Flugsvamp 2.0 är en hemsida på Darkweb / Deepweb / TOR-nätverket och hemsidans syfte är att agera marknadsplats för huvudsakligen olagliga substanser. Anledningen till att sidan heter "2.0" är såklart för att det är en efterträdare till det som kallades "Flugsvamp" eller "Flugsvamp 1.0". Första versionen av Flugsvamp försvann i samband med en internationell polisiär insats 2014 som syftade på att stänga ner olagliga sidor på TOR-nätverket. I denna insats så greps minst 17 personer och flera var svenskar. Personen bakom Flugsvamp 1.0 kom dock undan och förlorade bara servern som hemsidan fanns på. På denna servern fanns även en BTC-plånbok med användarnas tillgångar, och dessa förverkades.
Efter Flugsvamp 1.0 så kom snabbt Flugsvamp 2.0 med samma layout men rejäl uppgradering i säkerhet. Hemsidan fanns nu på en server (webbservern) medan motorn som hanterar användarnas Bitcoins fanns på en annan server (btcservern (s.k. cold wallet)). Dessa två servrar kommunicerade på olika sätt där webbservern kunde nås av vem som helst på TOR-nätverket medan btcservern endast kunde nås av en enda person i hela världen - huvudadministratören.
Webbservern är den enda som har minsta möjlighet att tas omhand av Polis. Btcservern kommer endast tas i beslag om huvudadministratören ger detaljerna för denna samt vägleder forensiker hur den hanteras. Krav för att kontakta btcservern är rätt IP-adress samt att anslutningen görs via rätt IP-adress (endast en unik adress är tillåten, alla andra nekas tillgång), rätt SSH-nycklar krävs och därefter ett lösenord. Därefter måste BTC-plånboken på servern dekrypteras (med rätt användare) och sedan är cold wallet röjd och även det enda känsliga som Flugsvamp 2.0 hade att erbjuda.
Enda känsliga? Tillåt mig förklara.
På webbservern fanns i huvudsak fyra saker.
---
# Databas
Webbservern innehöll en databas och databasen innehöll all information om användarna: "Användarnamn", "Lösenord", "Uttagslösenord", "Antal krediter", "BTC-adress", "Omdömen (Lämnade/Mottagna)", "Meddelanden", "Beställningar", "Produkter", "Produktbetyg", "Användarklass", "PGP-nyckel" & "2FA (På/Av, PGP-inloggning). Anledningen till att dessa inte är av större värde är för att allt detta är helt anonymt, förutom: "PGP-nyckel", "Meddelanden" och "Beställningar". Dom flesta användarna tog dock hand om detta på korrekt sätt och krypterade innehållet i skickade meddelanden samt krypterade adressen som skickas i samband med beställningarna. PGP-nyckeln kan knytas till en person om t.ex. den privata nyckelfilen till PGP-nyckeln skulle återfinnas i en misstänkt dator. På grund av att all övrig information är krypterad så går det dock inte att hitta den misstänkte till att börja med.
# Filer
Webbservern innehöll alla filer som tillhör hemsidan samt dom filer som användarna har laddat upp. Dessa är: "Bilder" och "PGP-nycklar". Det var enbart säljare som kunde ladda upp bilder och med tanke på deras verksamhet så kan vi nog lita på att EXIF-datan var raderad. Denna EXIF-data är även tillgänglig för allmänheten utan att ha tillgång till webbservern (Högerklick -> Spara bild -> Kolla EXIF) så det är inte några filer av värde. PGP-nycklarna är som sagt värdelösa utan att ha den privata nyckeln och den hittar man inte utan att hitta ägaren. Filerna besitter därför inget värde.
# Motor för BTC ("hot wallet")
Webbservern hade en egen BTC-plånbok som var en s.k. "hot wallet". Detta innebär att den är uppkopplad mot Bitcoin-nätverket och synkroniseras kontinuerligt. Denna plånbok ansvarade för alla användarnas pengar och det är hit som insättningar gick och härifrån uttagen kom. På grund av att mängden tillgångar begränsas så besitter inte denna plånbok något värde om man jämför med cold wallet. På grund av att användarnas adresser ändras kontinuerligt och har ett "samspel" där pengarna konstant blandas med varandra så kan dessa inte kopplas till varken en användare eller en identitet.
# Konfiguration
Webbservern var konfigurerad så att varje användare hade en unik insättningsadress och denna var tilldelad samma användare i 168 timmar (d.v.s. 7 dygn). Varje måndag kl 00:00 så försvann denna insättningsadress från användaren och så tilldelades användaren en ny adress. Vid insättning så fick användaren en ny insättningsadress direkt, men den gamla insättningsadressen var fortfarande tilldelad användaren "bakom kulisserna" och försvann i vanlig ordning först när veckan var slut.
