Brisbane – Australia

Begge mennene stivner til da VG konfronterer dem.

– Du må gjerne publisere det du vet om oss nå, hvis du mener det er rett. Men da må du være forberedt på konsekvensene, svarer Jon.

Ved siden av ham i en burgerbar i Brisbane sitter Paul.

VG har nettopp fortalt dem hva vi har avslørt. At det er de to som driver verdens største nettforum for overgrep mot barn.

Jon, australieren, blir blek. Paul, briten, rødmer så han blir lilla.

Det er januar 2017. På dette tidspunktet har de to drevet nettstedet Childs Play i tre måneder. Under deres ledelse har tusenvis av medlemmer delt bilder og filmer av barn som misbrukes. Et norsk medlem har skrytt av overgrep han har gjort i egen familie. Noen medlemmer har møttes fysisk, for å begå overgrep som de har filmet og delt på forumet.

«Det mørke nettet» En del av internett hvor trafikken mellom deg og nettsidene du besøker krypteres på en slik måte at det ikke skal være mulig for utenforstående å identifisere deg. Dette gjør det til et egnet sted for personer som vil holde seg unna lovens håndhevere, enten det er av frykt for sensur eller fengsel. The Onion Router Det mest brukte av nettverkene på det mørke nettet er The Onion Router eller TOR, med omkring 30.000 nett-tjenester. Nettverket består av en rekke «noder», eller datamaskiner som er stilt opp for å motta, dekryptere og videresende beskjeder mellom brukere og nettsider på Tor. Det mest brukte av nettverkene på det mørke nettet er The Onion Router eller TOR, med omkring 30.000 nett-tjenester. Nettverket består av en rekke «noder», eller datamaskiner som er stilt opp for å motta, dekryptere og videresende beskjeder mellom brukere og nettsider på Tor. Beskjed pakkes inn All kommunikasjon i nettverket er kryptert. The Onion Router har fått navnet sitt fordi krypteringen har skall, som en løk. Når du vil sende en beskjed til en annen maskin på TOR-nettverket, pakkes beskjeden din inn i flere lag. All kommunikasjon i nettverket er kryptert. The Onion Router har fått navnet sitt fordi krypteringen har skall, som en løk. Når du vil sende en beskjed til en annen maskin på TOR-nettverket, pakkes beskjeden din inn i flere lag. Pakken sendes Deretter sendes pakken fra deg til en node. Hver node dekrypterer ett lag av løken, som gir noden beskjed om hvor pakken skal sendes videre. Hver node vet ingenting om pakken den mottar, annet enn hvilken node den kom fra og hvilken node den skal sendes til. Deretter sendes pakken fra deg til en node. Hver node dekrypterer ett lag av løken, som gir noden beskjed om hvor pakken skal sendes videre. Hver node vet ingenting om pakken den mottar, annet enn hvilken node den kom fra og hvilken node den skal sendes til. Kryperingslagene åpnes Den krypterte beskjeden sendes til enda en node, og enda en. Hos hver node pakkes ett nytt kryptert lag av beskjeden din opp, inntil den når mottakeren. Beskjed mottas Når mottakeren får beskjeden er den ferdig utpakket. Slik skal det være nesten umulig å vite hvem som er avsender av en kryptert beskjed, eller hvem som besøker et nettsted. Les mer

At Jon og Paul skifter ansiktsfarge, er naturlig. Ingen skulle kunne oppdage dem. Nettstedet ligger på det såkalte «mørke nettet». Krypteringen skulle holdt både serveren og bakmennene skjult. Men nå har VG avdekket hvor i verden og fra hvilken datamaskin forumet blir drevet.

Jon og Paul er avslørt. De er ikke forbrytere. De jobber for australsk politis spydspiss på det mørke nettet, Task Force Argos. Jon Rouse leder enheten. Etterforsker Paul Griffiths driver flere av operasjonene. VG kan i dag avsløre at Task Force Argos i nesten ett år har infiltrert overgriperne på det mørke nettet – og at politienheten selv har delt bilder av seksuelle overgrep mot barn.

Jon Rouse, detective inspector og Paul Griffiths etterforsker (til venstre). Foto: Tore Kristiansen, VG

Hvor langt kan politiet gå i kampen for det gode? Hvor mye galt kan etterforskere gjøre for rettferdighetens skyld? Undercover-aksjonen i Australia, med navnet «Operasjon Artemis», har vært en del av en omfattende, internasjonal politioperasjon.

