第四章 暗網交易市場打擊行動
第五節 WSM/Valhalla
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第五節 「WSM/Valhalla」,2019/5
2019 年 五 月 , 歐 洲 刑 警 組 織 宣 布 暗 網 上 兩 個 主 要 交 易 市 場
-「Valhalla(Silkkitie)」41以及「Wall Street Market」相繼被芬蘭以及德國警方查封 (Europol, 2019)。根據芬蘭海關發布的新聞稿,芬蘭海關(Tulli)已扣押「Valhalla」
網站伺服器,並根據調查到線索同時也扣押一筆為數不小的比特幣金額,且目前 初步調查仍持續進行中,並主要得到來自法國國家警察(La Police Nationale Française)與歐洲刑警組織等協助。該新聞稿也提及,「Valhalla」關閉後,原本的 毒販有轉往如「Wall Street Market」等暗網市場現象 (“Contents of Silkkitie web server seized”, 2019)。
「Wall Street Market」則是同時由德國聯邦刑事調查局(Bundeskriminalamt, BKA,以下通稱德國警方)查封並逮捕其三名負責人 (“The arrest of alleged persons [Press Invitation]”, 2019)。美國方面也因有參與針對「Wall Street Market」
的打擊行動而對該三名負責人、網站上兩大美國籍賣家、以及網站另外一名位於 巴西的管理員起訴 (U.S. Attorney’s Office for the Central District of California, 2019)。
一、行動背景
「Valhalla」於 2013 年創建,是一個以芬蘭人為主打對象、歷史悠久的暗網 交易市場。一個在 2018 年中旬的數據指出,「Valhalla」共有近 32,000 件上架交 易物,相較於前一年中旬為增加兩倍之多 (Valhalla Market Review, 2018)。
41 Silkkitie 為絲綢之路的芬蘭文
‧
而根據歐洲刑警組織的新聞稿,「Wall Street Market」在被查封關閉前可以說 是暗網第二大交易市場,有近 115 萬買家,5400 位買家,以及 63,000 件上架交 易物 (Europol, 2019)。外界多數推斷第一大交易市場應為在 2019 年四月底自行 宣布關閉的「Dream Market」 (Power, 2019)。
二、行動內涵
以下將以「Wall Street Market」作為本次行動檢視對象之代表42。
荷蘭警方於國內發現疑似專為處理「Wall Street Market」相關的加密貨幣交 易之伺服器,美國與德國方面檢視該伺服器,認定該伺服器中含有一些位於德國 境內與「Wall Street Market」相關之電腦 IP 地址。德國警方也在隨後追查到「Wall Street Market」位於德國國內的一些伺服器,以及網站資料庫(database)。經過檢 視該資料庫,警方發現該資料庫存有帳號「coder」、「TheOne」、「Kronos」之間 的聊天紀錄。隨後,在荷蘭發現了「Wall Street Market」的開發用伺服器上,警 方發現該開發用伺服器之管理員為「coder420」、「TheOne」、「Kronos」,與前述 資料庫中所發現的聊天帳號相似。因此,美國與德國警方從而建立該三個帳號即 為網站負責人之事實 (United States v. Lousee, Frost, and Kalla-criminal complaint, 2019, pp. 22-24)。
首先針對帳號「coder/coder420」,德國警方藉由掌握位於德國境內之伺服器,
發現登入伺服器之負責人帳號「coder/coder420」的 IP 位址顯示該負責人以虛擬 私有網路(Virtual Private Network, VPN)43方式連線至伺服器,由於該虛擬私有網
42 以美國對該網站三名負責人提出的刑事控告書為主要檢視文本 (United States v. Lousee, Frost, and Kalla-criminal complaint, 2019)。
43 虛擬私有網路(VPN)即藉由虛擬私有網路供應商運行遠端伺服器來重新導引用戶網路連線。簡 而言之,用戶欲瀏覽網際網路,須先行連線至該遠端伺服器,藉由該遠端伺服器導引至用戶欲瀏 覽之網站。此種方式使網路提供者(ISP)只能獲知用戶與遠端伺服器連線之事實,而無法得知用 戶所瀏覽之網站內容;同時,網站也無法得知瀏覽網站之用戶真實 IP 位址,僅能得知虛擬私有網 路(VPN)供應商的遠端伺服器 IP 位址。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
路偶爾會出現中斷情況,該負責人沒有注意到中斷情況,而繼續與伺服器保持連 線,從而暴露真實 IP 位址。德國警方追查發現該 IP 位址是藉由無線網卡(surfstick) 進行連線,並追蹤至該無線網卡曾在 Tibo Lousee 住家使用過,加上其他後續針 對 Tibo Lousee 在 Github、Twitter 等社群網站上註冊資料的調查,德國警方成功 建立 Tibo Lousee 為「coder/coder420」之事實 (United States v. Lousee, Frost, and Kalla-criminal complaint, 2019, pp. 25-27)。
針對負責人帳號「Kronos」,警方雖然同樣發現帳號所有人以虛擬私人網路 (VPN)連線至伺服器,然而,卻以對照方式,發現 Jonathan Kalla 連線至該虛擬 私人網路(VPN)時間與該虛擬私人網路遠端伺服器連線至網站伺服器時間吻合,
