Historia najdziwniejszego polskiego przestępcy. Był nieudolny, a mimo to policja nie mogła go złapać przez 6 lat

Historia najdziwniejszego polskiego przestępcy. Był nieudolny, a mimo to policja nie mogła go złapać przez 6 lat16.03.2018 14:40
Źródło zdjęć: © Fotolia | Lukas Gojda

"Armaged0n" to pseudonim polskiego przestępcy, który przez lata nękał Polaków w internecie. Podszywał się pod Allegro, Pocztę Polską, PayPala, DPD i inne firmy i zaśmiecał skrzynki pocztowe zawirusowanymi wiadomościami. Umiejętności miał nikłe, ale pozostawał na wolności bardzo długo.

"Dzień, który przejdzie do historii polskiej cyberprzestępczości" – pisze Niebezpiecznik.pl. "Najbardziej uciążliwy polski cyberprzestępca zatrzymany przez policję" –komentuje Zaufana Trzecia Strona. Tak o Tomaszu T. i jego zatrzymaniu piszą czołowe polskie portale poświęcone bezpieczeństwu internetowemu.

Chociaż na jego złapanie policja potrzebowała aż sześciu lat, to Tomaszowi T. sporo brakuje do legendarnego Kevina Mitnicka – najsłynniejszego hakera na świecie. Szczerze mówiąc to "Armaged0na" lub "Thomasa", bo takimi pseudonimami posługiwał się Tomasza T., dzieli od Mitnicka mniej więcej taka odległość jaką Polskę dzieli od Stanów Zjednoczonych.

- Mimo całkowitego braku jakichkolwiek umiejętności robił to nad wyraz skutecznie – tak o Tomaszu T. mówił szef portalu Zaufana trzecia strona na konferencji SysOps / DevOps Polska w 2017 roku.

"Armaged0n" to przykład rodzimego cyberprzestępcy, którego rozwój na bieżąco śledzili spece od bezpieczeństwa, analizując zmiany w strategii i oprogramowaniu oraz także… rozmawiając z nim. Zwłaszcza na początku Tomasz T. chętnie udzielał się w komentarzach pod artykułami na jego temat. Między innymi to doprowadziło do jego późniejszego złapania.

Zaczynał jako 17-latek

Ale od początku. Polska poznała "Armaged0na" w 2012 roku dzięki emailom podszywającym się pod Allegro i Kasperskiego, znaną firmę antywirusową. Tomasz T. używał wyjątkowo nieskomplikowanych socjotechnicznych metod do oszukania użytkowników. W rozsyłanych emailach informował np. że konto na Allegro zostało zablokowane, lub że używana przeglądarka jest podatna na ataki. W obu przypadkach odsyłał do programu, który był zamaskowanym trojanem. Uruchomiony program dodawał komputer ofiary do botnetu – czyli sieci komputerów nad którą "Armaged0n" mógł sprawować kontrolę.

Już wtedy na jego trop wpadły portale Zaufana Trzecia Strona i Niebezpiecznik.pl. Ten drugi trafnie opisał charakter ataku. Gdy większość myślała, że jest to phishing mający na celu wyciągnięcie danych do logowania do Allegro Polaków, to ekspertom z Niebezpiecznika udało się ustalić,że celem było zainfekowanie komputera trojanem.

Tomasz T. tak się ucieszył, że ktoś w końcu rozwikłał jego plan, że pochwalił redaktorów Niebezpiecznika w komentarzu pod artykułem.

“Chociaż 1 strona [sic!] która nie pisze że próbuję wyłudzić dane do Allegro.” – pisał.

Źródło zdjęć: © Niebezpiczenik.pl
Źródło zdjęć: © Niebezpiczenik.pl

Zrzut ekranu ze strony Niebezpiecznik.pl

Na potwierdzenie, że to on jest autorem ataku dodał zrzuty ekranu, na których dodatkowo chwali się i zainfekowaniem dziewięciu tysięcy komputerów. Ostatecznie okazało się jednak, że zainfekowanych komputerów było ok. 70, a 9000 to liczba osób która odwiedziła jego stronę. "Armaged0n" chociaż dopiero zaczynał, to już wtedy miał długofalowy plan.

