Masquerade und Erpressung

Die Silk Road Saga hat eine neue Wendung genommen: zwei Ermittler werden angeklagt, Geld bzw. Bitcoin erpresst, gestohlen, unterschlagen und gewaschen zu haben. Der bemerkenswerte Ermittlungsbericht zeichnet eine Gaunerstory von zwei korrupten Agenten, die wie Raubritter durch den Cyberspace gezogen sind. Die Geschichte zeigt auch, wie wenig anonym die Blockchain ist und was einen Beweis in der digitalen Welt ausmacht. 

Die Silk Road, der erste und große und legendäre Online-Drogenmarkt des Darknet, will einfach nicht ins Grab steigen. Sie wurde vom FBI geschlossen, ihr Gründer, Ross Ulbricht, wurde verhaftet und verurteilt, ihre Einnahmen wurden konfisziert und versteigert. Nun geht es den Ermittlern selbst an den Kragen, und die Story, die dabei ans Licht kommt, stellt alle anderen Geschichten um die Silk Road in den Schatten. Zwei Agents, die gegen die Kriminalität im tiefen, unsichtbare Netz ermittelt haben, werden nun angeklagt, selbst in den dunklen Winkeln des Internets Geld gestohlen, unterschlagen und gewaschen zu haben.

Die beiden Agenten waren in der Baltimore Task Force, einer Sondereinheit, die speziell für die Ermittlungen gegen die Silk Road gegründet wurde. Sie setzte sich aus Vertretern mehrerer Behörden zusammen, darunter die Homeland Security, die Steuerkontrolle, die Postkontrolle, die Drogenpolizei und mehr. Special Agents Carl Mark Forces IV kam von der DEA, der Drug Enforcement Administration, Special Agent Shaun Bridges von den US Secret Services (USSS). In der Baltimore Task Force hatte Bridges die Rolle des Systemadministrators und Krypto-Experten, während Forces als digitaler V-Mann versucht hat, sich ins Machtzentrum der Silk Road einzuschleichen.

Carl Mark Forces verdächtiger Reichtum

Die Ermittlungen gegen Forces begannen wohl damit, dass die Bitcoin-Börse Bitstamp sein Konto einfror. Force hatte am 8. April 2014 80.000 Dollar auszahlen lassen und sich dabei über den Anonymisierungsdienst TOR angemeldet. Dies löste bei Bitstamp ein KYC (Know-Your-Customer)-Verfahren aus. Force erklärte daraufhin, er sei ein Agent des DEA und handele seit 2012 leidenschaftlich mit Bitcoin. Über Tor habe er sich eingeloggt, weil, ZITAT: ich nicht will, dass mir die NSA über die Schulter schaut. ZITAT ENDE. So berechtigt das sein mag, so schräg klingt es, wenn es von einem Vertreter der Staatsgewalt selbst kommt. Bitstamp zahlte etwas später die 80.000 plus weitere 120.000 Dollar aus, nachdem Force seinen Kollegen Bridges überzeugt hatte, für ihn einzutreten. Bitstamp hatte aber derweil wohl andere Behörden oder die Vorgesetzten unterrichtet, die nun begannen, die Finanzen des Agents zu durchleuchten. Und das, was sie fanden, sah nicht so aus, als sei es sauber.

Force war seit 15 Jahren Special Agent bei der DEA und bis dahin unauffällig gewesen. Er verdiente 150.000 Dollar im Jahr, seine Frau war Hausfrau. In den Jahren 2013 und 2014 empfing er nationale und internationale Überweisungen von beinah 800.000 Dollar. Er zahlte seine Hypothek über 150.000 Dollar sowie einen Regierungskredit von 22.000 Dollar (vermutlich für die Ausbildung) zurück, unterschrieb mehrere Schecks und Wechsel über jeweils mehr als 10.000 Dollar, investierte 110.000 Dollar in die Bitcoin-Börse CoinMKT und überwies 235.000 Dollar auf ein Konto in Panama. Schon etwas viel für ein Gehalt von 150.000 Dollar, oder?

