Deutsche Polizei konfisziert Server des weltweit größten Darknetmarkplatzes. Endlich eine Sanktion, die wirklich wehtut?
"Meet the Hydra" - Bild von remelius via flickr.com. Lizenz: Creative Commons
Das BKA nimmt den riesigen russischen Darknetmarktplatz Hydra hoch. Ist der Zeitpunkt Zufall – oder geht der Schlag gegen die russische Internetkriminalität Hand in Hand mit den Finanzsanktionen? Ganz unabhängig von diesen ist der Zugriff nicht zu verstehen.
Russland ist, wie wir alle wissen, ein spezielles und nicht ganz einfaches Land. Als Chainalysis im Herbst 2020 einen Bericht über Kryptowährungen in Osteuropa veröffentlichte – vor allem über Russland – stellte der Blockchain-Analyst fest, dass der absolute Großteil des Transaktionsvolumens von Russland auf Börsen im Ausland fließe, da es kaum eigene Krypto-Unternehmen gebe. „Die eine große Ausnahme des augenfälligen Mangel an Krypto-Unternehmen in Osteuropa ist der Darknet-Marktplatz Hydra.“
Während überall auf der Welt Börsen die größten Krypto-Unternehmen bilden, ist dies in Russland der Darknetmarktplatz Hydra. Dieser wurde 2015 gegründet, richtet sich ausschließlich an User in Russland, der Ukraine und anderen Ex-Sowjetstaaten, und deckt die gesamte Bandbreite des Cybercrimes ab. Der Marktplatz macht so große Umsätze, dass er eines der größten russischen Internetunternehmen überhaupt ist. Yandex dürfte größer sein, mail.ru vielleicht, aber dahinter wird es knapp. Hydra ist eine Supermacht im russischen Internet.
Besser gesagt: war. Denn gestern kündigte das Bundeskriminalamt (BKA) an, gemeinsam mit der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) die Hydra vollständig geköpft zu haben.
Die Behörden haben „die in Deutschland befindliche Serverinfrastruktur des weltweit größten illegalen Darknet-Marktplatzes ‚Hydra Market‘ sichergestellt und diesen damit geschlossen.“ Dabei hat das BKA Bitcoins im Wert von etwa 23 Millionen Euro einkassiert.
Dem Zugriff gingen intensive Ermittlungen seit August 2021 voraus, in die neben BKA und ZIT auch US-Behörden involviert waren. Die Betreiber des Marktplatzes sind allerdings weiter unbekannt. Da es sich um Russen handelt, dürften sie sich dem Strafvollzug weiterhin entziehen können.
Durch den Zugriff schärft sich immerhin das Bild, das die Behörden von Hydra haben: Auf dem Marktplatz seien etwa 17 Millionen Kunden- und mehr als 19.000 Verkäuferkonten registriert gewesen. Die Umsätze im Jahr 2020 allein haben sich auf mindestens 1,23 Milliarden Euro belaufen.
Der Blockchain-Analyst Elliptic bestätigt und erweitert die Meldung. So schätzt der Analyst etwa, dass das BKA mit 88 Transaktionen 543,3 Bitcoins beschlagnahmt habe. Insgesamt habe Hydra, so Elliptic, rund 5 Milliarden Dollar Umsatz abgewickelt, allein im bisherigen Jahr 2022 seien kriminelle Transaktionen über mehr als 420 Millionen Dollar über Hydra gelaufen. Damit sei der Marktplatz seit 2017 im Darknet führend gewesen.
Hydra sei auf der einen Seite ein Drogenmarktplatz gewesen, auf der anderen Seite aber auch eine Plattform für Geldwäsche, auf der man Bitcoins gegen Bargeld tauschen konnte. Daher tauchten in und um Hydra die Coins zahlreicher Verbrechen auf, von Kreditkartenbetrug über Börsenhacks zu Ponzispielen, Betrug und Ransomware. Hydra war DAS Finanzzentrum des Cybercrimes in Osteuropa und in anderen Regionen.
Der Shutdown hinterlasse, meint Elliptic, „eine beträchliche Lücke im Darknet-Ökosystem.“ Da der Zugriff allerdings mit keinen Verhaftungen einhergehe, wäre es denkbar, dass die Betreiber von Hydra einfach ihre Reputation nutzen, um Hydra 2.0 aufzubauen, auch wenn es seine Zeit brauchen sollte, bis sie das Vertrauen der User erneut gewinnen.