VG har kjent til operasjonen siden januar i år, og fulgt den tett, dels ved å overvåke trafikk på det mørke nettet, dels ved å hente inn informasjon fra politi, rettsinstanser og andre kilder verden over. Da VGs dataekspert Einar Otto Stangvik, som sto bak reportasjeserien «Nedlasterne», begynte å etterforske nettstedet og dets nordiske medlemmer høsten 2016, ante vi ikke at vi skulle avsløre en hemmelig politioperasjon.

Først i dag kan vi fortelle historien om hvordan Task Force Argos, USAs Homeland Investigations og kanadisk og europeisk politi arbeidet for avdekke lederne av nettets største overgrepsmiljø.

Fra første stund har «Operasjon Artemis» hatt ett klart mål: Å identifisere ofre og overgripere. Men behøvde politiet å drive overgrepsforumet i ett år for å få til det?

I USA gråter en mor da hun får høre at VG har funnet overgrepsbildene av hennes datter på nettstedet som politiet har driftet.

– Min datter skal ikke brukes som agn. Hvis bildene av henne deles på nettstedet politiet driver, burde hun bli betalt eller få kompensasjon for bruken. Det er ikke riktig at politiet skal promotere disse bildene, sier moren.

Også bilder av norske barn er delt i samme tidsrom.

Politiet avviser at de er ansvarlige for hva som ble delt på Childs Play gjennom året de drev det.

– Vi lager ikke disse nettstedene. Vi ønsker ikke at de skal finnes. Når vi finner dem, infiltrerer vi dem og kommer så høyt som mulig i nettverkets administrative hierarki, for å ødelegge det. Men vi kommer aldri til å selv skape et forum for overgripere, sier Jon Rouse.

Hvem bygde opp forumet han og Paul har drevet?

Vi skal til to andre land. Og to unge menn.

USA og Canada

Den første av guttene, Benjamin Faulkner, vokste opp i North Bay i Canada – en liten by nord for innsjøen Lake Nipissing, nord for de store sjøene. Huset lå i utkanten av byen, med en garasje nesten like stor som hovedhuset, og trampoline og basseng i bakhagen. Han var svømmeinstruktør på fritiden, spilte trompet i storband, men brukte mye tid på datamaskinen.

Patrick Falte, den andre gutten, vokste opp sør i USA, i Tennessee. Rett ved et spaghettikryss hvor to motorveier møtes på vei fra countryhovedstaden Nashville, ligger klyngen med hus han delte med foreldrene. På college drømte han ifølge faren om en jobb i FBI, hvor han skulle kjempe mot hackere. Som kanadieren brukte han mye tid på datamaskinen.

Patrick Falte. Foto: Privat

Rettsdokumenter VG har tilgang til, forteller hvordan han 12 år gammel kjente at han var annerledes enn vennene. Hans drifter rettet seg mot barn, ikke andre ungdommer.

Det gikk år. Guttene tok utdannelse i det som opptok dem mest: Datasikkerhet. Kanadieren fikk jobb i Toronto, amerikaneren i Nashville.

Mens unggutten fra North Bay forsøkte å finne hjelp til det han kjente inne i seg, stengte amerikaneren det inne. Han visste at enhver lege, psykolog eller rådgiver ville melde fra hvis han fortalte at han var tiltrukket av barn.

Derfor gikk han heller online.

VG har avdekket at begge var aktive på det mørke nettet i 2011, på samme sted. Falte var blitt involvert på nettstedet «Pedosupport Community», hvor han hjalp til med å programmere de tekniske løsningene for nettstedet.

30. oktober 2012 får nettstedet besøk av Faulkner. Han presenterer seg i den første meldingen:

«Litt om meg selv for å etablere troverdighet her: Mitt navn er CuriousVendetta, og jeg jobber som sikkerhetstester for et firma som driver med IT-sikkerhet. På fritiden gjør jeg hva jeg kan for å skape litt ugagn på nettet, sammen med noen få venner».

I senere meldinger forteller han om jobben som svømmeinstruktør:

«I bassenget er jeg fri og kan skape mine egne fantasier. Jeg har flere jenter i fanklubben min enn jeg kan telle».

North Bay er en liten by. Han blir oppdaget av noen foreldre, som ber ham holde seg unna barna deres. Men han slipper politianmeldelse.

