第四章 暗網交易市場打擊行動
第四節 刺刀行動
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
以及其他 17 個暗網黑市網站伺服器位置。」 (Search warrant affidavit for Brian Richard Farrell, 2015, p. 6)
由於在該陳述所描述的時間範圍內,洋蔥路由計畫曾向其用戶警告 Tor 網路 出現安全漏洞,致使有惡意中繼節點嘗試將連線至 Tor 網路的用戶進行「去匿名 化」(de-anonymize)的動作 (“Tor security advisory”, 2014)。基於 Farrell 一案中所 提供之上述訊息,外界認為,聯邦調查局指稱的情報提供者,便是卡內基‧梅隆 大學軟體工程研究所 (Cox, 2015b)。而「去匿名化行動」中所謂不公開的手法,
便是借助該軟體工程研究所之研究破解 Tor 網路,從而達到後續之成效。
不同於「絲綢之路」負責人 Ulbricht 被判兩個無法假釋的無期徒刑,「絲綢 之路 2.0」第一位負責人 White 最終被判至少五年徒刑 (Blake, 2019),第二位負 責人 Benthall 則是自 2014 年 11 月 5 日被逮捕至同月 21 日釋放,共被關只有 16 天 (Blake Benthall-Register no.20045-111, n.d.)。其刑責能被免除,主因為他與美 國執法機關達成認罪協議,並且有提供執法機關後續追緝暗網上非法交易市場協 助 (Cox, 2019)。
第四節 刺刀行動(Operation Bayonet),2017/7
繼 2014 年「去匿名化行動」成功的國際協調與合作行動,2017 年的「刺刀 行動」也是針對暗網毒品交易市場的一次國際協調合作行動。參與此次行動的機 構包括美國聯邦調查局與緝毒局、歐洲刑警組織下的歐洲網路犯罪中心(EC3)、
荷蘭國家警察高科技犯罪單位(National High Tech Crime Unit of the Netherlands Police, NHTCU)以及德國、立陶宛警方等。此次行動查封了當時暗網最大的兩個 交易市場-「Alphabay」以及「Hansa」,其中美國聯邦調查局以及緝毒局針對前 者,而荷蘭國家警察高科技犯罪中心則針對後者。與前兩次行動最大不同之處,
在於荷蘭國家警察高科技犯罪中心(NHTCU)於查封「Hansa」之後並非直接關閉
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
網站,而是接手該網站並運行一段時間以進一步掌握與逮捕更多賣家與買家。行 動名稱「Operation Bayonet」,一方面可以解釋為 bay 與 net 的結合,bay 代表
「Alphabay」,net 代表網路;另一方面 bayonet 意思為刺刀,比喻著美國執法單位 欲破獲暗網交易市場之決心 (Rhysider, 2018)。荷蘭國家警察高科技犯罪單位 (NHTCU)則將針對「Hansa」的行動稱為「Operation GraveSac」。以下檢視此次 行動背景、內涵、與成果。
一、行動背景
2014 年「絲綢之路 2.0」關閉後,暗網存在的主要交易市場為「Agora」以 及「Evolution」 (Two of the biggest dark-web markets have been shut down, 2017)。
根據數位公民聯盟(Digital Citizen Alliance)報告,「絲綢之路 2.0」關閉後,「Agora」
以及「Evolution」市場規模皆有擴張,但「Evolution」成長明顯迅速,其總上架 物品數從 2014 年四月的 5523 件到同年十二月 26,840 件 (Digital Citizens Alliance, 2014a; Digital Citizens Alliance, 2014b)。數位公民聯盟並與同年 11 月 17 日的數 字比較,發現短短一個月「Evolution」即增加了 4850 件上架物品數,成為「絲 綢之路 2.0」時期結束後暗網交易市場龍頭 (Digital Citizens Alliance, 2014b)。
「Alphabay」在 2014 年十二月上線,起初規模不大,卻在 2015 年三月
「Evolution」負責人疑似捲款(exit scam),網站無預警地被關閉 (Woolf, 2015),
使「Agora」、「Alphabay」等暗網交易市場的註冊人數以及總上架物品數大幅增 加。「Alphabay」在「Evolution」惡意關閉後短短三天內,獲得近 18,000 個新註 冊用戶與達到 30 萬美元交易總額,論壇增加了 7,000 則貼文 (Interview with AlphaBay Market admin, 2015)。在 2015 年八月,由於 Tor 網路出現新的漏洞疑 慮,為避免網站面臨「絲綢之路 2.0」因為 Tor 網路漏洞被利用、進而被查封的 下場,「Agora」決定先行關閉網站 (Greenberg, 2015)。自此,「Alphabay」成為 暗網上最大的交易市場,同年十月,便達到 20 萬用戶 (Peters, 2016)。2017 年七