Wenn man sich den Bericht der darauf folgenden Ermittlungen durchliest – und das sollte man, da er spannender als jeder Krimi ist – kann man nicht umhin, sich Force als einen jener Drogenermittler vorzustellen, die dein Gras wegnehmen, um es selbst zu rauchen.

Agent Force stiehlt einem Bitcoin-Trader 300.000 Dollar

Die internen Ermittler haben all die digitalen Datenberge, die Force angehäuft hat, durchleuchtet: seine dienstlichen E-Mails, seine privaten E-Mails, alle Infos, die sein Dienst-Laptop produziert hat, und alle Memos, die er wohl täglich anfertigen musste.

Privat hat Force ein Outlook-Konto benutzt. Microsoft hat die E-Mails natürlich herausgegeben. Einige waren nicht mehr verfügbar, da Force sie gelöscht hatte. Über Outlook hat Force mit dem Chef der Bitcoin-Börse CoinMKT korrespondiert. Der Agent hatte zunächst 110.000 Dollar in Bitcoin in die Börse investiert, was ihn zu einem der Top-4-Investoren machte.. Anschließend hat er als „Compliance Officer“ angeheuert. Der E-Mail-Dialog mit dem Boss von CoinMKT sah etwa so aus:

CEO: Wo arbeitest du? Wirst du deinen alten Job behalten?

Force: Ich arbeite in Baltimore. Ich bin mir nicht sicher, wie lange ich noch bei der DEA arbeiten werde.

CEO: Welche hilfreichen Kontakte bringst du mit?

Force: Ich habe zahlreiche Kontakte zu IRS Kriminalermittlern, meinen Intel-Analysten, unter anderem direkten Zugang zu Fincen … und ich kann die Profile von Kunden in der Kriminaldatenbank abrufen.

CEO: Besteht ein Interessenskonflikt?

Force: Nö.

Force schrieb auch, er habe genügend „Down Time“ bei der DEA, um gleichzeitig als Compliance Officer zu arbeiten. Er schien darin wirklich kein Problem zu sehen und drängte den Geschäftsführer von CoinMKT sogar, ihn offiziell als Compliance-Officer – also als Beauftragten für Geldwäsche – anzugeben. Am 13. Januar 2014 schrieb der CEO von CoinMKT, er werde Force als Compliance-Officer bei einer Bank nennen, und Force antwortete: Ok, hoffen wir, dass es läuft.

Force hat sich offensichtlich auf ein Leben jenseits der DEA vorbereitet. Warum auch immer. Vielleicht, weil ihn der Bitcoin-Bug gepackt hat. Er schrieb an CoinMKT etwa Dinge wie „when we hit the big time“. Wie auch immer – es ist sein gutes Recht, sich nach einem neuen Job umzusehen, und er hat vermutlich exzellente Qualifikationen für den Geldwäschebeauftragten mitgebracht, die so gut wie jede Börse aufgewertet hätten.

Weniger sein Recht war es, dafür die staatliche Kriminaldatenbank zu benutzen. Und noch weniger war es sein Recht, seine Stellung als Compliance Officer zu missbrauchen, um einen Kunden abzuziehen. Im Februar 2014 hat ein User aus Kalifornien von CoinMKT drei Mal hintereinander 10.000 Dollar abgehoben. Das ist verdächtig und könnte den Tatbestand des „Money Structuring“ erfüllen. Force schickte dem Kunden kurzerhand eine offizielle Vorladung von seinem offiziellen DEA-Account aus. Er kündigte dem überraschten Kunden an, dass der Account eingefroren wird, weil er gegen ein halbes Dutzend Gesetze verstoßen hat. Auch nachdem sich herausgestellt hatte, dass der Kunde vollkommen unverdächtig war und es ein Bug im System gewesen war, der Auszahlungen über 10.000 Dollar blockiert hatte, überredete Force den Chef von CoinMKT weiter dazu, das Konto einzufrieren. Gut 37.000 Dollar, knapp 180 Bitcoin, 3400 Litecoin, 366.000 Feathercoin und 621.000 Worldcoin wurden auf ein anderes Konto überwiesen, dass Force daraufhin übernahm. Er reichte bei den Marshalls – die konfiszierte Güter verwalten – eine offizielle Beschlagnahmung ein. Allerdings nur über 37.000 Dollar.