North Bay – Canada

Benjamin Faulkner. Foto: Privat

18. juni 2013 var en varm dag i North Bay. Så langt nord på det amerikanske kontinentet er klimaet som på Østlandet i Norge: Kaldt når solen er borte, stekende hett når den er der.

Søsknene gikk i shorts. Selv var gutten som senere skulle bli WarHead, kledd i svarte jeans og langermet skjorte. Familien feiret et jubileum. Alle smilte inn i kameraet.

På dette tidspunktet var Faulkner etter hva VG kjenner til, ikke aktiv på Pedosupport eller andre overgrepsnettsteder

Det skulle ikke vare.

Høsten 2015 besøkte han et nytt sted: «The GiftBox Exchange». Mens han var pålogget, fikk han en melding fra administratoren:

«Hei, jeg har ikke sett deg på lenge. Jeg er sjefen her omkring».

Det var CrazyMonk fra Pedosupport, amerikaneren Falte.

Slik begynte bekjentskapet. De må ha sett noe i den andre, som gjorde at de våget å ta skrittet ut fra den krypterte nettverden og ut i virkeligheten, hvor alle kan se hvem du er.

Kanadiske Faulkner ble raskt en del av ledertemaet på Giftbox, men han ønsket å være noe mer enn bare én av flere på toppen.

Han ville være den ene.

Et sted på det mørke nettet

Foto: Krister Sørbø, VG

Fredag 15. april 2016 så nettstedet «Childs Play» dagens lys på det mørke nettet. Det var ledet av én administrator med et hoff av moderatorer. Lederen kalte seg WarHead.

At det var Faulkner, den samme mannen som andre steder gikk under navnet CuriousVendetta, visste ingen.

«På grunn av mangelen på gode fora bestemte jeg meg for å bringe Childs Play til miljøet. Målet til Childs Play er å tilby et gratis og lett tilgjengelig forum til miljøet, samtidig som det er et trygt og sikkert sted å snakke sammen og bare være oss selv».

WarHead fikk overstrømmende respons. Forslag om hvordan gjøre nettstedet bedre og tryggere for medlemmene, veltet inn. Ett av forslagene var å ha en underseksjon for tortur av barn. Kanadieren ble ekspert på å leve med flere identiteter. I den fysiske verden var han livredderen, korpsmusikeren, datanerden, storebroren. På nettet var han kongen blant likesinnede.

Allerede januar i år skrev VG om Childs Play, et nettsted som på kort tid hadde vokst seg til å bli et av de største overgrepsnettstedene.

De største overgrepsforumene Dette er de største overgrepsforumene på det mørke nettet, basert på totalt antall registrerte profiler på hvert forum (kan inneholde duplikater). Childs Play Myndighet: Argos, Australia Stengt: September 2017 Drevet av politiet i 11 måneder En del av «Operasjon Artemis» Playpen Myndighet: FBI, USA Stengt: Februar 2015 Drevet av politiet i to uker Elysium Myndighet: BKA, Tyskland Stengt: Juni 2017 Politiet hadde tilgang i et par dager før de stengte det Over 1 000 000 profiler 181 475 92 218 47 769 45 818 The Giftbox Exchange The Love Zone Myndighet: Europeisk land Stengt: November 2016 Drevet av politiet i ca. én måned En del av «Operasjon Artemis» Myndighet: Argos, Australia Stengt: Desember 2014 Drevet av politiet i 6 måneder Per nå finnes det minst tre store forum som sprer overgrepsmateriale på det mørke nettet Childs Play Myndighet: Argos, Australia Stengt: September 2017 Drevet av politiet i 11 måneder Over 1 000 000 profiler Elysium Myndighet: BKA, Tyskland Stengt: Juni 2017 Politiet hadde tilgang i et par dager før de stengte det The Giftbox Exchange Myndighet: Europeisk land Stengt: November 2016 Drevet av politiet i ca. én måned 45 818 92 218 181 475 Operasjon Artemis The Love Zone 47 769 Myndighet: Argos, Australia Stengt: Desember 2014 Drevet av politiet i 6 måneder Playpen Myndighet: FBI, USA Stengt: Februar 2015 Drevet av politiet i to uker Per nå finnes det minst tre store forum som sprer overgrepsmateriale på det mørke nettet Childs Play 1 052 826 profiler The Giftbox Exchange Elysium Playpen 45 818 92 218 181 475 profiler Operasjon Artemis The Love Zone 47 769 Childs Play Myndighet: Argos, Australia

