington, DC, đã hướng dẫn đồng nghiệp Thái Lan thông qua bài thuyết trình 'Bitcoin 101' và mô tả cách họ đã theo dõi các luồng tiền mặt ẩn của Cazes. Cảnh sát Thái Lan chia sẻ mọi thông tin họ đã học được từ việc theo dõi chuyển động vật lý của Cazes suốt nhiều tháng. Sau đó, cảnh sát giải thích chi tiết về hệ thống pháp lý Thái Lan - những gì đặc vụ Hoa Kỳ sẽ và sẽ không được phép làm với Cazes sau khi, nếu mọi thứ diễn ra tốt, họ bắt giữ được anh ta.

Giữa các cuộc họp, Sanchez đưa nhóm Thái Lan đi tham quan: đến một khu trải golf, đến một trung tâm mua sắm - nơi các sĩ quan lao động tháo chạy vào cửa hàng Outlet của Coach - và một chuyến tham quan đến San Francisco bằng xe van thuê. Những người Thái, quen với khí hậu nhiệt đới, gần như bị đóng băng ở Fisherman's Wharf; họ quá mệt mỏi và mệt mỏi từ cuộc đi ngắm cảnh của họ, ngủ gật qua chuyến đi qua cầu Golden Gate ở cả hai hướng. Một ngày khác, FBI dẫn nhóm Thái Lan tham quan phòng thí nghiệm về chất nổ tại văn phòng lĩnh vực Sacramento của cơ quan, trưng bày các robot tắt bom của cơ quan. Paul Hemesath, công tố viên, sau đó mang ra tai nghe thực tế ảo HTC Vive của mình, và đại diện của hai quốc gia luân phiên đi qua một cái cầu trên một vực sâu ảo và đánh bại zombie ảo với kiếm.

Khi họ không bận rộn với du lịch và các bài tập xây dựng đội, các đặc vụ đang bảo kê với các chi tiết thực tế của việc đột kích một ông trùm dark-web. Một lúc nào đó, đặc vụ FBI dẫn đầu vụ án trình bày vấn đề đang đe dọa của việc mã hóa laptop của Cazes. Sanchez và nhóm Thái giải thích rằng dựa trên giám sát của họ, Cazes hầu như không bao giờ mở máy tính của mình bên ngoài nhà riêng. Các đặc vụ đồng ý: họ phải bắt anh ta ở trong nhà, đăng nhập vào AlphaBay và tuy nhiên nào đó không để ông ta đề phòng để anh ta không tắt máy tính xách tay trước khi bị bắt giữ.

Gần như quan trọng như chiếc máy tính là chiếc iPhone của Cazes. FBI nói với nhóm Thái Lan rằng họ cần phải bắt nó mở khóa, hoặc nó cũng sẽ được mã hóa không thể phục hồi. Chiếc điện thoại, cuối cùng, có thể giữ các chìa khóa cho các ví tiền điện tử của Cazes hoặc dữ liệu quan trọng khác. Câu hỏi về cách làm thế nào để điều chỉnh kim chỉa của việc bắt giữ cả hai thiết bị này và thông tin của chúng treo lơ lửng trong không khí, chưa được trả lời.

Sau đó, Sanchez nói: Cô hỏi đặc vụ FBI dẫn đầu liệu có hữu ích khi biết thêm về cách Cazes dành ngày của mình, từng giờ một. Cuối cùng, cô giải thích, anh ta đã nói tất cả trên Roosh V, diễn đàn trực tuyến dành cho 'alpha males' nơi Cazes thực tế đã ghi lại hàng ngày cuộc sống và những cuộc phiêu lưu tình dục của mình dưới tên gọi Rawmeo. Đặc vụ FBI mời cô tiến lên.

Vì vậy, Sanchez dẫn nhóm qua lịch trình hàng ngày của Cazes như anh ấy đã mô tả nó với chi tiết chính xác: Thức dậy vào lúc bình minh và kiểm tra email và mạng xã hội, bao gồm diễn đàn Roosh V. Tập thể dục tại nhà cho đến buổi sáng muộn. Quan hệ tình dục với vợ. Sau đó, đến máy tính xách tay và giải quyết công việc cho đến tối, chỉ có một khoảng nghỉ ngắn vào buổi chiều cho bữa trưa nhẹ. Lúc 7 giờ, anh ấy sẽ nghỉ làm việc để đi ăn tối và tìm kiếm cô gái trong chiếc Lamborghini Aventador của mình. Hầu như mỗi khi anh ta trở về nhà và ngủ vào lúc 11 giờ.

Sau đó, Sanchez đưa ra một quan sát khác từ việc lướt Roosh V của mình: Cô có thể thấy trên diễn đàn chính xác khi Cazes đang online. Đèn xanh nhỏ bên cạnh tên Rawmeo không chỉ là một lời nhắc rằng họ đang nhìn thấy suy nghĩ của Cazes trong thời gian thực. Nó cũng có thể phục vụ như một chỉ báo về lúc máy tính xách tay của anh ấy mở - và khi Alpha02 có thể bị tấn công.

chỉ vài ngày sau đó, vào sáng ngày 20 tháng 6 năm 2017, tại thành phố nhỏ Driebergen ở trung tâm Hà Lan, một nửa tá cảnh sát Hà Lan tụ tập xung quanh một phòng họp nơi họ đã lo lắng đợi từ sớm trong ngày. Cuối cùng, điện thoại của một trong những nhà điều tra reo lên với cuộc gọi từ Cảnh sát Liên bang Đức. Người Đức vừa bắt giữ hai quản trị viên của Hansa, thị trường đen lớn thứ hai trên dark web, tại nhà họ. Cả hai đều bị giữ. Giai đoạn đầu tiên của đòn đánh mạnh mẽ của Chiến dịch Bayonet - một nỗ lực chưa từng có để đánh bại một thị trường trong khi bí mật tiếp quản thị trường khác - giờ có thể bắt đầu.