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
月,截至網站被查封前,在「Alphabay」上架的物品數量高達 369,000 件 (United States v. Alexandre Cazes-Verified complaint for forfeiture in rem, 2017),用戶相較 2015 年十月數據更是翻倍至 400,000 位用戶 (Cimpanu, 2017),平均每日交易額 則介於 60 萬至 80 萬美元間,是「絲綢之路」2013 年被關閉前每日平均交易額 的兩倍 (Popper, 2017)。
二、行動內涵
(一)「Alphabay」
於 2016 年十二月,探員發現在 2014 年十二月「Alphabay」上線初期時,新 用戶於「Alphabay」市場與論壇網站上註冊過程中所收到之歡迎的電子郵件中附 有網站負責人「alpha02」的個人電子信箱「[email protected]」。藉由 微軟科技公司(Microsoft)所提供之該信箱註冊用個人資料、電腦 IP 位址以及信箱 內信件內容,得知該電子信箱使用者為 Alexandre Cazes,並經過瀏覽 Cazes 在職 業社交網站 LinkedIn 上專頁,得知 Cazes 來自加拿大蒙特婁(Montreal),為一家 名為 EBX 的科技公司員工,擅長多項資訊科技技能 (United States v. Alexandre Cazes-Verified complaint for forfeiture in rem, 2017, p. 14)。
探員也在一個科技論壇上發現一則在 2008 年以法語回應論壇其他用戶的貼 文,該貼文中附有 Cazes 本名以及前述之電子信箱 (“Probleme du virus”, 2008),
進一步證實 Cazes 身分。並經過後續追蹤,得知 Cazes 旅居泰國,以及 EBX 科 技公司其實只是 Cazes 所設立、用來在眾多銀行開設洗錢用帳號的空殼公司。其 名下眾多財產似乎也都原因不明。執法機關隨後針對 Cazes 的 Paypal 與加密貨 幣錢包金流分析,獲取 Cazes 從「Alphabay」轉匯加密貨幣至其他數位帳戶、最 終個人與其妻子的銀行帳戶之證據 (United States v. Alexandre Cazes-Verified
‧
complaint for forfeiture in rem, 2017, p. 17)。法院也從而對 Cazes 發出逮捕令狀 (arrest warrant)以及其不法財產的扣押令狀(seizure warrant)。
2017 年七月,美國與泰國皇家警察(Thai Royal Police)合作,由美國執法單 位先造成「Alphabay」網站服務中斷(“a law-enforcement created service outage”),
隨後泰國皇家警察進入 Cazes 在泰國的住所執行逮捕與扣押,從而人贓俱獲。36警 方從 Cazes 於逮捕當時正在使用而未能及時關閉之電腦中,發現 Cazes 登入
「Alphabay」網站伺服器並嘗試重新啟動被美國執法單位所干擾的伺服器,以及 Cazes 以管理員身分登入網站論壇之事實。同時,執法單位檢視該電腦內資料,
發現 Cazes 以文字檔形式儲存了所有有關經營「Alphabay」之帳號、密碼、位於 多 個 國 家 之 伺 服 器 、 以 及 加 密 貨 幣 錢 包 細 節 (United States v. Alexandre Cazes-Verified complaint for forfeiture in rem, 2017, p. 18; AlphaBay Takedown, 2017)。
(二)「Hansa」37
荷蘭國家警察高科技犯罪單位(NHTCU,以下稱荷蘭警方)首先於 2016 年收 到 來 自 網 路 安 全 公 司 BitDefender 的 情 報 , 得 知 「 Hansa 」 的 開 發 伺 服 器 (development server)位於荷蘭國內的一家公司 (Europol, 2017)。透過監控該開發 伺服器的網路連線,荷蘭警方發現了其他實際執行「Hansa」網站的伺服器位址,