Stengt: September 2017

Drevet av politiet i 11 måneder Giftbox Exchange Myndighet: Europeisk land

Stengt: November 2016

Drevet av politiet i ca. én måned Playpen Myndighet: FBI, USA

Stengt: Februar 2015

Drevet av politiet i to uker The Love Zone Myndighet: Argos, Australia

Stengt: Desember 2014

Drevet av politiet i 6 måneder Elysium Myndighet: BKA, Tyskland

Stengt: Juni 2017

Politiet hadde tilgang i et par dager før de stengte det Per nå finnes det minst tre store forum som sprer overgrepsmateriale på det mørke nettet Vis detaljer

Gjennom 2015 og 2016 etablerte Falte og Faulkner seg som lederne for de to største miljøene for overgripere og pedofile, under navnene CrazyMonk og WarHead. På det meste hadde GiftBox 45.000 brukere, mens Childs Play etter hvert skulle passere 1.052.000 brukerregistreringer.

I realiteten var det langt færre ekte mennesker – ifølge Task Force Argos noen titusener. Et hundretalls av dem var hva miljøet kaller «produsenter», overgripere som filmer voldtekter av barn, og deler filmene på forumene.

Dette vekket etterforskere over hele verden. I Brisbane satt Paul Griffiths og leste alt som de to mennene hadde skrevet om seg selv. Han sukket: To IT-spesialister.

«Vi kommer aldri til å finne ut hvem disse gutta er», sa han til kolleger.

Men det stoppet ham ikke.

WarHead og CrazyMonk visste at plassen på toppen av dette dystre hierarkiet var utsatt.

I private samtaler med andre medlemmer på forumet skrev Faulkner at han visste hvilken slutt som ventet ham. Det bekrefter han selv.

– Du kan ikke være i dette miljøet uten å vite at du blir nøye gransket av politiet. Jo høyere du kommer i miljøet, jo mer vet du at de ser etter deg. Vi tok mange forholdsregler for å motvirke dette. Og mye av det fungerte, skriver han i en epost til VG.

Oslo – Norge

Einar Otto Stangvik. Foto: Krister Sørbø, VG

Også VGs dataekspert Einar Otto Stangvik overvåket Faulkners mørke nettsted. Gjennom et datasystem han programmerte høsten 2016 ble alle åpne meldinger på Childs Play lastet ned, indeksert og analysert.

Mens julen nærmet seg, forsøkte han flere ulike metoder for å se om det var mulig å identifisere mennene på forumet.

Dét var det. Flere medlemmer ble identifisert – nordmenn, svensker og en danske. Men nettstedet selv, sammen med de to som drev det, var umulig å finne.

Om kvelden 4. januar 2017 forsøkte Stangvik en ny strategi. I stedet for å analysere teksten på selve forumet, tok han en kikk under panseret og kontrollerte motoren som driver nettstedet – programvaren.

Han fant én svakhet: Ved å stille serveren det rette spørsmålet, ville den avsløre sin egen IP-adresse.

Spørsmålet ble stilt, og serveren svarte. Den sto i Sydney, og var eid av serverleverandøren Digital Pacific.

Det er ikke helt enkelt å forstå, men det du nettopp leste, er en verdensnyhet.

Få andre har tidligere klart å spore opp et nettsted som ligger på det mørke nettet.

Det som ikke skal være mulig å gjøre, tok VGs dataekspert noen kveldstimer den første onsdagen i 2017.

Sydney – Australia

Andrew Koloadin. Foto: Tore Kristiansen, VG

Mandag 23. januar er VG i Sydney. Hos serverleverandøren Digital Pacific lytter daværende direktør Andrew Koloadin nøye til hva VG forteller. På en av hans servere ligger Childs Play lagret, forteller vi ham. Nå vil VG vite hvem som driver nettstedet. Finne bakmennene.

– Jeg er like interessert som deg i få klarhet i dette. Vi skal ikke skru av serveren, og vi skal ikke gjøre noe som vil kompromittere ditt arbeid, svarer han til slutt.

Som serverleverandør er han ikke juridisk ansvarlig for hva som lagres på serverne som han leier ut. Det ansvaret har den enkelte som leier serveren. Men Koloadin ønsker å gjøre hva han kan for at nettstedet skal forsvinne og at WarHead kan tas.