Die Bitcoins und Altcoins – laut dem Ermittlungsgutachten zu diesem Zeitpunkt knapp 300.000 Dollar wert – hat Force behalten. Die Bitcoins wanderten auf ein Konto bei Bitstamp, das sich als das von Force herausstellte. Dort wurden sie verkauft.

Agent Force betrügt Dread Pirate Roberts

Kommen wir zu der spannenden Geschichte: zu Carl Mark Forces Raubzüge durch das Deep-Web. In der Baltimore Task Force war er der Cyber-V-Mann. Er nahm unter dem Geheimnamen „nob“ über allerlei verschlüsselte und unverschlüsselte Kanäle Kontakt zu Dread Pirate Roberts auf, der als Mastermind die Silk Road betrieb, eine Art Amazon in den dunklen, verschlüsselten Nischen des Netzes, wo Drogen aller Art nebst gefälschten Ausweisen, verbotener Literatur, Arzneien und vielem mehr gehandelt wurden. „Nob“ trat als amerikanischer Drogenschmuggler mit Kontakten zum internationalen organisierten Verbrechen auf.

Die Ermittler der Baltimore Task Force wurden möglichst lückenlos überwacht. Jeder musste jeden Tag seine Tätigkeit „memorieren“, alle Dokumente mussten abgeliefert werden, der Dienstlaptop filmte alles mit einer internen Kamera.

„Nob“ war die offiziell genehmigte Online-Identität von Force. Als solcher plauderte er mit Dread Pirate Roberts über alles mögliche. Unter anderem skizzierte er für ihn einen Flucht-Plan nach Tunesien. Nob erzählte Dread Pirate Roberts auch von einem Bekannten namens Kevin, der beim Justizministerium arbeite. Er bot Dread Pirate Roberts Informationen über die Ermittlungen gegen die Silk Road an. Der Preis war 50.000 Dollar. All das war übriges vollkommen OK. Die Vorgesetzten hatten diesen Plan abgesegnet. Vielleicht brachte er ja eine Spur, wer hinter Dread Pirate Roberts, dem Admin der Silk Road steht.

In seinem Tagesmemo berichtete Force, er habe als Nob Dread Pirate Roberts das Angebot zukommen lassen, aber dieser habe abgelehnt. Kann passieren, hat eben nicht geklappt.

Eine Sache war aber auffällig: Force hatte den Mailverkehr mit Dread Pirate Roberts (DPR) PGP-verschlüsselt. Er hatte DPR sogar dazu aufgefordert, künftig mit PGP zu verschlüsseln.

Das ist ungewöhnlich, wenn nicht sonderbar. Ein Undercover-Ermittler sollte so etwas niemals verlangen. Er sollte es ganz im Gegenteil ausnutzen, wenn sein Ziel es versäumt, Mails per PGP zu verschlüsseln. Denn PGP funktioniert, ganz grob gesagt, so, dass es Beweismittel vernichtet. Sobald Force eine E-Mail an Dread Pirate Roberts mit dessen öffentlichen Schlüssel kodierte, konnte niemand außer Dread Pirate Roberts selbst diese E-Mail öffnen. Ohne den privaten Schlüssel ist eine PGP-verschlüsselte E-Mail kein Beweisstück vor Gericht. Selbst dann, wenn der Agent in seinen Memos behauptet, dass er dies oder das geschrieben habe. Wenn ein Ermittler PGP-verschlüsselt, muss er einen Grund haben.

Als das FBI im Spätsommer 2013 die Silk Road sprengte, wurde auch ein Server der Silk Road auf Island beschlagnahmt. Darauf fanden die Ermittler auch die Logbücher von Dread Pirate Roberts – und, zum Teil: den PGP-Schlüssel für die E-Mails, die Force an Dread Pirate Roberts geschrieben hatte. Der stellte sich nun übrigens als 28-jähriger texanischer Informatiker heraus, der in San Franzisko in einer WG gelebt hatte, ohne dass seine Mitbewohner geahnt hätten, was los ist. Sie beschrieben ihn als stillen, unauffälligen, gemütlichen Typen, der gerne Djemba spielte.

