I dettagli e i retroscena dell’operazione congiunta di Fbi, Olanda, Europol, che ha chiuso AlphaBay e Hansa Market. Dopo che le forze dell’ordine hanno gestito di nascosto un bazar della droga

Alexandre Cazes si è suicidato la mattina del 12 luglio 2017, apparentemente con l’ausilio di un asciugamano, avrebbe dichiarato la polizia, mentre si trovava detenuto da pochi giorni in una spoglia cella dell’unità antidroga di Bangkok (Narcotics Suppression Bureau) nel distretto di Laksi. Un’ora dopo avrebbe dovuto incontrare i magistrati che dovevano decidere sulla sua estradizione negli Stati Uniti.

Cazes era un canadese di 26 anni, che circa otto anni prima si era trasferito in Thailandia, dove aveva sposato anche una donna del posto. Ufficialmente era un programmatore, aveva una azienda, la EBX Technologies, che sviluppava siti Web, e aveva fatto i soldi commerciando con le criptomonete, come Bitcoin. Tanti soldi, in verità.

Quando pochi giorni prima, il 5 luglio, era stato arrestato a casa sua, in una villetta in un verde quartiere di Bangkok, la polizia gli aveva infatti sequestrato una Lamborghini, una Porsche Panamera, una Minicooper, una moto Bmw, sei case sparse tra Thailandia, Cipro, Antigua, oltre a vari milioni di dollari. Una ricchezza accumulata apparentemente in pochi anni. Che includeva circa 8,8 milioni di dollari in monete matematiche, distribuiti fra Bitcoin, Ethereum, Monero e Zcash. Perché, secondo l’Fbi, Cazes non era un semplice programmatore canadese che aveva fatto fortuna in Thailandia, bensì il fondatore e amministratore del più importante mercato della droga del Dark Web, AlphaBay. Uno dei tanti eredi del primo e più noto Silk Road, il cui presunto creatore, un trentenne americano di nome Ross Ulbricht, sta scontando l’ergastolo negli Stati Uniti.

Un’immagine di Cazes, tratta da Hanke.io

ASCESA E CADUTA DI ALPHABAY

AlphaBay era un mercato alla eBay, nascosto su rete Tor e raggiungibile solo con quel software, nato a fine 2014 e divenuto in poco tempo il principale sito dove avveniva la compravendita di droghe, ma anche software malevoli, carte di credito e, in misura minore, armi, dopo la scomparsa di altri grossi concorrenti. Poco prima del suo sequestro, avrebbe raggiunto i 200mila utenti, 40mila venditori e 250mila inserzioni di sole sostanze stupefacenti, secondo dati delle forze dell’ordine. Per il ministro della Giustizia americano Jeff Sessions, il sito “alimentava l’epidemia nazionale di droghe”, e vendite provenienti da questo mercato avrebbero causato alcune morti per overdose. Sotto accusa soprattutto lo smercio di eroina e fentanyl, un pericoloso oppioide sintetico. Come in molti altri mercati del genere, erano comunque cannabis, stimolanti ed ecstasy a fare la parte del leone (come rilevato anche in uno studio Rand). Su 40mila “negozi” presenti su AlphaBay, i venditori di eroina erano 238, di fentanyl 122, stando agli stessi dati del Dipartimento di Giustizia americano.

A fondare il sito sarebbe stato un utente di nome Alpha02, esperto di carding (furto e riutilizzo di dati di carte di credito) e frequentatore di forum russi. Anche se un ruolo rilevante sarebbe stato ricoperto anche da un utente di nome DeSnake. Come gli altri siti del genere, AlphaBay guadagnava attraverso le commissioni sulle transazioni di compravendita, intorno al 2-4 per cento. Nel 2016 aveva anche introdotto un “tumbler”, cioè un meccanismo per “lavare” (rimescolandole) le criptomonete depositate, in modo da rendere più difficile tracciarne la provenienza una volta uscite da lì.

Intorno al 4 luglio 2017, dopo quasi tre anni di ascesa, AlphaBay improvvisamente va offline. Non si capisce cosa sia successo. Alcuni sospettano una cosiddetta exit scam, cioè una truffa da parte degli stessi amministratori, scappati all’improvviso con i soldi dei compratori/venditori depositati sul sito - sfruttando il meccanismo, adottato da quasi tutti i mercati, dei depositi di garanzia (escrow), che blocca per un periodo i soldi delle transazioni per ridurre il rischio di frodi, soprattutto quelle a discapito degli acquirenti. È un trucchetto frequente, l’exit scam, in questo genere di economia. Del resto, Alphabay era cresciuto proprio dopo che il precedente mercato leader, Evolution, era scomparso nel nulla portandosi via i soldi degli utenti.

