Po czterech latach uporczywych działań, które paraliżowały instytucje i nękały ludzi z branży cyberbezpieczeństwa, w końcu doczekaliśmy się przełomu. Poznańskie Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) dokonało zatrzymania osoby znanej w sieci jako „marcinnowak2080”, sprawcy niezliczonych fałszywych alarmów. To wydarzenie, choć medialnie nagłośnione dopiero teraz, jest kulminacją lat żmudnej pracy wielu organów.
Cztery lata terroryzowania fałszywymi alarmami: Koniec ery Mikołaja R.
Z nieskrywaną satysfakcją można ogłosić, że koszmar związany z działalnością podszywacza o nicku „marcinnowak2080” dobiegł końca. Mężczyzna ten terroryzował Polaków, a w szczególności środowisko zajmujące się bezpieczeństwem cyfrowym, przez blisko cztery lata. Akcja, choć miała miejsce w połowie października, została oficjalnie ogłoszona przez CBZC dopiero niedawno. To nie był pojedynczy wyczyn – w wyniku skoordynowanych działań policjantów z Poznania, Kielc, Katowic i Bydgoszczy, zatrzymano łącznie sześć osób.
Oficjalny komunikat CBZC jasno wskazuje skalę problemu: „Przypisuje się im 380 fałszywych alarmów do ponad 1500 obiektów (szpitale, przedszkola, sądy), co doprowadziło do ewakuacji 12 tys. osób”. Biorąc pod uwagę dotychczasową działalność sprawcy i liczbę incydentów, autor artykułu wyraża przekonanie, że to tylko wierzchołek góry lodowej, a kolejne sprawy z czasem zostaną mu przypisane w trakcie postępowania. Zatrzymani usłyszeli zarzuty obejmujące udział w zorganizowanej grupie przestępczej, fałszywe zawiadomienia o zagrożeniu, w tym terrorystycznym, groźby karalne, tworzenie fałszywych dowodów, a także posiadanie materiałów pornograficznych z udziałem małoletnich.
Jak działał cyfrowy sabotażysta? Techniczna finezja podszywania się
Prawdziwa tożsamość podszywacza to Mikołaj R., 21-letni bezrobotny mieszkaniec Białegostoku, który – jak się wydaje – część swoich „dokonań” realizował jako osoba nieletnia, a jego problemy pogłębiało zażywanie substancji psychotropowych. Klucz do jego wieloletniej bezkarności leżał w prostym, acz metodycznym wykorzystaniu socjotechniki wspartej elementarną wiedzą techniczną.
Metodologia działania „marcinnowak2080” opierała się na zaawansowanym podszywaniu się pod inne osoby poprzez:
- Spoofing e-mail.
- Spoofing telefoniczny.
- Zakładanie kont e-mailowych wykorzystujących pełne imiona i nazwiska ofiar.
Za pomocą tych wektorów dystrybuował komunikaty o charakterze kryminalnym i terrorystycznym. Kierował fałszywe prośby o pomoc oraz alarmy o zagrożeniach (np. „w moim mieszkaniu jest pożar”, „zabiję żonę”) bezpośrednio do organów ścigania. Co gorsza, te same techniki wykorzystywał do alarmowania instytucji, jak w przypadku wiadomości: „w przedszkolu jest bomba, wszyscy zginiecie”. Nie oszczędzał nawet znanych osób, w tym polityków, do których kierował groźby, często podszywając się pod członków ich najbliższej rodziny, co w efekcie prowadziło do eskalacji napięć politycznych i niesłusznych podejrzeń rzucanych na opozycję czy nawet siły zewnętrzne.
Ofiary spoofingu i cenna lekcja dla wymiaru sprawiedliwości
Działania Mikołaja R. miały druzgocący wpływ nie tylko na infrastrukturę i budżety instytucji, ale także na życie niewinnych obywateli. Kilka przypadkowych osób stało się obiektem niesłusznych zainteresowań organów ścigania z powodu wyjątkowo sprytnego podejścia do kwestii maskowania adresu IP. Zastosowanie usług residential-proxy z adresami IP pochodzącymi bezpośrednio z miasta lub instytucji, pod którą się podszywał, sprawiło, że śledztwa początkowo odbijały się rykoszetem, uderzając w ofiary. Jak szeroko opisywano, w początkowej fazie u niektórych poszkodowanych, zwłaszcza w przypadku spoofingu telefonicznego, dochodziło do przeszukań, a sprawdzano nawet ich prywatną elektronikę.
„Na początku nie wszyscy policjanci byli świadomi czym jest spoofing i w kilku przypadkach funkcjonariusze odwiedzili niektóre z ofiar (zwłaszcza spoofingu telefonicznego) myśląc, że to sprawcy. Części z nich zabrano nawet urządzenia elektroniczne do analizy, co także opisywaliśmy.”
To pokazuje, jak złożone i wielowymiarowe bywają cyberprzestępstwa, wymagając od służb stale podnoszonego poziomu wiedzy specjalistycznej. Autor artykułu z Niebezpiecznika wspomina, iż on sam i jego koledzy z branży byli wielokrotnie celem podszywania się pod ich osoby oraz redakcję.
Na koniec autor prezentuje dowód determinacji śledczych – „Fotkę hasła marcinanowaka2080, którą zupełnie przypadkiem znalazłem dziś rano na wycieraczce.” Hasło było długie i skomplikowane, co sugerowałoby solidne zabezpieczenia, jednak Mikołaj R. został zatrzymany z odblokowanym komputerem. To rodzi pytania o „kryptoanalizę gumową pałką” i jednocześnie pozostawia niepokojącą refleksję na temat bezpieczeństwa osobistego przestępcy mimo, zdawałoby się, solidnych rozwiązań kryptograficznych. Pozostaje mieć nadzieję, że kompetencje wypracowane przez CBZC nie zostaną zaprzepaszczone, ponieważ ich skuteczność w takich sprawach jest bezcenna dla bezpieczeństwa publicznego.