Noen tastetrykk senere er det klart: Serveren leies av Task Force Argos i Brisbane.

Koloadin drar hånden rådvill gjennom håret.

– Dette bryter jo fullstendig med alle våre vilkår, å lagre materiale som dette på våre servere. Jeg skulle ønske at politiet hadde snakket med oss i ledelsen om dette, men jeg forstår at de ikke gjorde det. Det er en hemmelig operasjon.

– Hva tenker du om at politiet har lagret overgrepsmateriale på dine servere?

– Overgripere er smarte og vet å sette opp ulike løsninger for å komme seg unna politiet. Dermed må politiet være like smarte. Det er de tydeligvis her. Men jeg liker dårlig at de har gjort det bak vår rygg.

Brisbane – Australia

Brisbane. Foto: Tore Kristiansen, VG

Dagen etter i Brisbane. Vi har kontaktet Task Force Argos. De har gått med på å snakke med oss. Om hva vet de ennå ikke. For ti minutter siden spaserte de to etterforskerne nedover gaten fra hovedkvarteret mens slipsene vaiet i vinden.

– Vi har et veldig godt samarbeid med det norske og svenske politiet. La oss snakke og spise samtidig. Denne dagen er virkelig hektisk, sa politioverbetjent Jonathan Rouse mens solen gnistret i tennene.

Jon Rouse. Foto: Tore Kristiansen, VG

Nå sitter han urørlig på barkrakken og stirrer på VGs journalist, som har fortalt ham dette:

– Vi vet at det er dere som driver nettstedet. Vi vet at dere har drevet det i flere måneder.

– La oss ta dette først, jeg kommer ikke til å si dere noe. Dette er en pågående operasjon, sier Rouse med sammenbitte tenner.

Musikken fortsetter å spille, men stemningen har forandret seg.

– Vi har ett mål: Å redde barn fra overgrep. Vi gjør det som må til innenfor vårt juridiske rammeverk for å oppnå det. Hva vil dere med dette?

– Vi vil vite hva dere gjør.

Rouses blikk er knallhardt:

– Jeg vil vite hva dere vet, og jeg vil vite hvordan dere fant ut at det kanskje er vi som administrerer serveren. Men jeg snakker ikke, sa han og la trykk på det siste ordet:

– Jeg snakker ikke om pågående operasjoner. Du er journalist og vil skrive en historie. Vi er politimenn og vil hindre at barn blir voldtatt. Så vi har ulike mål med arbeidet vårt.

Rouse mener at VG må ha gjort noe kriminelt, siden vi klarte å avsløre operasjonen.

– Under australsk lov er det dere har gjort det samme som hacking. Vi som politi har lov til å drive hacking for å avdekke kriminell aktivitet, men ikke dere. Så dere må være klar over at det kan ha potensielle konsekvenser, det dere har gjort, sier han.

Politimennene skal senere velge å svare på spørsmål fra VG.