Die Datenschätze aus Island zeigten, dass Dread Pirate Roberts durchaus Geld an Nob bezahlt hatte. Er hatte 525 Bitcoin überwiesen. Diese Bitcoin landeten einige Adressen und „Strukturierungen“ später auf einem Konto der Börse CampBX. Dessen Besitzer war, einmal mehr, Special Agent Force.

Agent Force vercheckt Interna an Dread Pirate Roberts

Die Daten auf dem Silk Road Server zeigten aber noch mehr. Laut DPRs Aufzeichnungen hatte er jemandem mit dem Pseudonym „French Maid“ 100.000 Dollar bezahlt, um an einen Namen zu kommen, den Mark Karpeless, Chef der mittlerweile insolventen Börse MtGox, den Ermittlern gesteckt hatte.

Tatsächlich hatte die Baltimore Task Force, der Force angehörte, zu jener Zeit versucht, Mark Karpeless zu verhören. Dies deutete auf einen Insider hin. Eine gründliche Untersuchung der verwendeten PGP-Verschlüsselung ergab, dass sowohl „French Maid“ als auch „nob“ die (veraltete) Version 1.4.12 von GnuPG verwendet, eine bestimme Einstellung genutzt und mit 2048 anstatt der üblichen 4098 Bit verschlüsselt hatte. Ein recht starker Hinweis. Der Beweis schließlich war in der Blockchain: auch die 770 Bitcoin, die DPR an French Maid überwiesen hatte, landeten auf dem CampBX-Konto von Force.

Agent Force versucht, Dread Pirate Roberts zu erpressen

Schließlich entdeckten die Ermittler in den Datenbergen noch eine dritte Identität, die sich auf Force zurückführen ließ: „Death from Above“. Als dieser hat er versucht, DPR zu erpressen. Er drohte, DPRs wahren Namen zu enthüllen und verlangte 250.000 Dollar. DPR antwortete: “Ich halte die Seite seit zwei Jahren am Laufen und tue damit eine gute Sache. Es gibt immer Psychopathen, die an meine Türe klopfen. Ich wurde gehackt und bedroht. Ich weiß, dass ich eine gute Sache mache, und deine Drohungen und all die anderen Psychos scheren mich nicht. Hör auf, mir zu schreiben und such dir eine andere Beschäftigung.” Dann notierte er in seine Logfile: „Schon wieder erpresst. Jemand behauptet, meine ID zu kennen, beweist es aber nicht.” Offensichtlich hat DPR nicht bezahlt, weshalb es keine Bitcoins gibt, die sich in der Blockchain nachverfolgen lassen. Eine Videoaufzeichnung von Forces Dienst-Laptop – die wohl permanent den Bildschirm filmte – zeigte aber, wie sich Force mit der Identität „Death from Above“ eingeloggt hatte.

Agent Force gründet eine Firma und wäscht seine Beute

Die illegal angeeigneten Bitcoin hat Agent Force wie bereits bekannt ist über Bitstamp und CampBX verkauft. Er hat dabei wohl unterschätzt, wie einfach sich in der Blockchain die Spuren des Geldes nachvollziehen lassen.

Um weitere Gelder zu waschen, hat er die Firma Engedi LLC gegründet und ihr ein Kapital von 100.000 Dollar gegeben. Engedi sollte mit Bitcoin handeln.

Als Force im Mai 2014 erfuhr, dass gegen ihn ermittelt wurde, überwies er 235.000 Dollar auf ein Bankkonto einer Bank in Panama. Dieses Konto war wohl für die Bitcoin-Börse BTC-E bestimmt. Ende Mai stellte er sich in einem Self-Interview den internen Ermittlern. Mittlerweile dürfte er unter Arrest stehen, da ihm die notwendigen Kenntnisse nachgesagt werden, Geld zu waschen und eine Flucht aus den Vereinigten Staaten zu organisieren.

Im zweiten Teil: Wie Agent Force seinem Kollegen Agent Bridge vermutlich dabei half, die Silk Road auszurauben, wie Force Dread Pirate Roberts anschließend zu einem Auftragsmord anstachelte und wie Bridge die Beute über eine Scheinfirma gewaschen hat.