Historia najdziwniejszego polskiego przestępcy. Był nieudolny, a mimo to policja nie mogła go złapać przez 6 lat

"Armaged0n" to pseudonim polskiego przestępcy, który przez lata nękał Polaków w internecie. Podszywał się pod Allegro, Pocztę Polską, PayPala, DPD i inne firmy i zaśmiecał skrzynki pocztowe zawirusowanymi wiadomościami. Umiejętności miał nikłe, ale pozostawał na wolności bardzo długo.

"Dzień, który przejdzie do historii polskiej cyberprzestępczości" – pisze Niebezpiecznik.pl. "Najbardziej uciążliwy polski cyberprzestępca zatrzymany przez policję" –komentuje Zaufana Trzecia Strona. Tak o Tomaszu T. i jego zatrzymaniu piszą czołowe polskie portale poświęcone bezpieczeństwu internetowemu.

Chociaż na jego złapanie policja potrzebowała aż sześciu lat, to Tomaszowi T. sporo brakuje do legendarnego Kevina Mitnicka – najsłynniejszego hakera na świecie. Szczerze mówiąc to "Armaged0na" lub "Thomasa", bo takimi pseudonimami posługiwał się Tomasza T., dzieli od Mitnicka mniej więcej taka odległość jaką Polskę dzieli od Stanów Zjednoczonych.

- Mimo całkowitego braku jakichkolwiek umiejętności robił to nad wyraz skutecznie – tak o Tomaszu T. mówił szef portalu Zaufana trzecia strona na konferencji SysOps / DevOps Polska w 2017 roku.

"Armaged0n" to przykład rodzimego cyberprzestępcy, którego rozwój na bieżąco śledzili spece od bezpieczeństwa, analizując zmiany w strategii i oprogramowaniu oraz także… rozmawiając z nim. Zwłaszcza na początku Tomasz T. chętnie udzielał się w komentarzach pod artykułami na jego temat. Między innymi to doprowadziło do jego późniejszego złapania.

Ale od początku. Polska poznała "Armaged0na" w 2012 roku dzięki emailom podszywającym się pod Allegro i Kasperskiego, znaną firmę antywirusową. Tomasz T. używał wyjątkowo nieskomplikowanych socjotechnicznych metod do oszukania użytkowników. W rozsyłanych emailach informował np. że konto na Allegro zostało zablokowane, lub że używana przeglądarka jest podatna na ataki. W obu przypadkach odsyłał do programu, który był zamaskowanym trojanem. Uruchomiony program dodawał komputer ofiary do botnetu – czyli sieci komputerów nad którą "Armaged0n" mógł sprawować kontrolę.

Już wtedy na jego trop wpadły portale Zaufana Trzecia Strona i Niebezpiecznik.pl. Ten drugi trafnie opisał charakter ataku. Gdy większość myślała, że jest to phishing mający na celu wyciągnięcie danych do logowania do Allegro Polaków, to ekspertom z Niebezpiecznika udało się ustalić,że celem było zainfekowanie komputera trojanem.

Tomasz T. tak się ucieszył, że ktoś w końcu rozwikłał jego plan, że pochwalił redaktorów Niebezpiecznika w komentarzu pod artykułem.

“Chociaż 1 strona [sic!] która nie pisze że próbuję wyłudzić dane do Allegro.” – pisał.

Zrzut ekranu ze strony Niebezpiecznik.pl

Na potwierdzenie, że to on jest autorem ataku dodał zrzuty ekranu, na których dodatkowo chwali się i zainfekowaniem dziewięciu tysięcy komputerów. Ostatecznie okazało się jednak, że zainfekowanych komputerów było ok. 70, a 9000 to liczba osób która odwiedziła jego stronę. "Armaged0n" chociaż dopiero zaczynał, to już wtedy miał długofalowy plan.