Trong suốt vài tuần, Đội Cảnh sát Tội phạm Cao cấp Quốc gia Hà Lan đã chuẩn bị cho khoảnh khắc này. Họ đã sử dụng mã nguồn cho Hansa mà họ đã rút từ máy chủ Đức để xây dựng phiên bản thực hành của riêng mình, ngoại tuyến, của thị trường, để làm quen với cách nó được xây dựng và quản lý. Họ đã đi xa đến mức tạo ra phiên bản tiền giả của Bitcoin của riêng họ, với blockchain riêng—những gì các nhà phát triển tiền điện tử gọi là một testnet—để thực hiện thử nghiệm riêng tư về cách trang web xử lý các giao dịch tài chính của mình.

Bây giờ, với các quản trị viên thực sự bị bắt, họ phải tiếp quản và vận hành phiên bản thực, sống của Hansa, với hàng triệu đô la di chuyển giữa hàng chục nghìn người dùng. Và họ phải làm điều này một cách mượt mà, mà không làm đứng trang web hay tệ hại hơn, không để người dùng hay nhân viên của trang web nào biết rằng hai quản trị viên đã được thay thế bằng một đội ngũ cảnh sát Hà Lan điều tra trực undercover.

Sau khi nhận được tín hiệu từ phía người Đức, đội ngũ Hà Lan ngay lập tức gọi điện thoại cho một cặp đặc vụ mà họ đã gửi đến một trung tâm dữ liệu ở Lithuania, nơi máy chủ đang chạy Hansa được lưu trữ. Những đặc vụ này đã rút ra một ổ cứng từ tủ chứa máy để họ có thể truy cập bản sao dự phòng của dữ liệu. Các đội ở Driebergen và Lithuania sau đó bắt đầu sao chép mọi thành phần số của thị trường, từng mảnh một, trên máy tính của họ và sau đó trên một máy chủ trong một trung tâm dữ liệu ở Hà Lan, xây dựng một bản sao chính xác của trang web mà bây giờ đang dưới sự kiểm soát của họ.

Trong hai ngày tiếp theo, các nhà điều tra Hà Lan ngồi trước bàn phím từ buổi sáng đến rất khuya, được cung cấp năng lượng bởi pizza và Red Bull. Ở một giai đoạn sớm, có người làm đổ nước ngọt lên bàn họi nghị, gần như làm ướt một chiếc laptop chứa toàn bộ bộ sưu tập dữ liệu của Hansa; chỉ có một pha nhanh nhẹn của một trong những nhà điều tra đã cứu được nó. Ở một giai đoạn khác, một lỗi chính tả trong một lệnh duy nhất khiến trang web tắt trong vài phút hoảng loạn trước khi có thể khôi phục.

Khoảng 3 giờ sáng vào đêm thứ ba sau khi bắt giữ, một nhà điều tra Hà Lan, Marinus Boekelo, đang sửa lỗi một lỗi khác khiến thông báo lỗi tràn ra màn hình mỗi khi có người sử dụng thanh tìm kiếm ở đầu trang. “Mẹ, mẹ, mẹ!” Boekelo lẩm bẩm, cúi xuống laptop, đôi tay hai bên khuôn mặt khi anh ta thử từng sửa chữa một sau một.

Sau đó, sau một khoảnh khắc, anh ta nghiêng về sau với vẻ nhẹ nhõm. Những thông báo lỗi đã biến mất. Lỗi nghiêm trọng cuối cùng đã được khắc phục.

Sau gần 72 giờ, họ đã đưa trang web tái tạo chạy mượt mà, hoàn toàn dưới sự kiểm soát của họ. Đội ngũ hỗn tạp vẫn đang làm việc trong phòng họi nghị bùng nổ trong niềm vui. Ngoại trừ giai đoạn ngắn tắt, quá trình di trú của trang web đến một trung tâm dữ liệu ở Hà Lan đã gần như không thể nhìn thấy đối với người dùng.

Dấu hiệu rõ ràng nhất về sự kiểm soát, cảnh sát Hà Lan lo lắng, là trong gần ba ngày đã có im lặng hoàn toàn từ hai quản trị viên Hansa. Bốn người quản lý trang web nhìn đến hai quản trị viên để nhận lệnh và giải quyết bất kỳ tranh chấp nào giữa người mua và người bán mà họ không thể giải quyết được một mình. Cảnh sát có thể thấy rằng các quản trị viên liên lạc với nhân viên Hansa bằng cách sử dụng một hệ thống nhắn tin được mã hóa gọi là Tox Chat - máy chủ họ đã tịch thu chứa một số logs giới hạn về giao tiếp trong quá khứ của họ - nhưng họ không có mật khẩu để đăng nhập vào tài khoản chat của họ.

Vì vậy, họ thử một giải pháp đơn giản: Họ yêu cầu sự giúp đỡ của các quản trị viên thực sự. Hai người Đức nhanh chóng đồng ý hợp tác với hy vọng được một hình phạt nhẹ hơn. Họ giao mật khẩu Tox Chat của mình cho cảnh sát Đức, người chuyển chúng cho Hà Lan. Đội ở Driebergen sau đó tiếp tục nói chuyện hàng ngày giữa các ông chủ và nhân viên năng động của thị trường đen. Với sự hợp tác của các quản trị viên thực sự và logs Tox Chat của họ, họ đã có thể tiếp tục kinh doanh của trang web mà không gặp sự cản trở. Lỗi duy nhất ban đầu của họ là trả một người quản lý số tiền không đúng cho lương Bitcoin của anh ấy, liên kết với loại tiền không kỹ thuật số sai. Cảnh sát undercover sửa sai của họ, trả cho nhân viên khoản chênh lệch, và mọi thứ được tha thứ.