Vid varje insättning så gick pengarna till insättningsadressen och sedan automatiskt vidare till plånboken "hot wallet". Systemet granskade varje insättning genom att se vilken adress den kom ifrån och kollade då vilken användare som hade den adressen, och uppdaterade sedan "Antal krediter" för den användaren. En insättning på 1000:- (före avgifter) gjorde alltså att användaren hade 0kr i pengar och 1000:- i "låtsaspengar" / krediter / visuella pengar. Om användaren då ville köpa knark för 100:- så tog systemet bort 100 krediter från köparen (användare2) och lade till 100 krediter till säljaren (användare1), och absolut ingenting hände i Bitcoin-nätverket.
När användare1 sedan ville göra ett uttag så sa systemet till "hot wallet" att användare1 vill göra ett uttag på 1000 krediter till angiven uttagsadress. Systemet kollade kursen på Bitcoins i SEK och räknade ut hur många Bitcoins dom motsvarade (krediter / BTC-kurs (SEK) = krediternas värde i BTC. En kontroll gjordes som kollade att "hot wallet" hade så många Bitcoins i plånboken. Om ja, så skickades pengarna, och om Nej, så skickades inte pengarna.
Om tillgångar i "hot wallet" saknades så fick personen som har tillgång till btcservern ansluta till btcservern och skicka bitcoins från dess "cold wallet" och fylla på webbserverns "hot wallet". Anledningen till att folk inte får sina pengar som dom tar ut i dagens läge är för att tillgångarna på "hot wallet" är slut, och ingen har fyllt på den.
Hot wallet = Automatisk, Osäkrare
Cold wallet = Manuell, Säker
I detta fall: En kombination av båda, eller ett samspel där hot wallet hanteras av mjukvara + användare och cold wallet enbart hanteras av huvudadministratören.
Tekniskt sett så är alltså era Bitcoins helt säkra även om webbservern skulle beslagtas, eftersom dom finns på en helt annan server som endast huvudadministratören vet om. Tillgången till denna btcserver är även omöjlig utan rätt autentisering och enbart huvudadministratören kan låsa upp tillgångarna. Sannolikheten att han gör detta är mycket låg.
---
Flugsvamp 2.0 skapades av samma person som låg bakom Flugsvamp 1.0. När hans första projekt gick i kras när polisen gjorde sina insatser så såg han alla pengar försvinna i samband med det. Därför skedde denna uppgradering i säkerhet där alla pengar finns på en helt separat server som även är mer skyddad än Fort Knox. Eftersom det är helt uppenbart att detta är den bästa lösningen så kan man undra varför detta inte fanns redan hos första Flugsvamp, och anledningen är p.g.a. kompetensen hos administratören.
Administratören hittade då en kompanjon till detta nya projekt, och dom var nu två som låg bakom Flugsvamp 2.0. Denna kompanjon hade direkt förslaget att bjuda in en vän som kunde ordna med hostning av btcservern, och administratören gick med på detta. Dom var nu tre bakom Flugsvamp 2.0, och dom kallades admin, admin6 och admin7. admin är huvudmannen bakom hela verksamheten, admin6 är den tillförda kompetensen och admin7 är den som var sist in och väntades bidra med att förse Flugsvamp 2.0 med bra bandbredd. Enbart admin har tillgång till btcservern medan admin + admin6 + admin7 har tillgång till webbservern.
Så vad har hänt??
admin6 (*lex*nder Tom*szek) har klantat sig och åkt fast. Den 25e September 2018 så tillfångatas admin6 av Polis och han sitter nu häktad. Polisen hittade honom efter att han växlat stora mängder Bitcoins till svensk valuta och misstänktes därför för pengatvätt. Eftersom uppkomsten av mängden Bitcoins var helt okänd så misstänktes drogförsäljning och span upprättades. Vid span så såg man att användaren var aktiv på Flugsvamp. KÅ gav tillstånd för omedelbar hussrannsakan med tanke på att den misstänktes dator var igång och oskyddad, vilket var skäl nog för att handla snabbt. Forensiker kom till platsen och såg att användaren var inloggad som administrator på Flugsvamp 2.0.
admin, huvudmannen, hade ett gräl med admin6 innan detta hände och detta gräl hade pågått en längre period. Orsaken till grälet var att admin6 hade blivit för klumpig och växlat stora mängder Bitcoins. admin lämnade landet kort efter att grälet hade börjat men försäkrade admin6 om att det inte var något som hänt utan admin ville bara inte vara i Sverige ett tag. Grälet fortsatte och nu var admin på en okänd plats i världen och admin6 i Sverige. admin7 hade inte några större uppgifter eftersom han bara ordnat med bandbredd som admin i sin tur hanterade.