"Dane do Allegro są gó...o warte. Nie mam zamiaru zarażać Polaków, bo mają wolne komputery a botnet ma zarabiać na kopaniu Bitcoinów" – pisał o swoich planach Tomasz T. w komentarzach na Niebezpieczniku.

Pierwsze błędy Armaged0na

Dziś Tomasz T. prawdopodobnie żałuje, że chwalił się swoimi dokonaniami publicznie. Na jednym ze zrzutów ekranu widać bowiem login Skype, którym się posługiwał – filiptujaka. Był to jeden z błędów dzięki, któremu udało się później go zidentyfikować.

- Obserwując przez lata działalność Thomasa można odnieść wrażenie, że zaczynał swoją karierę cyberprzestępcy nie mając większego pojęcia o tym, jak przestępstwa popełniać - szczególnie na warstwie technicznej – komentuje dla WP Tech Adam Haertle z Zafunej Trzeciej Strony.

Tomasz T. opierał swoje ataki na darmowych programach dostępnych na forach hakerskich. Później zaczął za nie płacić dzięki czemu mógł ulepszać swoje ataki. Jednak nawet gotowych rozwiązań "Armaged0n" nie potrafił zastosować i musiał prosić o pomoc innych oszustów.

- Na Hack Forums działał system poleceń podobny do tego z Allegro, więc sprzedawcom zależało na pozytywnych komentarzach klientów – mówił Adam Haertle. – Sprzedawca, który sprzedał "Armaged0nowi" botnet połączył się z nim i skonfigurował mu go zdalnie przez TeamViewera.

Źródło zdjęć: © postimg.org
Źródło zdjęć: © postimg.org

Pierwsza utrata botnetu

Brak podstawowych znajomości działania botnetów sprawił że po kilku miesiącach "Armaged0n" stracił całkowicie kontrolę nad zainfekowanymi przez siebie komputerami. Chwilę przed tym Na Hack Forums wywiązała się taka rozmowa pomiędzy nim a usługodawcą o pseudonimie "Lani":

"Lani, serwer w Holandii nie odpowiada, co się dzieje?"
"Przenosimy się na szybszy i bezpieczniejszy serwer. W ciągu godziny powinien już działać"
"Czy moje IP serwera się zmieni?"
"Tak, dostaniesz nowe IP serwera."
"Stracę wszystkie boty? Nie mogłeś mi powiedzieć wcześniej? Do tej pory byłem bardzo zadowolony z usługi, ale teraz nie jest dobrze. Straciłem setki świeżych botów :("
"To nie korzystałeś z dynamicznego DNS-a?"

Okazało się, że Tomasz T. nie korzystał z dynamicznego DNS-a, który pozwoliłby mu zachować kontrolę nad botnetem po zmianie IP serwera.

Sekcja Intedentury Monitoringu

"Armaged0n" został zmuszony do odbudowania swojej sieci komputerów-botów. Zabrał się za to w jedyny znany sobie sposób, czyli podszywanie się pod znane firmy. Były to m.in. Facebook, Allegro, PayPal, Zara, H&M i inne. Każdą z wiadomości Tomasz T. podpisywał "Z poważaniem, Zespół (nazwa firmy). Na ten podpis zwrócił uwagę jeden z czytelników Niebezpiecznika - zmechu, który w komentarzu pod artykułem o kolejnej akcji Tomasza T. napisał:

"Dlaczego twórcy takich numerów nie robią tego porządnie. "Z Poważaniem Grupa PayPal" – a nie lepiej "Andrzej Nowak, Sekcja Intedentury Monitoringu, Dział Bezpieczeństwa i Administracji Serwisowej"?"

"Armaged0n" jako wierny czytelnik stron o bezpieczeństwie wyłapał ten komentarz i zaczął podpisywać się właśnie w ten sposób, zmieniał tylko imię i nazwisko. Dzięki temu łatwo można było zidentyfikować jego kolejne kampanie.

Tomasz T. bardzo chciał zarabiać na swojej nielegalnej działalności. Do tej pory przynosiła ona jedynie straty. Instalacja botnetu i innych usług, chociaż była tania, to nie była darmowa. Wpadł więc na pomysł zaatakowania kont bankowych Polaków. Sprawa nie była prosta m.in. ze względu na dwuetapową weryfikację, którą stosują banki oraz kody wysyłane SMS-em.