Đội ngũ Hà Lan đã nghĩ ra một câu chuyện che đậy cho những ngày offline của các quản trị viên: Họ sẽ nói với bất kỳ ai hỏi rằng họ đang tập trung, mã hóa một bản nâng cấp cho thị trường. Nhưng không ai hỏi. Bảng tổ chức của thị trường và tính bí mật của các hoạt động trên dark web, nơi không ai trong nhân viên biết đến đồng nghiệp của họ ngoài tên người dùng và lịch sử chat chung, có nghĩa là cảnh sát mặc đồ quản trị viên không phải trả lời bất kỳ câu hỏi tò mò nào về sự vắng mặt của họ.

Hay, họ nhận ra với niềm vui, không có vẻ có bất kỳ trò đùa hay tin đồn nào bên nội địa để bắt kịp. “Thực tế là họ không thảo luận về bất cứ điều gì cá nhân với nhau,” một nhà điều tra nhớ lại. “Đó chỉ là kinh doanh thuần túy.”

Câu chuyện che đậy về việc nâng cấp không phải là hoàn toàn một lừa dối. Trong quá trình tái tạo trang web, cảnh sát Hà Lan thực sự đã giải quyết một số lỗi của nó và viết lại một số phần mã nguồn để trở nên hiệu quả hơn. Và vì họ hiện có một đội ngũ gồm một nửa tám đặc vụ xoay vòng đóng vai trò như các quản trị viên, thay vì hai cá nhân làm việc quá tải, họ nhận ra rằng khách hàng của trang web coi việc vận hành hàng ngày của thị trường đã được cải thiện đáng kể.

Một trong những đặc vụ Hà Lan trẻ tuổi đã từng làm việc làm admin trợ giúp IT vài năm trước. Anh ta thấy công việc mới của mình giúp vận hành Hansa có vẻ rất tương tự. Anh ta bắt tay vào giải quyết mâu thuẫn một cách hiệu quả về các giao dịch ma túy của trang web, được hỗ trợ bởi một bộ câu trả lời mà các quản trị viên đã chuẩn bị một cách hữu ích trong một bảng điều khiển trực tuyến. Ngay cả nhà điều tra undercover còn giúp đỡ một gã buôn ma túy biết ơn, người có vấn đề về thị lực, giúp anh ta tìm cách tích hợp phần mềm đọc màn hình của mình với trình duyệt Tor.

Bất kể những khúc mắc về đạo đức, đội ngũ không thể không tự hào về chuyên nghiệp của công việc của họ. “Chất lượng thực sự đã tăng lên,” Gert Ras, trưởng đội Cảnh sát Tội phạm Cao cấp Quốc gia Hà Lan nói. “Mọi người rất hài lòng với mức dịch vụ họ nhận được.”

cho ngày đầu tiên họ đóng vai trò những người điều hành Hansa, đội ngũ đã cẩn trọng theo dõi bộ máy nội bộ của trang web, hầu như không tin rằng họ đã thoát khỏi việc chiếm đoạt. Nhưng khi trở nên rõ ràng rằng họ có thể kiểm soát Hansa seemingly vô thời hạn, họ định cư, làm việc theo ca để vận hành trang web 24/7 từ phòng họi nghị nhỏ ở Driebergen.

Tren một bức tường, họ đã thiết lập một màn hình 65 inch nơi một người bắt đầu một chiếc đồng hồ bấm giờ, đo chính xác thời gian họ đã kiểm soát thị trường. Sau đó, từ từ, một cách im lặng, họ bắt đầu đặt bẫy họ đã lắp ráp.

Hansa, như bất kỳ thị trường web tối tốt nào, đã được thiết kế để học ít thông tin nhất có thể về người dùng của nó, ngoài những gì cần thiết để hỗ trợ giao dịch ma túy đáng tin cậy. Mật khẩu cho tài khoản người dùng được lưu trữ chỉ dưới dạng 'hash' mật mã - chuỗi ký tự không thể giải mã, giúp trang tránh việc phải bảo vệ một bộ sưu tập các thông tin đăng nhập nhạy cảm đó. Hansa cũng cung cấp cho người dùng khả năng tự động mã hóa tất cả các tin nhắn của họ bằng chương trình bảo mật PGP - bao gồm, quan trọng nhất, địa chỉ gửi thư mà người mua sẽ chia sẻ với người bán khi họ đặt hàng. Tất cả điều này có nghĩa là, trong lý thuyết, trang web sẽ không bao giờ có quyền truy cập đầy đủ vào tài khoản người dùng hoặc biết dữ liệu cá nhân nhất của họ, chẳng hạn như vị trí nhà của họ.

Bây giờ, cảnh sát bắt đầu làm hỏng những biện pháp bảo vệ đó một cách vô hình. Họ bắt đầu ghi lại tất cả tên người dùng và mật khẩu của Hansa khi người mua và người bán đăng nhập. Họ cũng bắt đầu lưu trữ một cách bí mật toàn bộ văn bản của mọi tin nhắn mà người dùng gửi trên trang web trước khi văn bản được mã hóa. Chẳng bao lâu họ đã thu thập hàng trăm, sau đó hàng nghìn địa chỉ của người mua từ các đơn đặt hàng, biến cả thị trường trở thành một hồ cá trong sự giám sát thời gian thực của họ.