Allas bitcoins är säkra och huvudmannen bakom Flugsvamp är fortfarande på fri fot, och frågan är om admin6 kommer röja identiteten på admin eller admin7. admin och admin7 har kontakt idag, men ligger väldigt lågt. Det är därmed inte en exit-scam egentligen, men möjligheten att tillåta era uttag finns.
admin6 har tillgång till webbservern och dess information, men inte något annat. Därmed är ingen känslig information tillgänglig för Polis i dagens läge. Det hela hänger på om admin6 berättar vem admin är.
// Mansingen
Efter Flugsvamp 1.0 så kom snabbt Flugsvamp 2.0 med samma layout men rejäl uppgradering i säkerhet. Hemsidan fanns nu på en server (webbservern) medan motorn som hanterar användarnas Bitcoins fanns på en annan server (btcservern (s.k. cold wallet)). Dessa två servrar kommunicerade på olika sätt där webbservern kunde nås av vem som helst på TOR-nätverket medan btcservern endast kunde nås av en enda person i hela världen - huvudadministratören.
Webbservern är den enda som har minsta möjlighet att tas omhand av Polis. Btcservern kommer endast tas i beslag om huvudadministratören ger detaljerna för denna samt vägleder forensiker hur den hanteras. Krav för att kontakta btcservern är rätt IP-adress samt att anslutningen görs via rätt IP-adress (endast en unik adress är tillåten, alla andra nekas tillgång), rätt SSH-nycklar krävs och därefter ett lösenord. Därefter måste BTC-plånboken på servern dekrypteras (med rätt användare) och sedan är cold wallet röjd och även det enda känsliga som Flugsvamp 2.0 hade att erbjuda.
Enda känsliga? Tillåt mig förklara.
På webbservern fanns i huvudsak fyra saker.
- Databas (t.ex. pgp-nyckel)
- Filer (t.ex. bilder)
- Konfiguration (t.ex. nginx & TOR)
- BTC-plånbok (hot wallet)
---
# Databas
Webbservern innehöll en databas och databasen innehöll all information om användarna: "Användarnamn", "Lösenord", "Uttagslösenord", "Antal krediter", "BTC-adress", "Omdömen (Lämnade/Mottagna)", "Meddelanden", "Beställningar", "Produkter", "Produktbetyg", "Användarklass", "PGP-nyckel" & "2FA (På/Av, PGP-inloggning). Anledningen till att dessa inte är av större värde är för att allt detta är helt anonymt, förutom: "PGP-nyckel", "Meddelanden" och "Beställningar". Dom flesta användarna tog dock hand om detta på korrekt sätt och krypterade innehållet i skickade meddelanden samt krypterade adressen som skickas i samband med beställningarna. PGP-nyckeln kan knytas till en person om t.ex. den privata nyckelfilen till PGP-nyckeln skulle återfinnas i en misstänkt dator. På grund av att all övrig information är krypterad så går det dock inte att hitta den misstänkte till att börja med.
# Filer
Webbservern innehöll alla filer som tillhör hemsidan samt dom filer som användarna har laddat upp. Dessa är: "Bilder" och "PGP-nycklar". Det var enbart säljare som kunde ladda upp bilder och med tanke på deras verksamhet så kan vi nog lita på att EXIF-datan var raderad. Denna EXIF-data är även tillgänglig för allmänheten utan att ha tillgång till webbservern (Högerklick -> Spara bild -> Kolla EXIF) så det är inte några filer av värde. PGP-nycklarna är som sagt värdelösa utan att ha den privata nyckeln och den hittar man inte utan att hitta ägaren. Filerna besitter därför inget värde.
# Motor för BTC ("hot wallet")
Webbservern hade en egen BTC-plånbok som var en s.k. "hot wallet". Detta innebär att den är uppkopplad mot Bitcoin-nätverket och synkroniseras kontinuerligt. Denna plånbok ansvarade för alla användarnas pengar och det är hit som insättningar gick och härifrån uttagen kom. På grund av att mängden tillgångar begränsas så besitter inte denna plånbok något värde om man jämför med cold wallet. På grund av att användarnas adresser ändras kontinuerligt och har ett "samspel" där pengarna konstant blandas med varandra så kan dessa inte kopplas till varken en användare eller en identitet.
# Konfiguration
Webbservern var konfigurerad så att varje användare hade en unik insättningsadress och denna var tilldelad samma användare i 168 timmar (d.v.s. 7 dygn). Varje måndag kl 00:00 så försvann denna insättningsadress från användaren och så tilldelades användaren en ny adress. Vid insättning så fick användaren en ny insättningsadress direkt, men den gamla insättningsadressen var fortfarande tilldelad användaren "bakom kulisserna" och försvann i vanlig ordning först när veckan var slut.