In realtà, nel caso di Alphabay, gli amministratori non erano fuggiti col malloppo. Il sito era stato messo offline dall’Fbi, che in contemporanea aveva fatto arrestare Cazes in Thailandia, ritenendo che fosse “Alpha02” o “Admin”, cioè il fondatore e amministratore del sito. E riuscendo a sorprenderlo in camera da letto col computer acceso mentre era loggato sul server di AlphaBay col nome utente Admin così come sullo stesso forum del sito.

Sapremo poi, da un’intervista alla polizia olandese, che l’obiettivo era proprio quello di dare l’impressione di una exit scam. In questo modo gli utenti, arrabbiati ma non spaventati, avrebbero potuto spostarsi su altri mercati, e in particolare su uno dei più rilevanti rimasti, e cioè Hansa Market.

Così infatti è avvenuto nei giorni successivi. Peccato solo che Hansa Market, a partire da circa il 20 giugno, fosse saldamente in mano alla polizia olandese. Che lo avrebbe continuato a gestire per circa un mese, accogliendo venditori e compratori orfani di Alphabay, in quella che si configura come una delle più brillanti operazioni di polizia nel mondo delle darknet. Che avrebbe visto la cooperazione di Fbi, polizia olandese, Europol, più varie forze dell’ordine di altri Paesi.

COME HANSA MARKET È DIVENTATO UNA TRAPPOLA

Il sito Hansa Market come appariva dopo il 20 luglio

Hansa Market era il posto più naturale per accogliere i reduci di una exit scam. Non solo perché era tra i principali mercati rimasti, anche se più piccolo di Alphabay (40mila inserzioni, e non vi si vendevano armi), ma anche perché offriva una serie di funzioni di sicurezza che proteggevano, tra le altre cose, proprio da possibili truffe perpetrate dagli amministratori. Un sistema di transazioni multifirma (multisig) - che in genere richiedono la firma crittografica di almeno due parti (del venditore, del compratore e/o degli amministratori del sito) per sbloccarsi - rendeva arduo, per chi controllava la piattaforma, scappare coi soldi. La polizia olandese avrebbe poi rivelato che in quel periodo le nuove registrazioni di utenti ad Hansa sarebbero balzate da mille a 8mila al dì. Al punto da obbligare i poliziotti a chiudere le nuove iscrizioni per alcuni giorni per evitare sovraccarichi e complicazioni. Tutto doveva filare liscio e non suscitare dubbi.

Ma come hanno fatto gli olandesi a prendere il controllo di Hansa? La versione ufficiale, diffusa dalla stessa Europol e confermata dall’agenzia europea a La Stampa, è che la pista iniziale sarebbe arrivata da una soffiata della società di sicurezza Bitdefender. Secondo questa indicazione, Hansa Market aveva i server in Olanda. L’indagine seguente avrebbe poi scoperto che questi erano stati spostati in Lituania e avrebbe individuato i due amministratori, due trentenni tedeschi di Siegen, in North Rhine-Westphalia, che sono stati arrestati. Nel mentre, con una richiesta prevista da un trattato di mutua assistenza legale (MLAT), la polizia olandese ha ottenuto accesso fisico alle macchine nel Paese baltico. Si è copiata tutto su server olandesi, da cui ha continuato a gestire il sito senza gravi disservizi. Tutto ciò avveniva a giugno, prima della messa offline di AlphaBay e dell’arresto di Cazes.

A quel punto gli olandesi avevano pieno controllo sul mercato. “Potevamo disabilitare la cifratura del messaggi privati (questi siti hanno un sistema di messaggistica interno per far comunicare compratori e venditori, ndr) e in questo modo potevamo leggerli. Ci comportavamo come se fossimo gli amministratori”, ha scritto la polizia olandese. Nomi utente e password usate sul sito sono state intercettate. Durante il mese che è stato in mano ai poliziotti, su Hansa Market sono state effettuate 50mila transazioni.

Il risultato dell’operazione? “Finora quattro persone sono state arrestate in Olanda, e due in Germania”, commenta a La Stampa Claire Georges, una degli agenti Europol che ha lavorato sul caso. “Abbiamo anche inviato dei pacchetti con varie informazioni di intelligence a molti Stati membri, segnalando persone che stavano acquistando droga”. Non può dire se siano stati inviati anche in Italia, ma spiega che le segnalazioni sono arrivate alla maggioranza degli Stati membri. E riguarderebbero sia venditori che compratori. “È molto probabile che in futuro ci saranno nuovi arresti. E che ci siano altri mercati con infrastruttura in Europa. Ci stiamo lavorando”, aggiunge.

Oltre ai sei arresti citati, sono stati individuati 500 indirizzi di compratori nella sola Olanda. E diecimila indirizzi stranieri che sono stati passati dall’Europol ai vari Stati, come dicevamo. Inoltre sono stati sequestrati da Hansa l’equivalente di circa 3 milioni di dollari in criptomonete, che sono state trasferite su account della procura olandese.