Theo luật Hà Lan, cảnh sát phải ghi lại và cố gắng chặn mọi đơn đặt hàng ma túy được thực hiện trên thị trường trong khi họ kiểm soát nó. Do đó, nửa chục điệp viên ngầm trong phòng họ nhỏ đã sớm được tham gia bởi hàng chục người khác, làm việc ở cùng một tầng, được giao nhiệm vụ phân loại thủ công mỗi giao dịch mua sắm duy nhất. Họ chuyển dữ liệu từ các đơn bán hàng dành cho Hà Lan đến cảnh sát Hà Lan, có thể bắt giữ các gói hàng chứa heroin, cocaine và meth được gửi qua bưu điện nội địa. Đơn đặt hàng không phải là Hà Lan sẽ được gửi đến Europol, nhiệm vụ của họ là phân phối ngôi đống dữ liệu giao dịch ma túy ngày càng tăng này đến các cơ quan chức năng của các quốc gia tương ứng.

Trước đó, cảnh sát Hà Lan đã đạt được điều gì đó mà lực lượng chức năng chưa bao giờ thử nghiệm trước đây: săn, bắt giữ và thực hiện mổ bụng một thị trường ma túy trên dark web trong thời gian thực, mà người dùng của trang web không hề biết. Nhưng Operation Bayonet chỉ mới bắt đầu. Người Hà Lan - và đồng minh từ Sacramento đến Bangkok - đang nhắm vào những con mồi lớn, khác ngoài đối tượng ban đầu.

CHƯƠNG 9

vào ngày 22 tháng 6, 2017, hai ngày sau khi Hansa bị chiếm đóng và chưa đầy hai tuần trước ngày dự kiến ​​đóng cửa AlphaBay, Michael Gronager và Jonathan Levin, đồng sáng lập của công ty theo dõi tiền điện tử hàng đầu thế giới, Chainalysis, tình cờ đang ở Hà Lan. Cũng như một nhà điều tra tội phạm của Cơ quan Thuế nội địa có tên Tigran Gambaryan. Tất cả họ đã bay đến The Hague, nằm ở giữa quốc gia nhỏ từ văn phòng Driebergen nơi người Hà Lan đang kéo dây bút của Hansa, để tham gia một hội nghị Europol tập trung vào điều tra tiền ảo.

Là những nhà thầu không có chứng chỉ an ninh, Levin và Gronager không biết về những gì Gambaryan biết: vào thời điểm này, tất cả các mảnh ghép của Operation Bayonet đang hội tụ. Quá trình chiếm đóng Hansa của Hà Lan đã bắt đầu. Một đội ngũ người Mỹ nhắm vào AlphaBay đã lên kế hoạch để thiết lập giám sát của máy chủ Hà Lan của thị trường đó vào sáng sớm ngày 5 tháng 7, chụp ảnh nhanh về nội dung của nó trong khi Cazes đang đăng nhập. Họ sẽ tạm ngừng nó chỉ sau khi Thái Lan bắt Cazes ở Bangkok; chạm vào nó sớm hơn có thể làm hốt hoảng anh ta và khiến anh ta phá hủy bằng chứng hoặc bỏ chạy. Các công tố viên Mỹ sau đó sẽ thẩm vấn Cazes và nhanh chóng dẫn độ anh ta về nước. Ngay cả Cảnh sát Lưỡi Liềm Hoàng Gia Canada cũng đã được rủi vào để đồng thời tìm kiếm nhà của mẹ Cazes tại Quebec.

Gambaryan chỉ ở ngoại vi của cơn lốc toàn cầu này về công việc điều tra. Là một kế toán viên pháp y cũng cứng cáp, ông đã có được danh tiếng là một nhà điều tra dark-web có khả năng cao và là người giỏi nhất về Bitcoin của IRS. Một vài năm trước đây, ông đã tiên phong trong vụ án tội phạm theo dõi tiền điện tử thực sự đầu tiên, theo dõi dấu vết Bitcoin để chứng minh rằng hai điệp viên liên bang được giao nhiệm vụ điều tra thị trường dark-web Silk Road thực sự đã bỏ túi hàng trăm nghìn đô la giá trị của Bitcoin của thị trường thông qua trộm cắp, tống tiền và bán thông tin nội gián.

Gambaryan làm việc như là một phần của đội tội phạm mạng của Cơ quan Thuế nội địa tại DC, nhưng ông đã biết về vụ án AlphaBay từ sớm thông qua một nhân viên thân thiện của IRS ở Fresno, California, quê hương của mình, nơi ông thường xuyên đến thăm bố mẹ mình. Ông đã theo dõi tiến triển của cuộc điều tra, nhưng ông chưa bao giờ được giao nhiệm vụ điều tra.

Tuy nhiên, ông không thể không đôi khi tò mò đâm một cách tinh nghịch vào thị trường dark-web lớn nhất trong lịch sử. Trong vài tháng, Gambaryan đã theo dõi dấu vết của AlphaBay qua blockchain, quấy rối Jonathan Levin của Chainalysis với ý tưởng mới về cách hạn chế ranh giới của 'cụm' AlphaBay - hàng triệu địa chỉ Bitcoin mà trang web và người dùng của nó đã tạo ra - hoặc theo dõi dấu vết tiền tệ phạm tội nhất của nó. Ông đã, như Levin mô tả, 'hoàn toàn không ngừng nghỉ.'

Mùa xuân đó, Gambaryan và Levin đã cùng nhau nảy ra một ý tưởng - một phương pháp mới, thử nghiệm để xem xét việc sử dụng tiền điện tử của AlphaBay. Các công tố viên trong vụ án AlphaBay chỉ đề cập đến nó bằng thuật ngữ vô cùng mơ hồ 'Phân Tích Nâng Cao.' Nhưng Gambaryan và Levin hy vọng họ có thể sử dụng nó để khám phá một phát hiện lớn: địa chỉ IP của máy chủ chứa Ví Bitcoin của AlphaBay. Với IP đó trong tay, họ nên có thể xác định vị trí vật lý của máy chủ và chiếm đóng nó, có được bằng chứng chính trong vụ án của họ chống lại Cazes và đảm bảo rằng không ai khác trên đội ngũ của AlphaBay sẽ có thể kiểm soát trang web sau khi Cazes bị bắt.