Atak na bardzo naiwnych klientów PKO BP

"Armaged0n" znalazł jednak bank, który mógł zaatakować. Był to PKO BP. Ten bank nie wysyłał bowiem SMS-ów z kodami a żądał przepisania ich z kart-zdrapek. W celu wyciagnięcia loginów i haseł Tomasz T. stworzył stronę logowania, która wyglądała jak oryginalna. Użytkownik, który na nią trafił (z emaila wysłanego przez oszusta) po zalogowaniu się widział polecenie… przepisania 10 kodów z karty zdrapki. W ten sposób "Armaged0n" uzyskiwał dostęp do konta ofiary, o ile nabrała się ona na numer z kartą-zdrapką i przepisywaniu 10 kodów.

Źródło zdjęć: © Youtube.com | Whitestream
Źródło zdjęć: © Youtube.com | Whitestream

Zrzut ekranu z prezentacji Adama Haertle na DevOps Polska 2017

Ta przemyślna akcja musiała okazać się porażką, bo niedługo potem powstaje serwis Armagedon Spam Service, w którym można za cztery dolary kupić 10 tys. emaili, które zaspamują wybraną skrzynkę emailową. Ten model biznesowy też się nie sprawdza, bo w pewnym momencie "Armaged0n" chce sprzedać całość swojego botnetu (ok, 3 tys. komputerów), a następnie zaczyna atakować firmy metodą DDoS. Atak DDoS powoduje, że strona i usługi internetowe przestają działać, za zaprzestanie ataku Tomasz T. żąda 2500 zł.

Druga utrata botnetu i przebranżowienie Armaged0na

W trakcie jednego z takich ataków "Armaged0n" bierze na cel serwerownię, w której mieści się jego własny serwer kontrolny. To dzięki niemu może wydawać polecenia ataków i kontrolować botnet, który ma w tym momencie 3500 komputerów. Podczas ataku firma odkrywa, że komendy pochodzą z jej własnego serwera w wyniku czego Tomasz T. po raz kolejny traci swój botnet.

- W kolejnych latach tracił botnety tak często, że doszedł do perfekcji w ich instalacji i konfiguracji – opowiada Adam Haertle. – Dlatego zaczął oferować usługę właśnie instalacji botnetu za jedyne 10 dolarów, które dodatkowo zawiera rok wsparcia i hostingu na jego serwerze.

Tomasz T. kontynuował swoją działalność "hackerską" szukając właściwej dla siebie niszy. Jako jeden z pierwszych w Polsce rozsyłał wirusy w pliku .doc i .pdf. Próbował sprzedawać eklsploity, infekował strony internetowe, szyfrował dyski i wymuszał haracze a także handlował danymi kart kredytowych za co został zbanowany na Hack Forums. Administratorzy boją się, że takie dane mogą przyciągnąć uwagę organów ścigania i zabraniają tego typu działalności.

Koniec wielkiej przygody

Większość akcji podszywających się pod sklepy, firmy kurierskie, portale internetowe były jego dziełem. Nie wiadomo ile dokładnie osób udało mu się oszukać i ile pieniędzy zarobić na tym procederze. Tomasz T. został zatrzymany 14 marca i usłyszał 181 zarzutów. Przyznał się do winy.

- Jestem pod wrażeniem tego jak długo udaje mu się oszukiwać Polaków. – mówił Adam Haertle w 2017 roku gdy "Armaged0n" przebywał jeszcze na wolność. – 5 lat w tej branży to naprawdę długo. – Z biegiem czasu nabierał doświadczenia i doskonalił swoje działania, jednak ślady pozostawione w pierwszych latach pozwoliły na ustalenie jego tożsamości bez żadnych problemów. komentuje dla WP Tech już po jego zatrzymaniu. - Jego ataki były łatwe do wychwycenia dla specjalistów, jednak bardzo trudne do identyfikacji dla zwykłych użytkowników internetu. To sprawiło, że liczbę jego ofiar należy liczyć w tysiącach. Warto zapoznać się z historią jego oszustw, by nauczyć się unikać podobnych ataków w przyszłości.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA