Operation Bayonet: Wie das FBI AlphaBay und Hansa zerschlug
Inhaltsübersicht
Im Juli 2017 führten Strafverfolgungsbehörden eine der raffiniertesten verdeckten Operationen in der Geschichte der Cyberkriminalität durch. Während die 400.000 Benutzer von AlphaBay aus dem größten je gebauten Darknet-Markt ausgesperrt wurden, betrieben Ermittler der niederländischen Polizei heimlich dessen Nachfolger – Hansa – und sammelten wochenlang kriminelle Daten, bevor auch dieser abgeschaltet wurde. So funktionierte Operation Bayonet, warum sie dort erfolgreich war, wo andere scheiterten, und was danach mit der Darknet-Wirtschaft geschah.
Aber es gab Schwachstellen bei der operativen Sicherheit dieser Marktplätze.
Zwei Zinken für zwei Darknet-Abschaltungen
Auch heute noch ist sie ein glänzendes Beispiel für eine der aufwändigsten und kooperativsten Bemühungen der internationalen Strafverfolgungsbehörden zur Bekämpfung der Cyberkriminalität. Im Juli 2017 wurden die beiden Märkte AlphaBay und Hansa erfolgreich abgeschaltet.
Allerdings wurde nur AlphaBay offline genommen, was die Frage aufwirft, was genau mit dem AlphaBay-Markt passiert ist.
Schwerpunkt 1: Ausschalten von AlphaBay, dem größten Darknet-Markt
AlphaBay war ein hochmoderner Darknet-Marktplatz, der seit 2014 illegale Geschäfte ermöglichte. Er war ein deutlich größerer Nachfolger der bahnbrechenden Darknet-Plattform Silk Road, die selbst 2013 geschlossen wurde.
Am 5. Juli 2017 verhaftete die königliche thailändische Polizei einen kanadischen Staatsbürger, Alexandre Cazes in Bangkok, Thailand. Er war der mutmaßliche Gründer und Administrator der Website und verwendete in der Kommunikation den Codenamen "Alpha02".
Die thailändischen Behörden beschlagnahmten die Server, auf denen AlphaBay gehostet wurde, und sperrten den Zugang zu den Nutzern, kündigten aber nicht öffentlich die Schließung oder Übernahme der Plattform an. Die Gerüchte, die dies bei den böswilligen Akteuren in Dark-Web-Foren auslöste, reichten von technischen Problemen bis hin zu Ausstiegsbetrug, bei dem die Administratoren des Dark-Web-Marktplatzes die Plattform schließen und das Geld der Nutzer stehlen.
Was auch immer mit AlphaBay passiert sein mag, für die Nutzer lief das Geschäft wie gewohnt weiter, und sie strömten schnell zu anderen Marktplätzen. Als eine der verbleibenden seriösen und beliebten Dark-Web-Plattformen strömten Nutzer und Verkäufer gleichermaßen zu Hansa, was dazu führte, dass Hansa einen achtfachen Anstieg der Nutzerzahlen verzeichnete.
Punkt 2: Vorbereitung des perfekten Honigtopfs für Cyberkriminelle
Nach mehrjährigen Ermittlungen und Nachforschungen entdeckte das Europäische Zentrum für Cyberkriminalität von Europol im Jahr 2016 eine Spur zur Backend-Infrastruktur von Hansa.
Dies war eine verdeckte Europol-Mission, mit gemeinsam genutzten Informationen zwischen der niederländischen Polizei und später mit den amerikanischen Behörden. Während die amerikanischen und die thailändischen Behörden zusammenarbeiteten, um AlphaBay zu schließen, waren Europol und die niederländische Polizei heimlich in die Infrastruktur von Hansa eingedrungen und hatten diese übernommen.
Während der Wochen, in denen die niederländische Polizei verdeckt unter dem Namen Hansa operierte, sammelten sie die echten IP-Adressen von Verkäufern, setzten Sicherheitseinstellungen zurück, um Standorte von Käufern offenzulegen und übergaben 10.000 internationale Lieferadressen an Europol. Es war eine bewusst konzipierte Geheimdienstoperation, nicht nur eine Zerschlagung. Dies führte im Wesentlichen zur Schaffung eines Honeypots nach der Schließung von AlphaBay.
Mit diesem Zugang hatte die Polizei den Code der Plattform geändert, um Daten von Verkäufern und Käufern gefälschter Waren wie Drogen, giftigen Chemikalien, Schusswaffen, Malware und anderen betrügerischen Aktivitäten zu sammeln. Es wurden Daten wie E-Mail-Adressen, Passwörter, PGP-Schlüssel, Verlaufsdaten, Nachrichten und mehr erfasst. Dies eröffnete riesige Datenpools und verschaffte den weltweiten Strafverfolgungsbehörden Einblicke in Tausende von Cyberkriminellen.
Julian King, der europäische Kommissar für die Sicherheitsunion, kommentierte diesen Fall wie folgt: "Dieser jüngste Erfolg zeigt nicht nur die wachsende Bedrohung durch immer raffiniertere kriminelle Unternehmen, die sich den weitgehend unregulierten Raum des Internets zunutze machen, sondern auch die entscheidende Rolle der internationalen Zusammenarbeit."
Im Moment sah es so aus, als ob die Strafverfolgungsbehörden alles reibungslos abwickeln würden.
Wer waren die Drahtzieher hinter diesen Dark-Web-Marktplätzen?
Alexandre Cazes wurde in Bangkok aufgrund einer Spur entdeckt, die die Behörden aus der Begrüßungs-E-Mail seines eigenen Marktplatzes erhalten hatten. Es handelte sich um eine Willkommens-E-Mail, die AlphaBay an neue Nutzer und Verkäufer verschickte und die in der Kopfzeile eine verlinkte Hotmail-Adresse enthielt. Diese E-Mail war mit den LinkedIn- und MySpace-Konten von Cazes verknüpft.
Nach Angaben von FBI-Spezialagent Chris Thomas, der Fall dieser Cyberkriminellen wurde durch Hybris verursacht, "Sie wussten, dass die Strafverfolgungsbehörden ihre Aktivitäten überwachten, aber sie fühlten sich durch die Technologie des Dark Web so geschützt, dass sie glaubten, sie könnten mit ihren Verbrechen davonkommen."
Nach der Verhaftung, während er auf seine Auslieferung in die Vereinigten Staaten wartete, wurde Cazes offenbar starb durch Selbstmord, während er in Thailand inhaftiert war. Später im selben Monat reichte die US-Staatsanwaltschaft in Kalifornien eine zivilrechtliche Beschlagnahmebeschwerde gegen die hochwertigen Vermögenswerte von Cazes und seiner Frau ein, die sich überall auf der Welt befinden, darunter mehrere Luxusfahrzeuge, Wohnsitze und ein Hotel in Thailand sowie Millionen in Kryptowährung. Diese wurden vom FBI und der Drug Enforcement Administration beschlagnahmt.
Nach der Abschaltung von Hansa führte eine Nachuntersuchung der niederländischen Polizei zur Verhaftung von zwei der Administratoren, die deutsche Staatsbürger waren, sowie zur Beschlagnahmung ihrer Server in den Niederlanden, Deutschland und Litauen. Die Identität der Administratoren wurde nicht bekannt gegeben. Die niederländische Nationalpolizei, Europol, das FBI und die US-Drogenbehörde DEA waren an der koordinierten Operation zur Zerschlagung von Hansa
Was geschah nach diesen großen Takedowns im Dark Web?
Trotz dieser Maßnahmen sind die Auswirkungen und Folgen der dadurch begünstigten Verbrechen bis heute spürbar.
Eine wichtige Auswirkung waren drogenbedingte Todesfälle. Auf dem Höhepunkt seiner Herrschaft hatte AlphaBay über 250.000 Inserate für illegale Drogen und giftige Chemikalien.
Laut Beschwerden, die beim District of South Carolina eingereicht wurden, ergab eine Untersuchung eines Todesfalls durch Überdosierung, an dem ein synthetisches Opioid beteiligt war, dass die Drogen auf AlphaBay gekauft wurden. Eine weitere Beschwerde in Florida deutet darauf hin, dass das Fentanyl, das einen weiteren Todesfall durch Überdosierung verursachte, ebenfalls auf der Plattform gekauft wurde. Mehrere Todesfälle durch Überdosierung in den USA haben alle zu den bösartigen und illegalen Dienstleistungen und Waren geführt, die auf AlphaBay und ähnlichen Plattformen verkauft wurden.
Wie wir jedoch bei der Massenabwanderung zu Hansa gesehen haben, ist die Internetkriminalität nicht auf bestimmte Dark-Web-Marktplätze beschränkt. Laut einem Forschungspapier aus dem Jahr 2023 des Institut für Cybersicherheit für die GesellschaftDie Daten zeigen, dass die Nutzer des Dark Web nach Schließung eines Marktes so schnell wie möglich zu anderen seriösen Märkten wechseln.
Das von AlphaBay und Hansa geschaffene Vakuum wurde 2018 durch Empire Market gefüllt. Er wurde 2020 wieder geschlossen. Es folgte die Beschlagnahmung von Genesis Market im April 2023. Danach wurde BreachForum, ein weiteres Dark-Web-Forum, wiederholt abgeschaltet und erneuert. Lesen Sie unseren Blog "Top-Bedrohungsakteure im Dark Web | 2023 Zusammenfassung" für weitere Informationen über neue Spieler.
AlphaBay 2.0
Obwohl der Erfinder und Administrator von AlphaBay verhaftet wurde, war sein Stellvertreter, der als "DeSnake" bekannt ist, immer noch aktiv.
Anfang August 2021 startete ein Nutzer, der von unabhängigen Quellen als "DeSnake" verifiziert wurde, AlphaBay 2.0 mit einem Beitrag im Darknet-Forum, "Dread." Sie schrieben, dass "Ich möchte dies in erster Linie alpha02 widmen. Wir haben uns gegenseitig versprochen, bis zum bitteren Ende durchzuhalten, und ich halte meinen Teil der Abmachung ein."
Die neu AlphaBay wurde mit mehreren neuen Maßnahmen wie strengen Beschränkungen für den Verkauf von Covid-19-Impfstoffen, Fentanyl, Schusswaffen usw. gefüllt. DeSnake brachte auch eine brandneue Funktion heraus, die darauf abzielte, die geheimen Infrastrukturinfiltrationen zu umgehen. Um das zu vermeiden, was mit Hansa geschah, wurde diese Funktion AlphaGuard genannt.
AlphaGuard ist eine Technologie, die es den Nutzern ermöglicht, Gelder abzuheben und den Server, der den Markt beherbergt, im Falle unerwarteter Änderungen an einem oder allen Servern selbst zu zerstören. Nur diejenigen mit administrativem Zugang wie DeSnake hatten die Möglichkeit, diese Technologie zu deaktivieren, indem sie innerhalb von 72 Stunden einen Schlüssel eingeben.
AlphaBay 2.0 wurde bis Februar 2023 unter der Leitung von DeSnake betrieben, als es ohne Erklärung offline ging. Im Gegensatz zur ursprünglichen Abschaltung gab es keine öffentlich beanspruchte Strafverfolgungsmaßnahme – was Fragen offenließ, ob es sich um einen Exit Scam, einen technischen Fehler oder etwas Gezielteres handelte.”
Einpacken
Operation Bayonet bleibt das beste Beispiel dafür, wie Strafverfolgungsbehörden eine Razzia in eine Geheimdienstoperation verwandeln können – indem sie einen kriminellen Marktplatz nutzen, um die Nutzer zu überwachen, die zu einem anderen fliehen. Für Sicherheitsteams gilt dieselbe Lektion, die auch 2026 noch zutrifft: Die Aktivitäten im Darknet verschwinden nicht, wenn ein Marktplatz geschlossen wird. Sie wandern ab. CybelAngel überwacht diese Wanderung kontinuierlich und verfolgt, wohin sich Bedrohungsakteure bewegen und was sie mitnehmen.