"Dane do Allegro są gó...o warte. Nie mam zamiaru zarażać Polaków, bo mają wolne komputery a botnet ma zarabiać na kopaniu Bitcoinów" – pisał o swoich planach Tomasz T. w komentarzach na Niebezpieczniku.

Dziś Tomasz T. prawdopodobnie żałuje, że chwalił się swoimi dokonaniami publicznie. Na jednym ze zrzutów ekranu widać bowiem login Skype, którym się posługiwał – filiptujaka. Był to jeden z błędów dzięki, któremu udało się później go zidentyfikować.

- Obserwując przez lata działalność Thomasa można odnieść wrażenie, że zaczynał swoją karierę cyberprzestępcy nie mając większego pojęcia o tym, jak przestępstwa popełniać - szczególnie na warstwie technicznej – komentuje dla WP Tech Adam Haertle z Zafunej Trzeciej Strony.

Tomasz T. opierał swoje ataki na darmowych programach dostępnych na forach hakerskich. Później zaczął za nie płacić dzięki czemu mógł ulepszać swoje ataki. Jednak nawet gotowych rozwiązań "Armaged0n" nie potrafił zastosować i musiał prosić o pomoc innych oszustów.

- Na Hack Forums działał system poleceń podobny do tego z Allegro, więc sprzedawcom zależało na pozytywnych komentarzach klientów – mówił Adam Haertle. – Sprzedawca, który sprzedał "Armaged0nowi" botnet połączył się z nim i skonfigurował mu go zdalnie przez TeamViewera.

Pierwsza utrata botnetu

Brak podstawowych znajomości działania botnetów sprawił że po kilku miesiącach "Armaged0n" stracił całkowicie kontrolę nad zainfekowanymi przez siebie komputerami. Chwilę przed tym Na Hack Forums wywiązała się taka rozmowa pomiędzy nim a usługodawcą o pseudonimie "Lani":

"Lani, serwer w Holandii nie odpowiada, co się dzieje?"
"Przenosimy się na szybszy i bezpieczniejszy serwer. W ciągu godziny powinien już działać"
"Czy moje IP serwera się zmieni?"
"Tak, dostaniesz nowe IP serwera."
"Stracę wszystkie boty? Nie mogłeś mi powiedzieć wcześniej? Do tej pory byłem bardzo zadowolony z usługi, ale teraz nie jest dobrze. Straciłem setki świeżych botów :("
"To nie korzystałeś z dynamicznego DNS-a?"

Okazało się, że Tomasz T. nie korzystał z dynamicznego DNS-a, który pozwoliłby mu zachować kontrolę nad botnetem po zmianie IP serwera.

"Armaged0n" został zmuszony do odbudowania swojej sieci komputerów-botów. Zabrał się za to w jedyny znany sobie sposób, czyli podszywanie się pod znane firmy. Były to m.in. Facebook, Allegro, PayPal, Zara, H&M i inne. Każdą z wiadomości Tomasz T. podpisywał "Z poważaniem, Zespół (nazwa firmy). Na ten podpis zwrócił uwagę jeden z czytelników Niebezpiecznika - zmechu, który w komentarzu pod artykułem o kolejnej akcji Tomasza T. napisał:

"Dlaczego twórcy takich numerów nie robią tego porządnie. "Z Poważaniem Grupa PayPal" – a nie lepiej "Andrzej Nowak, Sekcja Intedentury Monitoringu, Dział Bezpieczeństwa i Administracji Serwisowej"?"

"Armaged0n" jako wierny czytelnik stron o bezpieczeństwie wyłapał ten komentarz i zaczął podpisywać się właśnie w ten sposób, zmieniał tylko imię i nazwisko. Dzięki temu łatwo można było zidentyfikować jego kolejne kampanie.

Tomasz T. bardzo chciał zarabiać na swojej nielegalnej działalności. Do tej pory przynosiła ona jedynie straty. Instalacja botnetu i innych usług, chociaż była tania, to nie była darmowa. Wpadł więc na pomysł zaatakowania kont bankowych Polaków. Sprawa nie była prosta m.in. ze względu na dwuetapową weryfikację, którą stosują banki oraz kody wysyłane SMS-em.