Il comunicato della Polizia olandese pubblicato nel Dark Web

COME HANNO INDIVIDUATO CAZES

Fbi e polizia olandese si sono dunque coordinati per mettere a segno un duro colpo contro due dei principali mercati. E lo hanno fatto in modo tale da raccogliere molte informazioni collaterali, da cui partiranno probabilmente ulteriori investigazioni. Ma mancano all’appello ancora molti dettagli per capire come effettivamente si siano avviate le indagini, specie per quanto riguarda Hansa Market. Nel caso di Alphabay, la dinamica sembrerebbe essere più chiara. Infatti, mentre gli olandesi si muovevano per tracciare Hansa, in contemporanea gli americani stavano chiudendo il cerchio attorno a Cazes. Come hanno fatto? Sulla base dei documenti giudizari, l’indagine si sarebbe basata molto sull’analisi di fonti aperte, sfruttando alcuni errori del canadese.

Nel dicembre 2016 l’Fbi si è infatti accorta che la mail personale di Cazes era inclusa nell’header della mail di benvenuto indirizzata ai nuovi iscritti nel dicembre 2014. Dopo il lancio del sito, il suo creatore aveva aperto anche un forum associato. Tra le sue funzioni, la possibilità di fornire una email per il recupero password. Quando un nuovo utente si iscriveva, riceveva un messaggio di benvenuto da AlphaBay. Nell’header di questa mail, c’era l’indirizzo Pimp_Alex_91@hotmail.com. A quel punto, gli agenti hanno scoperto che la mail apparteneva a un certo Alexandre Cazes, nato nel 1991, che aveva un profilo e un background perfettamente compatibili. Non solo: hanno poi trovato un messaggio lasciato da un certo Alpha02 su un forum tech del 2008: il post pubblicato includeva il nome Alexandre Cazes e la mail Pimp_Alex_91@hotmail.com. Hanno poi fatto indagini sul suo patrimonio, e lo hanno infine arrestato col computer acceso, trovandolo loggato su AlphaBay. Molti di questi passaggi ricordano da vicino l’indagine su Silk Road.

LE REAZIONI DEGLI UTENTI

“Non fate ordini ora su nessun mercato delle darknet!”. Suona lapidario, più ancora che allarmista, l’avviso in bella vista pubblicato all’inizio del thread più importante sul tema, nella sezione (subreddit) che si occupa di darknet e bazar, e che è molto frequentata dagli utenti di quel mondo.

La mazzata c’è stata e si sente. Tra le discussioni su Reddit, e quelle su altri siti e forum specializzati nel Web in superficie e quello profondo delle darknet, la cautela è massima. Anche perché la polizia olandese - in un comunicato messo direttamente su un sito del Dark Web che è tutto un programma, e dove tra l’altro sostiene di non aver bucato Tor ma che comunque non lo andrebbe a dire - ha scritto che con le credenziali catturate su Hansa avrebbe sequestrato gli account di alcuni venditori di altri mercati. In genere chi vende è distribuito infatti su più siti. Ed è possibile, anche se sarebbe un errore grossolano, che alcuni usassero gli stessi nomi utente e password.

I più esperti ora si consigliano a vicenda, e qualcuno sintetizza il che fare nei seguenti passaggi: se hai fatto ordini su Hansa dopo il 20 giugno e non hai cifrato i messaggi col pgp; oppure hai usato il sistema di messaggistica del sito; o se le chiavi del venditore sono state compromesse... allora sei nei guai.

Ma oltre al panico non manca chi già guarda avanti e si chiede dove andare. Perché da queste parti la filosofia di base sembra essere che i singoli mercati possono cadere soprattutto per l’insipienza di chi li gestiva. E ciò nonostante il business va avanti lo stesso. Vero è che dopo Silk Road, di bazar della droga ne sono fioriti a decine. E ora molti scommettono che ne nasceranno altri (c’è già chi ne segnala uno nuovo di zecca). Altri invocano la nascita e lo sviluppo di siti decentralizzati.

Nelle voci di corridoio, Dream Market, uno degli ultimi mercati più grossi rimasti, è visto però con molto sospetto. Qualcuno pensa che possa essere già compromesso. Altri si chiedono dove andare. Sbucano nomi di bazar minori come Wall Street Market e Traderoute, probabilmente perché accettano Monero, una criptomoneta considerata più sicura sul piano dell’anonimato.

“È accaduto prima, con Silk Road”, scrive ancora un utente. “I mercati torneranno e si adatteranno con nuove misure di sicurezza. Lo fanno sempre. Ci sono troppi soldi in gioco per vedere sparire questa nicchia”.