Geopolitisch kommt die Meldung zu einer spannenden Zeit. Elliptic stellte Anfang Februar fest, dass der Russischen Geheimdienstes FSB zunehmend forsch gegen das Darkweb vorgehe. Dieser habe relativ lange relativ still zugesehen, sei aber im Lauf des vergangenen Jahres immer entschiedener gegen die illegalen Marktplätze vorgegangen. Allein im Januar und Februar 2022 habe der FSB fünf Darknetmarktplätze hochgenommen, die zusammen mehr als 600 Millionen Dollar Umsatz gemacht hatten. Darüber hinaus hat der FSB auch 14 Mitglieder der Ransomware-Gang REvil verhaftet. Diese härtere Gangart Russlands gegen die zuvor geduldeten Cyberkriminellen erstaunte viele Beobachter. Manche spekulierten, dass sie „Teil der intensiven Diplomatie zwischen Russland und den Vereinigten Staaten“ im Vorfeld der Ukraine-Invasion waren.
Hydra schien weiterhin die Duldung der russischen Regierung zu genießen, wobei die Entscheidung, die Seite in Deutschland zu hosten, nicht eben für ein übermäßig vertrauensvolles Verhältnis spricht. Dass das BKA ausgerechnet jetzt Russlands Darknet-Juwel hochnimmt, könnte eine wirkungsvollere Sanktion sein als die zögerlichen Blockaden von Banken und Exporten.
Schließlich hat Hydra Russland mit Drogen versorgt, den russischen Kriminellen die Geldwäsche ermöglicht und vermutlich auch Einnahmen aus dem Ausland – sei es durch Gebühren, Kreditkartenbetrug, Geldwäsche oder Drogenlieferungen – nach Russland gelotet. Wenn die Kriminalität ein essenzieller Teil der russischen Volkswirtschaft ist, dürfte der Shutdown von Hydra nicht zu unterschätzende Folgen haben. Zumindest sollte er die russische Drogenversorgung vorübergehend und teilweise austrocknen.
Etwas merkwürdig erscheint nun eine etwa zeitgleich veröffentlichte Pressemitteilung des US-Finanzministeriums. Dieses kündigt an, Sanktionen gegen Hydra, „den größten und bekanntesten Darknetmarket der Welt“, zu verhängen, um „die Verbreitung von schädlichen Cybercrime-Dienstleistungen, gefährlichen Drogen und anderen illegalen Angeboten“ zu unterbrechen. Man koopiere hierfür auch mit der Deutschen Bundespolizei, welche die Hydra-Server hochgenommen habe.
Warum sanktioniert das Finanzministerium einen Darknet-Marktplatz, von dem sie weiß, dass er nicht mehr in Betrieb ist? Vermutlich, um den Hydra-Shutdown wirkungsvoller in ein Bündel weiterer Maßnahmen zu integrieren. So sanktioniert das Finanzministerium auch die Börse Garantex, die in Estland registriert ist, da sie genutzt wird, um Coins aus dem russischen Cybercrime zu waschen. „Russland ist eine Oase für Cyberkriminelle. Die heutigen Aktionen gegen Hydra und Garantex bauen auf den vergangenen Sanktionen gegen Börysen wie SUEX und CHATEX auf, die beide, wie Garantex, von den Federation Towers (Federazija) in Moskau aus operiert werden.“ Darüber hinaus setzt das Finanzministerium mehr als 100 Krypto-Adressen auf eine Blacklist, weil sie in Verbindung zu Hydra stehen.
Diese Maßnahmen sollen, so das Finanzministerium, helfen, die Sanktionen gegen Einwohner Russlands durchzusetzen. Ob damit lediglich die aus Kriminalermittlungen resultierenden Sanktionen gemeint sind, oder auch die wegen des Krieges verhangenen, bleibt etwas unklar. Aber ohne Zweifel dürften die Schläge gegen den russischen Cybercrime dabei helfen, Lücken in den Finanzsanktionen gegen Russland zu schließen.
Ich frage mich, wie sicher man sich sein muss, ein solches Projekt gerade in Deutschland zu hosten. Klar, Deutschland sticht in Europa durch beste Infrastruktur bei Dumpingpreisen hervor und in der Masse an Servern fällt ein solches Projekt weniger auf, aber selbst ein Cyberbunker wurde irgendwann nach jahrelanger Ermittlungsarbeit hochgenommen.
Dabei wird es sich lediglich um die Hot Wallet handeln, die für den eigenen Mixer notwendig war. Eigentlich auch unverständlich, dass man hierfür keine Multisig Wallets genutzt hat, die zumindest auf Servern in verschiedenen Jurisdiktionen liegen. Es dürfte für Strafverfolger z.B. extrem schwer werden, eine solche Hot Wallet mit Keys auf Servern in der EU, Russland, China und Iran zu beschlagnahmen. Aber vielleicht waren diese 500 BTC eher ein Kleckerbetrag angesichts der Umsätze und man musste sich nicht darum kümmern, würde auch die BTC-only Politik auf Hydra erklären, wenn praktisch alle anderen Märkte Monero zumindest als Option angeboten haben, manche sogar als kompletten Ersatz für Bitcoin.
Bist Du Dir sicher, dass es Russen sind? Es wäre alleine anhand der verfügbaren Sprachen zu vermuten, dass sie aus der ehemaligen Sowjetunion stammen, aber nicht unbedingt aus Russland, angesichts der Auswahl an Sprachen neben Russisch würde ich eher auf einen der abgespaltenen Staaten tippen, in denen neben der Landessprache Russisch immer noch weit verbreitet ist…
Angesichts der nicht-vorhandenen Englischen oder anderer „westlichen“ Sprachversionen würde ich Hydra tatsächlich nur für die ehemalige SU als relevant ansehen, wenn auch dort wohl um die 80% aller Darknetumsätze getätigt wurden.
Das scheint mir eher eine Gegenmaßnahme der Flucht in Kryptowährungen zu sein, denn die Marktplätze in Russland dienten – anders als im „Westen“ – nicht primär dem Drogenhandel, sondern wohl dem Handel mit Kryptowährungen an sich, es wurden z.B. irgendwo Rubel hinterlegt, die dann in Bitcoin gewandelt wurden.
Tatsächlich vermute ich die NSA, die etliche Tor-Knoten betreibt, hinter der Lokalisierung der Server in einem deutschen Rechenzentrum. Ab einer gewissen Größe lässt sich der Traffic auch im Tor Netzwerk schwer komplett verbergen. Side-Channel / Timing Attacken werden (mit präparierten Paketen) auch einfacher, je mehr Server man im Tor Netzwerk kontrolliert und selbst wenn es nur wenige Prozent sind, wird man mit Millionen von Anfragen irgendwann zufällig eine Route bekommen, die man (fast) vollständig kontrolliert, zusätzlich die vollständige Überwachung direkt an den Internet Exchange Punkten (auch in Deutschland z.B. am DE-CIX).
Die Blacklists werden immer länger, die 100 Adressen dürften in diesem Zusammenhang nur der Anfang sein und im Laufe der Ermittlungen nach der Beschlagnahme der Server gehe ich von eher einer 5-stelligen Anzahl von Adressen aus. Wie geht eigentlich Bitcoin.de mit diesen Blacklists um? Muss z.B. ein Bisq Trader fürchten, ob er Coins von einer solchen Adresse erhalten hat und diese dann auf Bitcoin.de verkaufen will?
„Side-Channel / Timing Attacken werden (mit präparierten Paketen) auch einfacher, je mehr Server man im Tor Netzwerk kontrolliert und selbst wenn es nur wenige Prozent sind, wird man mit Millionen von Anfragen irgendwann zufällig eine Route bekommen, die man (fast) vollständig kontrolliert“
Ich weiß nicht ob es Common Practice ist, aber als Betreiber einer solchen Platform würde ich wenigstens als „umgekehrten“ Entry-Node (also den ersten Tor-Node, zu welchem sich der Hidden-Service verbindet) einen mir bekannten oder vertrauen Server wählen. So macht das auch der Tor-Browser. Dann kann die gesamte Route schonmal nicht kontrolliert werden und sofern dieser Node von anderen Usern genutzt wird + keine Sicherheitslücken hat, dürfte es schwer werden, die dahinterliegenden User ausfindig zu machen.
Alternativ könnte man auch direkt die gesamte Route über bekannte Server laufen lassen, wobei sich mein Bauchgefühl über eine zu geringe Entropie der Routenwahl beschwert.
Hast du da mehr Einblicke, wie sowas umgesetzt wird?
In der Vergangenheit hat man außerdem immer wieder gesehen, dass nicht die Deanonymisierung durch Tor zum Bust geführt hat, sondern z. B. Konfigurationsfehler (Silk Road).
Was sind „bekannte“ Server? Ein Hidden Service braucht einen „introduction point“ und eine Route zu diesem, man kann natürlich „bekannte“ Server wie die vom CCC oder ähnlichen Organisationen nutzen, die selbst aus ideologischen Gründen keinerlei Daten herausgeben. Das Problem bei einer so populären Plattform wie Hydra ist, dass sich damit ein großer Teil des Traffics genau auf diese Route konzentriert und die NSA an praktisch allen relevanten Knoten einen Vollzugriff auf den Datenverkehr hat, so auch am DE-CIX. Es gibt etliche Angriffsmöglichkeiten, denkbar wäre sogar eine temporäre (wenige Minuten) Abtrennung einzelner Cluster vom Netz und die Auswirkung beim Traffic innerhalb des Tor-Netzwerks, welches die Anfragen weiterleitet, bis eben der Fallout beim Zielsystem kommt.
Der Introduction Point darf auch nicht über zu viele Hops laufen, sonst laggt die gesamte Verbindung. Die meisten wählen etwas zwischen 3 und 5, denn dazu kommen die Hops der Verbindung des Users zum Introduction Point, wobei da auch eine potenzielle Angriffsfläche besteht, wenn User bewusst z.B. nur einen Hop konfigurieren, damit sie schneller angebunden sind.
Wie gesagt, ein Monstrum mit Millionen an Besuchern kann man auch im Tor-Netzwerk schwer verstecken. Die meisten Märkte hatten daher auch etliche Aliase, die höchstwahrscheinlich über komplett verschiedene Routen liefen, Hydra hat das nicht für nötig gehalten…
Ich stimme dir grundsätzlich zu, dass sich Traffic auch im Tor-Netz umso schwieriger verstecken lässt, desto umfangreicher dieser ausfällt.
Gibt es aber konkrete Fälle, in welchen die Verwendung von dir vorgeschlagener Analysen tatsächlich stattgefunden hat, sind diese bisher also nur denkbar oder wirklich praxistauglich?
Und ist überhaupt schon etwas darüber bekannt, durch welche Methode die Hydra-Server gefunden wurden?
Wie gesagt, soweit ich die Thematik in den letzten Jahren verfolgen konnte, spielen direkte Angriffe auf Tor eine untergeordnete Rolle bei der Deanonymisierung von Usern und Servern.
Und mit bekannten Nodes meine ich, dass man eine Vorauswahl über die verwendeten Knoten für die gesamte oder einen Teil der Route trifft. Der Client kann dies einfach in der „torrc“ konfigurieren und als Nutzer ist es aus Gründen der Sicherheit und Anonymität durchaus sinnvoll, den Guard-Node (Entry-Node) auf einen selbst betriebenen oder zumindest vertrauten Knoten zu setzen.
Wie und ob das für einen Server (Hidden Service) möglich ist, weiß ich jedoch nicht. Zumindest müsste der Rendezvous-Knoten („Introduction Point“) für eine Adresse gleich bleiben, dies schließt jedoch die Verwendung eines selbst gewählten Knotens mit dem einhergehenden Sicherheitsvorteil nicht aus.
@blackburn
Meine Thesen sind reine Theorie, da ich nie in einen Angriff auf das Tor Netzwerk involviert war und dafür auch nie zur Verfügung stehen würde. Ich kann lediglich Möglichkeiten offenlegen, die ich für denkbar halte. Dass die NSA selbst Tor-Server unterhält, ist kein Geheimnis und wahrscheinlich wird sie auch Bitcoin Nodes unterhalten und/oder viele von diesen genau überwachen. Bei Monero haben wir nicht umsonst das Dandelion++ Protokoll umgesetzt, welches es auch ohne Tor oder I2p erschwert, die IP des wirklichen Absenders mitzuschneiden.
Hi Paul,
alles klar, danke für die Klarstellung.
Falls du das hier noch ließt:
Kannst du ein kurzes Update zur MoneroCon geben?
Ich habe deine Organisator-Insights hier im Forum 2019 verfolgt und es würde mich brennend interessieren, ob für dieses Jahr die Konferenz in Berlin geplant ist oder nicht.
Es wäre interessant zu beobachten, ob die auferstehen bzw. nur kurz weg sind. Wenn man sich solchen Namen gibt … ist die Frage, ob der Schlag den Kopf oder nur den Kopf der Schlange getroffen hat.
Man hat ja „nur“ die Server beschlagnahmt, über die Hintermänner weiß man so gut wie nichts, es kam zu keinerlei Haftbefehlen o.Ä., also hat man scheinbar nur über den Traffic auswerten können, wo die Server stehen. Könnte übrigens auch ein Bitcoin Node sein, der auffällig viele „illegale“ Transaktionen direkt, nicht über das Tor-Netzwerk verbreitet hat… Freilich nur Mutmaßungen.