Theo mọi tri thức thông thường, không nên có khả năng biết địa chỉ IP đó thông qua giám sát blockchain. Blockchain, sau tất cả, là sổ cái giao dịch giữa địa chỉ Bitcoin. Nó không ghi lại địa chỉ IP, chuỗi số xác định máy tính cá nhân trên Internet và thường có thể giúp các nhà điều tra xác định vị trí chúng. Nhưng phương pháp của Levin và Gambaryan có thể somehow có được những định danh đó. Cả hai đều không tiết lộ một từ nào về cách thức hoạt động của kỹ thuật này. Trên thực tế, trong cuộc trò chuyện của chúng tôi, họ chưa bao giờ xử lý bất kỳ phần nào của nghệ thuật theo dõi tiền điện tử với sự bí mật lớn hơn.

Không biết đến Levin, đến mùa xuân năm 2017, nhóm Operation Bayonet tin rằng họ đã biết địa chỉ IP của một AlphaBay: địa chỉ ở Hà Lan một lần đã bị rò rỉ trong email chào mừng cho diễn đàn của trang web và sau đó vào tháng 11 năm 2016 được một người gửi gợi ý cho điều tra viên DEA Fresno Robert Miller. Nhưng Gambaryan nghĩ rằng việc kiểm tra độc lập thông tin quan trọng này không thể gây hại. Levin đã thực hiện nghiên cứu thực tế riêng của mình về AlphaBay trong nhiều năm, và anh ta háo hức thử nghiệm một kỹ thuật điều tra mới mà Chainalysis có thể tiềm ẩn cho các khách hàng khác.

Vào buổi sáng tháng 6 tại The Hague, Levin ngồi tại bàn làm việc trong một căn hộ tại phía tây yên bình của thành phố ven biển này, cách vài block từ bãi biển, gần một cảng đánh cá trải dài ra Biển Bắc với gió. Levin và Gronager đã thuê căn phòng Airbnb và chia sẻ nó - nhiều hơn là cần thiết về mặt tài chính, bởi vì Chainalysis vừa qua đã huy động một số vốn hàng triệu đô la và luồng tiền tăng lên - với một người ở trong phòng ngủ và người kia trên sofa.

Levin và Gronager đều thức dậy sớm, trước khi hội nghị Europol bắt đầu. Vì vậy, Levin sử dụng khoảnh khắc trống rỗng này để kiểm tra kết quả của thí nghiệm phân tích nâng cao của anh và Gambaryan.

Câu trả lời xuất hiện, không có sự nổi bật, trên màn hình của Levin: một địa chỉ IP của AlphaBay. Hoặc chính xác hơn, một vài địa chỉ IP có khả năng thuộc về máy chủ ví trang web. Một cuộc tìm kiếm nhanh cho thấy rằng địa chỉ phổ biến nhất trong số chúng không phải ở Hà Lan, mà thực tế ở một trung tâm dữ liệu tại Lithuania.

Levin nhớ lại cảm xúc của mình ở thời điểm đó không phải là một sự thấu hiểu sâu sắc mà chỉ là một cảm giác nhất thời như một tia sáng nhận thức. 'Hừm,' anh tự nghĩ. Anh ta không có một dấu hiệu rằng cuộc đột kích toàn cầu được phối hợp của AlphaBay được lên kế hoạch chỉ cách đó chưa đầy 10 ngày và rằng, theo các số liệu mà anh ta thấy trên màn hình bây giờ, nó đang nhắm vào một máy chủ ở quốc gia sai. Anh ta ghi chú tâm trí để thông báo cho Gambaryan về địa chỉ IP Lithuania lần gặp tới.

Cơ hội đến vào tối hôm đó. Sau một ngày dành tại hội nghị Europol, cả hai ngồi cùng bàn ăn tối với mười hai điều tra viên, nhà phân tích, công tố viên và nhà thầu khác nhau xung quanh một bàn dài tại Flavor's, một nhà hàng với thịt nướng và steak cách vài block từ trụ sở Europol, với những bức tranh về một bữa tiệc trung cổ trải dài trên tường. Họ vừa đặt đồ uống khi Levin nghĩ đến việc thông báo với Gambaryan rằng ý tưởng thử nghiệm của họ dường như đã thành công. Anh ta cho Gambaryan xem ba địa chỉ IP trên điện thoại, chỉ ra địa chỉ Lithuania có vẻ là phổ biến nhất.

Nhân viên thuế IRS im lặng. Anh ta rút ra chiếc điện thoại của mình và chụp một bức ảnh màn hình của Levin. Sau đó, anh ta đứng dậy, mặt trống trải, và nhanh chóng bước ra khỏi nhà hàng mà không giải thích.

Levin nhìn theo anh ta, ngơ ngác. Gambaryan thậm chí còn chưa trả tiền cho cốc bia của mình.

gambaryan chạy qua tám khối qua các con phố của khu dân cư, vượt qua bảo tàng nghệ thuật của The Hague, đến khách sạn Marriott bên cạnh trụ sở Europol, nơi anh và hầu hết những điều tra viên quốc tế khác tham gia hội nghị đang ở. Anh ta đi thẳng lên tầng cao nhất của tòa nhà, nhìn ra khu rừng tối om của Park Sorghvliet, được bao quanh bởi các tòa nhà chính phủ quốc tế. Tại một bàn trong một phòng họp trống rỗng, anh ta mở laptop, xác nhận rằng địa chỉ IP mà Levin đã tìm thấy thực sự nằm trong một trung tâm dữ liệu ở Lithuania, và sau đó bắt đầu gọi điện thoại cho các công tố viên của Operation Bayonet - Grant Rabenn và Paul Hemesath ở California, cũng như Alden Pelker, luật sư tội phạm mạng đặt trụ sở tại DC, và Erin, chuyên gia phân tích Bitcoin của FBI đang ở The Hague tham dự hội nghị Europol - để thông báo rằng anh và Chainalysis đã tìm thấy điều có vẻ là vị trí thực sự của máy chủ trung tâm của AlphaBay, và nó không ở Hà Lan mà là ngàn dặm về phía đông.