從而認定 Jonathan Kalla 即為「Kronos」之事實,當事人隨後也認罪 (United States v. Lousee, Frost, and Kalla-criminal complaint, 2019, p. 27)。
最後針對負責人帳號「TheOne」。美國與德國警方在此主要借助負責人帳號
「TheOne」對外提供的 PGP 公鑰(public key)以及比特幣金流分析來建立帳號所 有人之真實身分 (United States v. Lousee, Frost, and Kalla-criminal complaint, 2019, pp. 28-31)。
第一,德國警方經由檢視網站伺服器,得到負責人帳號「TheOne」所使用 之 PGP 公鑰。美國方面檢驗該 PGP 公鑰,發現該公鑰與 2017 年被查封之交易 市場「Hansa」上的賣家「dudebuy」PGP 公鑰相同,且「dudebuy」擁有一個加 密貨幣錢包(以下稱錢包一)。而後,美國郵件檢查局(PIS)經由區塊鍊分析該錢包 金流以及得到線上支付服務供應商 (online payment service provider/payment processing company) 所提供的資訊協助,得知在一筆與數位行銷公司之間的交易 中 , 該 筆 交 易 買 家 身 分 為 Martin Frost , 並 具 備 電 子 信 箱
「[email protected]」,該比交易中的數位貨幣來源雖有經過混幣(mixing),
但經過區塊鍊分析,美國郵件檢查局仍能確定該筆交易金額最初來源為錢包一。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
同時,郵件檢查局得知在其它交易中,有另外錢包(以下稱錢包二)與遊戲公司為 交易雙方,其中該筆交易內容中遊戲帳號身分也為 Martin Frost 以及相同電子信 箱,錢包二並隨後收到來自錢包一的匯款。因此,據上述,「TheOne」、「dudebuy」、
Martin Frost 三者即構成邏輯上關係:
因為: A(「TheOne」) B(「dudebuy」) & B(「dudebuy」)C(Frost),
所以:A(「TheOne」)C(Frost)
第二,美國方面同時發現一個具備同樣前述電子信箱的遊戲帳號收到來自錢 包三的加值,經過分析,發現錢包三中的錢來自一個「Wall Street Market」原本 設定為收取賣家繳納手續費的錢包四。由於錢包四能收取市場上賣家繳納之手續 費,能管理錢包四中的金額進出之人必為具備管理權限之網站負責人。因此,美 國執法單位進一步確定,Frost 即為市場負責人之一。
三、行動結果
「Wall Street Market」因為 2019 年三月末暗網當時最大規模的交易市場
「Dream Market」宣布將近期關閉,從而獲得大量人潮湧入 (Sedgwick, 2019)。
同年四月中旬,愈來愈多用戶注意到「Wall Street Market」上的託管帳戶(escrow) 中價值近 3000 萬美元的加密貨幣正一筆一筆地快速轉匯至一個特定錢包,引起 用戶們懷疑 (Tsing, 2019; Lloyd, 2019)。其中,網路名稱為「Med3l1n」的網站管 理員開始以威脅向執法單位公開曾經糾紛排解中用戶未加密之個資進行勒索,隨 後他也在暗網著名論壇「Dread」上公開他在市場客服網站(support panel)上管理 帳號以及專屬該市場管理員專用網站(admin panel)之伺服器 IP 位址,使警方得以 進一步掌握更多犯罪證據 (Schwartz, 2019; Miltenburg, 2019; Ilascu, 2019)。由於
「Med3l1n」在論壇網站 Reddit 上有帳號「Med3l1n_WSM」,加上「Med3l1n」
也曾在 2017 年「刺刀行動」中荷蘭警方悄悄掌握暗網市場「Hansa」之時提供過
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
自己真實住址,美國警方藉由向 Reddit 公司調閱帳號「Med3l1n_WSM」登入資 料以及憑藉 2017 年「刺刀行動」中獲得之真實住址,從而獲知「Med3l1n」真 實 身分 ,隨後在 巴西警 方的 協 助下 逮 捕 (United States v. Marcos Paulo de Olivera-Annibale, 2019)
此外,美國執法機關也逮捕了兩名在「Wall Street Market」上販賣多種如芬 太尼(fentanyl)、甲基安非他命(methamphetamine)、氧可酮(oxycodone)等高度成癮 性毒品的賣家「Platinum45」與「Ladyskywalker」。針對「Wall Street Market」的 刑事控告書中也同時提到,在 2019 年初因販賣芬太尼予一名佛羅里達州人民致 其服用後死亡、終致被逮捕的 Michael Schoemann,其實也是「Wall Street Market」
賣家之一 (United States v. Lousee, Frost, and Kalla-criminal complaint, 2019; U.S.
Attorney’s Office for the Western District of Wisconsin, 2019)。
而在「Wall Street Market」被查封的一個禮拜後,歐洲刑警組織與美國聯邦 調查局宣布已經成功查封另一個網站「Deepdotweb」,並逮捕兩名以色列籍的網 站負責人。不同於以往國家執法機關所查封的暗網交易市場網站,「Deepdotweb」
同時存在於明網與暗網上,專門以提供對暗網交易市場有興趣之網路使用者索引 與轉介(refer)暗網交易市場為目的,並從中獲取轉介利益。