"Armaged0n" znalazł jednak bank, który mógł zaatakować. Był to PKO BP. Ten bank nie wysyłał bowiem SMS-ów z kodami a żądał przepisania ich z kart-zdrapek. W celu wyciagnięcia loginów i haseł Tomasz T. stworzył stronę logowania, która wyglądała jak oryginalna. Użytkownik, który na nią trafił (z emaila wysłanego przez oszusta) po zalogowaniu się widział polecenie… przepisania 10 kodów z karty zdrapki. W ten sposób "Armaged0n" uzyskiwał dostęp do konta ofiary, o ile nabrała się ona na numer z kartą-zdrapką i przepisywaniu 10 kodów.

Zrzut ekranu z prezentacji Adama Haertle na DevOps Polska 2017

Ta przemyślna akcja musiała okazać się porażką, bo niedługo potem powstaje serwis Armagedon Spam Service, w którym można za cztery dolary kupić 10 tys. emaili, które zaspamują wybraną skrzynkę emailową. Ten model biznesowy też się nie sprawdza, bo w pewnym momencie "Armaged0n" chce sprzedać całość swojego botnetu (ok, 3 tys. komputerów), a następnie zaczyna atakować firmy metodą DDoS. Atak DDoS powoduje, że strona i usługi internetowe przestają działać, za zaprzestanie ataku Tomasz T. żąda 2500 zł.

W trakcie jednego z takich ataków "Armaged0n" bierze na cel serwerownię, w której mieści się jego własny serwer kontrolny. To dzięki niemu może wydawać polecenia ataków i kontrolować botnet, który ma w tym momencie 3500 komputerów. Podczas ataku firma odkrywa, że komendy pochodzą z jej własnego serwera w wyniku czego Tomasz T. po raz kolejny traci swój botnet.

- W kolejnych latach tracił botnety tak często, że doszedł do perfekcji w ich instalacji i konfiguracji – opowiada Adam Haertle. – Dlatego zaczął oferować usługę właśnie instalacji botnetu za jedyne 10 dolarów, które dodatkowo zawiera rok wsparcia i hostingu na jego serwerze.

Tomasz T. kontynuował swoją działalność "hackerską" szukając właściwej dla siebie niszy. Jako jeden z pierwszych w Polsce rozsyłał wirusy w pliku .doc i .pdf. Próbował sprzedawać eklsploity, infekował strony internetowe, szyfrował dyski i wymuszał haracze a także handlował danymi kart kredytowych za co został zbanowany na Hack Forums. Administratorzy boją się, że takie dane mogą przyciągnąć uwagę organów ścigania i zabraniają tego typu działalności.

Większość akcji podszywających się pod sklepy, firmy kurierskie, portale internetowe były jego dziełem. Nie wiadomo ile dokładnie osób udało mu się oszukać i ile pieniędzy zarobić na tym procederze. Tomasz T. został zatrzymany 14 marca i usłyszał 181 zarzutów. Przyznał się do winy.

- Jestem pod wrażeniem tego jak długo udaje mu się oszukiwać Polaków. – mówił Adam Haertle w 2017 roku gdy "Armaged0n" przebywał jeszcze na wolność. – 5 lat w tej branży to naprawdę długo. – Z biegiem czasu nabierał doświadczenia i doskonalił swoje działania, jednak ślady pozostawione w pierwszych latach pozwoliły na ustalenie jego tożsamości bez żadnych problemów. komentuje dla WP Tech już po jego zatrzymaniu. - Jego ataki były łatwe do wychwycenia dla specjalistów, jednak bardzo trudne do identyfikacji dla zwykłych użytkowników internetu. To sprawiło, że liczbę jego ofiar należy liczyć w tysiącach. Warto zapoznać się z historią jego oszustw, by nauczyć się unikać podobnych ataków w przyszłości.