Chẳng bao lâu sau đó, Erin tham gia Gambaryan trong phòng họp khách sạn, với Hemesath và Rabenn trên đầu dây từ California, nơi mà vẫn còn sớm trong ngày. Levin của Chainalysis đến không lâu sau đó, theo sau là Gronager, người đã tham dự một bữa tối kinh doanh khác; cả hai đàn ông được kéo vào cuộc họp của đêm dựa trên nhu cầu cần biết. Cho đến sáng sớm, nhóm làm việc một cách hết mình để sắp xếp logistice để chiếm đóng cơ sở hạ tầng của AlphaBay không phải từ Hà Lan, như họ đã dự kiến, mà từ Lithuania, khi mà thời hạn ngày 5 tháng 7 của họ chỉ còn vài ngày nữa. Tại một thời điểm nào đó, một nhân viên khách sạn Hà Lan vào trong phòng để cố gắng nói với nhóm rằng phòng đã đóng cửa. Gambaryan, người kỹ thuật không phải là một phần của hoạt động AlphaBay, tự nhiên giơ thẻ của mình trước mặt người Hà Lan - một thẻ không có thẩm quyền thực sự bên ngoài Hoa Kỳ - và người Hà Lan sửng sốt rút lui, để họ tiếp tục công việc của họ.

Cuối cùng, mẹo phân tích nâng cao của Gambaryan và Chainalysis đã cứu Operation Bayonet, gần như vào phút chót, khỏi những gì có thể đã là một sai lầm lớn. Các nhà điều tra sau này sẽ biết rằng địa chỉ IP ở Hà Lan mà họ đã tập trung suy nghĩ suốt nhiều tháng chỉ đến một trung tâm dữ liệu giữ cho trang web một máy chủ cũ hơn, chứ không phải là thánh giải mà họ đang tìm kiếm. Giống như Hansa, AlphaBay có vẻ đã chuyển từ một nhà cung cấp dịch vụ lưu trữ Hà Lan sang Baltic vào một thời điểm nào đó. Mà không có địa chỉ IP Lithuania, được chuyển từ điện thoại của Levin sang điện thoại của Gambaryan trong một nhà hàng thịt nướng, các nhà điều tra sẽ đã đột kích vào một nơi ẩn náu bị bỏ rơi, để trụ sở tội phạm thực sự của AlphaBay được giữ nguyên.

Không có một nhà điều tra nào trong Operation Bayonet từng giải thích công cụ phân tích nâng cao Hail Mary đó công khai - cũng như họ không giải thích cho tôi trong những năm tiếp theo. Điều này một phần là vì tính bí mật của kỹ thuật, các đặc vụ và công tố viên đã đề xuất, đã cho phép nó được sử dụng lần nữa và lần nữa, xác định địa chỉ IP của ví Bitcoin của dịch vụ dark-web trong một loạt các vụ án lớn. Các cơ quan chức năng muốn đảm bảo phương pháp không bị “đốt cháy” - bị tiết lộ cho các quản trị viên dark-web hoặc nhà phát triển Bitcoin có thể khắc phục những lỗ hổng mà nó khai thác.

Tuy nhiên, đối với bất kỳ người theo dõi những ngày đầu tiên của Chainalysis, có lẽ sẽ khó tránh khỏi việc đưa ra một phỏng đoán giáo dục cụ thể về cách công cụ bí ẩn của công ty hoạt động. Năm 2015, chỉ vài tháng sau khi thành lập, startup này đã gây ra một cuộc nổ lớn, rất công khai trong cộng đồng Bitcoin với một phương pháp có khả năng xác định địa chỉ IP của người dùng Bitcoin. Công ty đã thiết lập bộ sưu tập riêng của mình với các nút Bitcoin, các máy tính làm nền tảng truyền thông của mạng Bitcoin. Không giống như các nút Bitcoin thông thường, các nút của Chainalysis được thiết kế để lặng lẽ ghi lại địa chỉ IP mà người dùng Bitcoin phát sóng với mỗi giao dịch. Bằng cách ghi lại mỗi IP đi qua các nút mà không tiếp cận, Chainalysis nhằm tạo ra một bản đồ toàn cầu về vị trí vật lý của người dùng Bitcoin.

Sự nghe trộm IP được thiết kế như một bảng chứng cứ về khả năng của công ty khởi nghiệp trẻ. Khi phát hiện ra, kết quả là một chuỗi dài, đầy độc tố trên diễn đàn tiền điện tử BitcoinTalk, nơi Chainalysis bị lên án là một nhà cung cấp công cụ 'giám sát hàng loạt'. Gronager, CEO của công ty, đã xin lỗi và đóng thử nghiệm lại.

Tuy nhiên, sau nhiều năm, liệu phương pháp đó có thể đã được điều chỉnh để một cách âm thầm định vị ví Bitcoin của những người dùng cụ thể? Ngay cả khi giao dịch được gửi từ một máy tính chạy trên mạng ẩn danh Tor?

Đối với Operation Bayonet, tất cả những gì quan trọng là Gambaryan của IRS và Levin của Chainalysis đã cùng nhau chỉnh sửa hành trình của một cuộc điều tra quốc tế lớn, phối hợp ở mức độ lớn, vào một thời điểm quan trọng, triển khai một vũ khí bí mật với gần như không có thời gian dư dả. Nhưng vũ khí bí mật thì thường không giữ bí mật mãi mãi.

CHƯƠNG 10

vào những ngày cuối cùng của tháng Sáu, người Mỹ đã đổ xuống Bangkok như một hội nghị thuộc về lực lượng thực thi pháp luật nhiệt đới.

Họ bao gồm gần 20 điều tra viên, nhà phân tích, chuyên gia phân tích máy tính và công tố viên từ FBI, DEA, IRS, Bộ Tư pháp, Bộ An ninh Nội địa và Cảnh sát Hoàng gia Canada. Hơn mười thành viên của nhóm đã đặt phòng tại Athenee, một khách sạn năm sao chỉ cách đại sứ quán Mỹ vài khối, quảng cáo rằng nó được xây dựng trên đất mà trước kia thuộc sở hữu của một công chúa Xiêm thế kỷ 19 và có tám nhà hàng và một mái hiên với vườn và hồ bơi. Đó là, như công tố viên Grant Rabenn ghi chú, chắc chắn là khách sạn đẹp nhất mà anh ấy từng đặt phòng trên chi phí hàng ngày của chính phủ.

Chỉ còn vài ngày cho đến khi họ thực hiện kế hoạch bắt, Rabenn, Hemesath và công tố viên Louisa Marion ở DC vẫn bận rộn với sự phiền toái của việc phối hợp các cơ quan thực thi pháp luật ở năm quốc gia - Hoa Kỳ, Thái Lan, Canada, Hà Lan và bây giờ là Litva, nơi họ có một kế hoạch mới để chấm dứt máy chủ trung tâm AlphaBay. Đội cũng liên tục họp với các đồng đội Thái Lan tại trụ sở của Bộ Cảnh sát Chống ma túy (NSB) của họ trên phố bên kia thành phố, tụ tập trong một phòng họp ở tầng tám của tòa nhà để thảo luận chi tiết về bắt giữ của Cazes.

Vấn đề trung tâm vẫn chưa được giải quyết: làm thế nào để làm xao lạc Cazes và rủ anh ta rời khỏi nhà với điện thoại mở khóa và laptop mở và không mã hóa. Đốt cháy một thùng rác ngoại ô? Quá nguy hiểm, họ quyết định. Có một nữ điệp viên ngầm bắt đầu kêu la và khóc ngoài nhà anh ấy? Cazes có thể đơn giản là phớt lờ cô ấy, hoặc đóng laptop trước khi kiểm tra tiếng ồn.

Làm thế nào nếu họ mặc một điệp viên ngầm thành người phục vụ bưu điện, đến gõ cửa và yêu cầu Cazes đến ký nhận một gói hàng? Họ kết luận, điều đó có thể hoạt động.

Giữa tất cả những kế hoạch hoảng loạn vào giờ chót này, một nhóm nhỏ vẫn kịp thời kết thúc mỗi ngày tại quán lounge của Athenee để thưởng thức giờ sushi 'ăn thả ga'. Trong một trong những buổi tối đó, có một điều bất ngờ xuất hiện trong cuộc trò chuyện nhóm mà cảnh sát Thái Lan đã thiết lập trên ứng dụng nhắn tin gọi là Line, phổ biến ở Thái Lan. Người Thái sử dụng nhóm chat để đăng các cập nhật liên tục cho nhau và DEA về giám sát vật lý của Cazes. Ngày đó, đội ngũ Thái Lan được giao cho Operation Bayonet đã đang theo dõi mục tiêu của họ trong một chuyến đi tối sớm, theo dõi anh ta trong chiếc Porsche Panamera của mình khi anh ta tiếp cận trung tâm Bangkok. Jen Sanchez, người sống gần cả Athenee và nơi làm việc tại tòa nhà đại sứ quán Mỹ ở phố kế bên, vừa trở về nhà khi cô thấy một bức ảnh, được một trong những cảnh sát Thái Lan chụp, xuất hiện. Nó hiển thị một chiếc Porsche trắng, đậu ở lối vào một khách sạn trông sang trọng.

“Quái vật gì thế?” cô nghĩ, với một cảm giác bất ngờ. Đó không phải là Athenee sao? Nơi mà đội ngũ Mỹ đang ở?

Ngay lúc đó, trong quán lounge của Athenee, Rabenn nhớ nhìn thấy chiếc Porsche giống nhau ở góc tầm nhìn phụ của mình và ngay lập tức nhớ rằng một chiếc Panamera màu trắng nằm trong dàn xe đắt tiền của Cazes. Anh ấy chỉ ra điều đó cho Hemesath, cũng như Miller của DEA và một điều tra viên FBI, tất cả đang ngồi cùng nhau tại một bàn trong sảnh. Họ đùa giỡn đề xuất rằng điều tra viên FBI nên đi kiểm tra nó.

Người đặc vụ dũng cảm bước bộ qua quán lounge khi một hình bóng đi qua cửa trước của Athenee. Một cảm giác sốc chạy qua tâm trí của Rabenn.

Đó là anh ấy. Alexandre Cazes. Và anh ta đang đi thẳng về phía bàn của Rabenn, Miller và Hemesath.

Rabenn đóng băng. “Như thấy một hồn ma,” anh ấy nhớ lại. Anh nhìn qua Hemesath, người dường như cũng bị tê liệt, không tin vào mắt mình.