36 在沒收起訴狀中,並未說明執法單位中斷網站服務之方式。但從荷蘭警方說法,可以大膽假 設美國執法機關早已掌握「Alphabay」其中一伺服器,才得以進行後續的國際合作打擊行動 (Greenberg, 2018)。在泰國警方逮捕 Cazes 當天,加拿大皇家騎警(Royal Canadian Mounted Police, RCMP)針對一家位於蒙特婁的公司與位於三河市的兩住家進行了突襲行動,並聲稱該突襲行動 為國際合作行動之一個環節 (RCMP’s ‘Dark Web’ investigation leads to searches in Montreal, Trois-Rivières, 2017)。從此突襲判斷,似乎可以印證「Alphabay」其中之一的伺服器早已被警方 掌握之猜測。至於執法單位如何獲知該伺服器位址,有人認為,「Alphabay」網站當時存在著安 全漏洞,致使執法單位得以破解,然至今並未得到證實 (HugBunter, 2017)。
37 有關「Hansa」打擊行動細節,除了主要來自在 2017 年記者會上說明外 (Hansa market capture detailed in-depth analysis, 2017; Press invitation: results of international investigation, 2017; Politie Landelijke Eenheid, 2017),也包含來自對執法單位成員所做的訪問內容 (Greenberg, 2018)
‧
議(mutual legal assistance, MLA),荷蘭警方從而再次掌握「Hansa」網站伺服器位 置 (Greenberg, 2018)。與此同時,荷蘭警方得知美國執法單位正準備抓捕「Alphabay」負責人以及 查封「Alphabay」。有鑑於對暗網上交易市場存在「打地鼠」(whack-a-mole)38傾 向之認知,為能進一步掌握潛在來自「Alphabay」人潮湧入過程,荷蘭警方與美 國合作,加緊腳步在同年 6 月 20 日,一方面由德國警方以經營盜版電子書與有 聲電子書網站名義逮捕「Hansa」兩位負責人,另一方面在立陶宛協助下將「Hansa」
38 即描述暗網市場因執法單位查封而關閉後,其用戶轉向其它暗網市場之傾向。
‧
「Evolution」負責人般地捲款 (Popper, 2017; Price, 2017)。結果如同警方所預料,
短時間內「Hansa」湧入大量註冊人潮,接下來三天平均一天增加 5000 個新用戶,
一度使荷蘭警方暫時關閉註冊功能十天 (Greenberg, 2018)。 自動 PGP 加密選擇(automated PGP encryption),39意即買家在向賣家購買物品時,
會向賣家傳訊告知收件地址等細節,暗網市場提供之自動 PGP 加密選擇允許買
39 在 PGP(Pretty Good Privacy)加密通訊中,用戶同時擁有公開金鑰(public key)以及私人金鑰 (private key)。其中公鑰為「鎖」的概念,傳訊者利用收訊者的公鑰將訊息加密變成亂碼,唯有 該公鑰所有人-收訊者得以私鑰解密。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
之公鑰為警方公鑰方式,從而使事先未儲存賣家公鑰之買家誤用荷蘭警方公鑰加 密,警方得以先行解密獲知訊息內容 (Paul, 2017)。
同時,「Hansa」原先設定會去除賣家所上傳的照片之詮釋資料(metadata),
如此設定即為避免照片本身的詮釋資料洩漏賣家的地理定位(geolocation)。荷蘭 警方在接手網站後將該部分的網站程式碼更改,使網站於刪除詮釋資料前會將其 記錄於伺服器。藉此,荷蘭警方得以獲知賣家所上傳照片之詮釋資料,以進而掌 握照片可能洩露之賣家地理定位。為增加其成效,荷蘭警方曾一度以市場網站發 生錯誤為由,要求全部用戶必須重新上傳照片,從而獲知超過 50 位賣家的位置 (Greenberg, 2018)。
最後,網站原先設定賣家能自行從網站下載自己賣場近期交易細節的報告,
該報告檔案以文字檔格式呈現。荷蘭警方於掌握網站管理權後,將該文字檔格式 改為 Excel 檔案格式(.xlsx),並使該 Excel 格式檔案於賣家開啟時自動嘗試連線 至被警方掌握的「Hansa」伺服器位址,使其具備追蹤器(homing beacon)用途,
警方據此得知開啟該檔案用戶之電腦 IP 位址 (Cox, 2017b)。
三、行動結果
在此次行動中,兩大暗網市場「Alphabay」以及「Hansa」被查封關閉。其 中,「Alphabay」負責人被泰國警方逮捕後,於監獄上吊自殺 (Swenson, 2017)。
「Hansa」兩位負責人身分並未被荷蘭或德國警方公布 (Greenberg, 2018)。同時,
在「Hansa」於 2017 年 7 月 20 日被查封關閉同時,荷蘭警方在暗網建立另一個 網站,該網站首頁明確羅列已被逮捕與被掌握交易非法物品證據之賣家與買家的 網路名稱,以此作為恫嚇買、賣家以及宣示其打擊不法交易之決心。40
40 其暗網服務網站連結為: http://politiepcvh42eav.onion/hansafaq.html (進入日期:2019 年 8 月 13 日)