Slik avdekket han politioperasjonen IP-adresser og plassering av servere på Tor-nettverket er nærmest umulig å finne. Så hvordan fikk VGs dataekspert Einar Otto Stangvik overgrepsnettstedet til å lekke denne informasjonen? 1. Opplasting av profilbilde Forumet ga brukerne mulighet til å laste opp sitt eget profilbilde, og dette kunne også hentes fra en link på nettet. Forumet ga brukerne mulighet til å laste opp sitt eget profilbilde, og dette kunne også hentes fra en link på nettet. 2. Lekkasje gjennom Tor-nettverket Her skjer lekkasjen. Riktig konfigurert ville forumets programvare ha hentet dette bildet med en oppkobling via Tor. Det gjorde ikke Childs Play - trafikken gikk på det åpne nettet. 3. IP-adressen avsløres Ved å be forumet hente bildet fra sin egen server, kunne Stangvik avsløre at trafikken kom fra en IP-adresse hos serverleverandøren Digital Pacific i Sydney. Han brukte flere lignende teknikker for å bekrefte at nettverksoppslagene kom fra denne samme IP-en. Ved å be forumet hente bildet fra sin egen server, kunne Stangvik avsløre at trafikken kom fra en IP-adresse hos serverleverandøren Digital Pacific i Sydney. Han brukte flere lignende teknikker for å bekrefte at nettverksoppslagene kom fra denne samme IP-en. 4. En mellomstasjon? Neste spørsmål var hvorvidt IP-en tilhørte en Tor Exit Node, et VPN eller en proxy. En IP kan skjule hva som helst. Hvordan kunne han bekrefte at dette var overgrepsserveren, og ikke bare nok et ledd i en lengre kjede av omdirigeringer? Stangvik benyttet seg av tre avanserte teknikker: 5. Timing mellom serverne Han kjøpte en virtuell server hos Digital Pacific - samme sted som den mistenkte IP-adressen var lokalisert. Deretter gjennomførte han profilbildeopplastingen på nytt, og ba forumserveren hente bildet fra hans nye virtuelle server. Stangviks server svarte med å dirigere forumet til stadig nye adresser på vei mot profilbildet. Dette førte til flere beskjeder, fram og tilbake, mellom serverene. Stangvik målte svært lav totaltid og gjennomsnittstid, og kom fram til at forumet måtte befinne seg i umiddelbar nærhet til hans innleide maskin. 6. Måling av mellomledd Stangvik målte også såkalt «Time To Live», som sier noe om hvor mange mellomledd en datapakke har passert fra opprinnelsespunktet. Målingen viste at det var maksimalt ett mellomledd - et typisk resultat for servere som befinner seg i samme serverrom. 7. Måling av pakkestørrelser Den siste testen var virkelig teknisk avansert: Måling av MTU (Maximum Transmission Unit) og fragmentering. Hver datapakke i et datanettverk har en maksimal størrelse avhengig av hvilke mellomledd den skal passere. Hver «ekstra-teknologi», som et VPN, vil gi pakken en eksta innpakking.

Ved å bruke svært lange profilbilde-adresser, og ved å sette spesifikke pakke-flagg, i svarene sendt fra den skreddersydde webtjeneren, kunne Stangvik se at MTU for mellomleddene tilsvarte det man kan forvente i et høykapasitets- lokalt nettverk. Et VPN var altså neppe inne i bildet. Les mer

Serveren flyttes

I oktober i fjor ble kanadieren Faulkners nettsted flyttet til serveren i Sydney. Dette var et halvt år etter at han hadde etablert det.

Hva hadde skjedd?

I mai 2016 fikk Paul Griffiths beskjed fra politiet i et land i Europa. De hadde arrestert en person som viste seg å være en av moderatorene for nettstedet The Giftbox Exchange – nettstedet som Falte drev. Kunne Task Force Argos være interessert i å overta kontoen til europeeren og utgi seg for å være ham?

Det var de. Som en av få politienheter verden over er Task Force Argos blitt dyktige i å opptre med skjult identitet på det mørke nettet, som overgripere.

Paul Griffiths. Foto: Tore Kristiansen, VG

Slik begynte Operasjon Artemis. Målet for Griffiths og Task Force Argos var klart: Overta nettstedet. La det råtne fra innsiden, mens de avlytter all kommunikasjon mellom medlemmene. Identifiser overgripere og ofre. Arrester.

– Når du har fått kontroll over nettstedet, kan du gjøre hva du vil. Da kan du flytte det hvor du vil i verden. Det er slik Internett fungerer, sier Griffiths.

Mannen som Argos hadde overtatt identiteten til, var bare en moderator. Han hadde ingen makt til å flytte eller endre nettstedet, slik eieren CrazyMonk kunne. Foreløpig kunne de derfor bare observere.

Task Force Argos har de siste tiårene samarbeidet med flere politienheter i kampen mot seksuelle overgrep mot barn. Flere ganger i året møtes etterforskere fra ulike land for å gå gjennom operasjoner og etterforskninger. I mellomtiden er de en telefon unna hverandre. De vet at de kan stole på hverandre. Og få hjelp av hverandre, gjerne fra den andre siden av verden.

Da et annet lands etterforskere fant IP-adressen til GiftBox, sendte de den til Argos.

Politiet tok kontakt med serverhotellet hvor GiftBox lå. På dette tidspunktet kunne de ha tatt kontroll over serveren, og tatt alle data over besøkende. Men da ville toppfolkene gå under jorden, og det var dem politiet var ute etter. De valgte ikke å gjøre noe, annet enn å avlytte nettstedet via en bakdør i selve serveren.