Hình ảnh cuộc gặp đầu tiên trực tiếp với Cazes, sau chín tháng theo dõi tận tụy Alpha02, vẫn còn đọng trong ký ức của Rabenn. Cazes mặc, Rabenn nhớ lại, chiếc suit màu xanh lam, mảnh mai, trông đắt tiền, chiếc áo sơ mi trắng của anh ta bung phía dưới theo kiểu của người giàu đến mức không cần đeo cà vạt. Tuy nhiên, Rabenn cũng quan sát thấy rằng Cazes di chuyển với một sự ngượng ng awkward nhất định - dưới bộ trang phục của anh ấy, anh ấy trông “giống như một lập trình viên béo pretending to be a rock star hơn là một ngôi sao rock thực sự.”

Người điều tra FBI, nhanh trí, tránh ánh mắt với Cazes và đi thẳng qua anh ta đến cửa. Trong những giây đồng hồ mà Cazes di chuyển qua phòng, dường như làm chậm lại, những suy nghĩ rơi vào tâm trí của Rabenn: Làm thế nào Cazes biết họ là ai? Hoặc rằng họ đang theo đuổi anh ta? Hoặc họ ở khách sạn nào tại Bangkok? Có lẽ có lỗ rò? Họ đã gặp gỡ quá nổi bật, phơi lộ opsec? Tên tội phạm thiên tài này đã lừa dối họ chưa?

Trong nháy mắt, Rabenn mong đợi Cazes sẽ ngồi xuống bên cạnh họ, khuôn mặt tự mãn, và nói, như anh tưởng tượng, “Cảm ơn các anh, tôi biết các anh đang ở đây, và các anh sẽ không lấy được gì cả.

Rabenn nhận ra anh không biết anh sẽ phản ứng như thế nào. Họ có thể bắt Cazes ngay tại chỗ, nhưng họ sẽ mất mọi hy vọng truy cập vào laptop của anh ta hoặc bất kỳ bằng chứng nào về sự kiểm soát của anh ta đối với AlphaBay. Ngay khi họ đang ở bước ngoặt của chiến thắng, có vẻ như kế hoạch của họ đã thất bại.

“Ồ, rắc rối,” Rabenn kết luận trong tâm trạng hoảng loạn trống trải. “Mọi thứ đã kết thúc.”

Sau đó, khi Cazes cách bàn của họ khoảng 5 feet, anh ta quay đầu và ngồi xuống tại bàn bên cạnh họ, đối diện với đôi doanh nhân Israel mặc suit và đội mũ yarmulke.

Người Mỹ nhìn nhau trong sự lạc lõng. Sau một khoảnh khắc, điều tra viên FBI quay trở lại và ngồi xuống một cách bình thường. Anh ấy và Miller bắt đầu ra dấu im lặng đến phần còn lại của bàn rằng mọi người khác nên rời đi.

Rabenn, khi phục hồi lại bản thân, để ý đến ý nghĩ rằng có lẽ mọi thứ chưa hẳn đã mất - rằng đây chỉ là sự trùng hợp gây sốc nhất trong cuộc đời anh ấy.

Cố gắng hành xử tự nhiên nhất có thể, các công tố viên rời đi và đi lên cầu thang cong lên tầng mezzanine của khách sạn, trong khi điều tra viên FBI và Miller ở lại để nghe lén cuộc trò chuyện của Cazes tại bàn kế bên. Ở tầng trên, Rabenn và Hemesath chia sẻ khoảnh khắc nhẹ nhõm. Tin nhắn từ các điều tra viên FBI và DEA vẫn còn ở bàn bắt đầu đổ về, báo cáo về cuộc họp của Cazes: Anh ấy đang nói chuyện với người Israel về một trong những thương vụ đầu tư bất động sản thực tế của mình ở Caribbean.

Khi nỗi hoảng loạn của họ giảm đi, họ bây giờ nhận ra rằng một nhóm cảnh sát bí mật Thái Lan - bao gồm cả đội trưởng, Thượng tá Pisal Erb-Arb, trong trang phục bình thường - đã đặt mình quanh một bàn khác ở khu lounge của khách sạn, đối diện với Cazes và thỉnh thoảng quay nhìn anh ta, thậm chí lén lút chụp ảnh lẻ lướt nhau, ghi lại hình ảnh Cazes ở phía sau. Người sáng lập AlphaBay không có dấu hiệu nào đã nhìn thấy họ.

Khi Rabenn và Hemesath mừng hỡi trong im lặng, điều tra viên FBI đến gặp họ ở tầng mezzanine và lấy ra điện thoại của mình. Anh ấy bắt đầu tìm kiếm trên Google, cố gắng tính toán xác suất của những gì vừa xảy ra. Có bao nhiêu khách sạn ở Bangkok, thực sự? Anh ấy nhanh chóng chỉ cho họ câu trả lời: Có hàng nghìn khách sạn.

Trong tình trạng hạnh phúc mê ly, hai công tố viên kinh ngạc trước sự va chạm gần gũi của họ - nhưng không lâu. Trong hai ngày, họ biết đội của họ sẽ lại đối mặt với Cazes trực tiếp, lần này trong cuộc bắt giữ phức tạp nhất mà họ từng thử.

Tiếp tục tuần sau: Ngày thực hiện cuộc bắt giữ đến. Operation Bayonet đạt đến điểm cao của nó. Và sau đó, vụ án điều quay trở nên bi kịch.

Câu chuyện này được trích từ cuốn sách Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency, có sẵn ngay từ Doubleday.

Nếu bạn mua sản phẩm bằng các liên kết trong câu chuyện của chúng tôi, chúng tôi có thể kiếm được hoa hồng. Điều này giúp hỗ trợ báo chí của chúng tôi. Tìm hiểu thêm.

Minh họa chương: Reymundo Perez III

Nguồn ảnh: Getty Images

Bài viết xuất hiện trong số tháng 12 năm 2022/ tháng 1 năm 2023. Đăng ký ngay.

Hãy cho chúng tôi biết bạn nghĩ gì về bài viết này. Gửi thư tới biên tập viên tại [email protected].