Samtidig som Argos lette etter en vei inn for å overta GiftBox, dukket Childs Play opp på det mørke nettet. Politiets analyser av blant annet meldingene til WarHead og CuriousVendetta viste at de antagelig var fra samme land.

Kanskje var de også samme person.

– Det var mye god etterretning som ga indikasjoner på at en av lederne for Giftbox også drev Childs Play. Vi antok at det var en kobling mellom de to nettstedene, forteller Griffiths.

Følg pengene! I andre kriminelle nettverk er det et essensielt råd i jakten på bakmenn.

Men i overgripernes nettverk er det langt mindre penger i omløp. Der er det bildene som er valutaen. Å leie server til nettstedet koster likevel penger. I dette tilfellet ble det betalt med bitcoin, en virtuell valuta.

USAs Homeland Security Investigations begynte jakten på hvem som sto bak innbetalingen.

Den var enklere enn fryktet. Personen bak kallenavnet CrazyMonk hadde registrert bitcoin-lommeboken med sin egen private epostadresse.

Adressen pekte i følge politiet til en 27-åring i Tennessee, som hele livet hadde bodd hjemme hos foreldrene i huset en halvtime utenfor Nashville:

Patrick Falte.

CuriousVendetta var ikke like enkel å finne. Av de to lederne for GiftBox var han den tekniske eksperten. Sommeren 2016 får han imidlertid et problem med noe programkode. Han forsøker å reparere koden selv, men det fungerer ikke. Til slutt må han be Internett om hjelp.

Han tar et skjermbilde av koden, laster den opp og spør andre datakyndige på et nettforum for programmerere om råd.

Det er feilen som skal felle ham.

På det åpne nettet ser Google alt. Da en etterforsker i Homeland Investigations så at Giftbox hadde et problem, tenkte han: Hadde jeg hatt dette problemet, ville jeg bedt nettet om hjelp. De googlet, og fant spørsmålet til CuriousVendetta. Skjermbildet av koden – et uskyldig bilde av tekst – ligger lagret på en russisk server som nesten utelukkende brukes til å lagre overgrepsbilder.

Det måtte være ham.

Mannen som stilte spørsmålet, var en mann i midten av tyveårene fra North Bay i Canada:

Benjamin Faulkner.

Arbeidet med å nærme seg de to mennene startet. Hvordan skulle politiet pågripe dem før de rakk å ødelegge bevis? I det stille ble livene til de to mennene undersøkt. Var det mulig å montere et kamera hjemme hos dem eller på arbeidsplassen? Kunne politiet bryte seg inn og installere et dataprogram på pc-en som overvåket alt mennene tastet inn?

Alle forsøk ble forkastet. Hvis mennene fikk den minste mistanke, ville de med få tastetrykk fjerne nettstedet og alle data, ikke bare om seg selv, men om titusenvis av medlemmer. De måtte tas før de hadde mulighet til å melde fra til andre.

I løpet av etterforskningen oppdaget politiet noe oppsiktsvekkende: Falte og Faulkner kjente hverandre. Ikke bare på nett. Men også i virkeligheten.

– Vi visste at de hadde for vane med å møte hverandre. Vi visste bare ikke hvorfor. WarHead hadde vært i USA fire-fem ganger tidligere, og vi antok at han og CrazyMonk hadde møttes alle gangene. Antagelig møtte de hverandre første gang høsten 2015, sier Griffiths.

Etterforskerne bestemte seg for å vente.

– En eller annen gang kommer WarHead til å krysse grensen til USA. Når de møtes, tar vi dem, forteller Griffiths at de bestemte.

Dette var i juli 2016. Det ble august. Faulkner og Falte reiste ingen steder.

September gled mot slutten. Ingenting skjedde.

Også VG har valgt å vente. Allerede i januar avdekket vi at serveren i Sydney skjulte en ny, stor operasjon ledet av Task Force Argos, i samarbeid med flere land.

Først i dag, over ni måneder senere, publiserer vi avsløringen.

– Etter møtet med Griffiths og Rouse forstod vi at journalistene hadde avslørt en pågående politioperasjon. Selv om det var en spektakulær nyhet som åpenbart hadde offentlig interesse, besluttet vi å vente med å publisere. Situasjonen var uoversiktlig. Vi trengte mer informasjon før vi tok stilling til hva som kunne trykkes. I verste fall kunne VG skadet etterforskningen og utsatt uskyldige for fare, sier Gard Steiro, ansvarlig redaktør i VG.