Vid varje insättning så gick pengarna till insättningsadressen och sedan automatiskt vidare till plånboken "hot wallet". Systemet granskade varje insättning genom att se vilken adress den kom ifrån och kollade då vilken användare som hade den adressen, och uppdaterade sedan "Antal krediter" för den användaren. En insättning på 1000:- (före avgifter) gjorde alltså att användaren hade 0kr i pengar och 1000:- i "låtsaspengar" / krediter / visuella pengar. Om användaren då ville köpa knark för 100:- så tog systemet bort 100 krediter från köparen (användare2) och lade till 100 krediter till säljaren (användare1), och absolut ingenting hände i Bitcoin-nätverket.
När användare1 sedan ville göra ett uttag så sa systemet till "hot wallet" att användare1 vill göra ett uttag på 1000 krediter till angiven uttagsadress. Systemet kollade kursen på Bitcoins i SEK och räknade ut hur många Bitcoins dom motsvarade (krediter / BTC-kurs (SEK) = krediternas värde i BTC. En kontroll gjordes som kollade att "hot wallet" hade så många Bitcoins i plånboken. Om ja, så skickades pengarna, och om Nej, så skickades inte pengarna.
Om tillgångar i "hot wallet" saknades så fick personen som har tillgång till btcservern ansluta till btcservern och skicka bitcoins från dess "cold wallet" och fylla på webbserverns "hot wallet". Anledningen till att folk inte får sina pengar som dom tar ut i dagens läge är för att tillgångarna på "hot wallet" är slut, och ingen har fyllt på den.
Hot wallet = Automatisk, Osäkrare
Cold wallet = Manuell, Säker
I detta fall: En kombination av båda, eller ett samspel där hot wallet hanteras av mjukvara + användare och cold wallet enbart hanteras av huvudadministratören.
Tekniskt sett så är alltså era Bitcoins helt säkra även om webbservern skulle beslagtas, eftersom dom finns på en helt annan server som endast huvudadministratören vet om. Tillgången till denna btcserver är även omöjlig utan rätt autentisering och enbart huvudadministratören kan låsa upp tillgångarna. Sannolikheten att han gör detta är mycket låg.
---
Flugsvamp 2.0 skapades av samma person som låg bakom Flugsvamp 1.0. När hans första projekt gick i kras när polisen gjorde sina insatser så såg han alla pengar försvinna i samband med det. Därför skedde denna uppgradering i säkerhet där alla pengar finns på en helt separat server som även är mer skyddad än Fort Knox. Eftersom det är helt uppenbart att detta är den bästa lösningen så kan man undra varför detta inte fanns redan hos första Flugsvamp, och anledningen är p.g.a. kompetensen hos administratören.
Administratören hittade då en kompanjon till detta nya projekt, och dom var nu två som låg bakom Flugsvamp 2.0. Denna kompanjon hade direkt förslaget att bjuda in en vän som kunde ordna med hostning av btcservern, och administratören gick med på detta. Dom var nu tre bakom Flugsvamp 2.0, och dom kallades admin, admin6 och admin7. admin är huvudmannen bakom hela verksamheten, admin6 är den tillförda kompetensen och admin7 är den som var sist in och väntades bidra med att förse Flugsvamp 2.0 med bra bandbredd. Enbart admin har tillgång till btcservern medan admin + admin6 + admin7 har tillgång till webbservern.
Så vad har hänt??
admin6 (*lex*nder Tom*szek) har klantat sig och åkt fast. Den 25e September 2018 så tillfångatas admin6 av Polis och han sitter nu häktad. Polisen hittade honom efter att han växlat stora mängder Bitcoins till svensk valuta och misstänktes därför för pengatvätt. Eftersom uppkomsten av mängden Bitcoins var helt okänd så misstänktes drogförsäljning och span upprättades. Vid span så såg man att användaren var aktiv på Flugsvamp. KÅ gav tillstånd för omedelbar hussrannsakan med tanke på att den misstänktes dator var igång och oskyddad, vilket var skäl nog för att handla snabbt. Forensiker kom till platsen och såg att användaren var inloggad som administrator på Flugsvamp 2.0.
admin, huvudmannen, hade ett gräl med admin6 innan detta hände och detta gräl hade pågått en längre period. Orsaken till grälet var att admin6 hade blivit för klumpig och växlat stora mängder Bitcoins. admin lämnade landet kort efter att grälet hade börjat men försäkrade admin6 om att det inte var något som hänt utan admin ville bara inte vara i Sverige ett tag. Grälet fortsatte och nu var admin på en okänd plats i världen och admin6 i Sverige. admin7 hade inte några större uppgifter eftersom han bara ordnat med bandbredd som admin i sin tur hanterade.
Allas bitcoins är säkra och huvudmannen bakom Flugsvamp är fortfarande på fri fot, och frågan är om admin6 kommer röja identiteten på admin eller admin7. admin och admin7 har kontakt idag, men ligger väldigt lågt. Det är därmed inte en exit-scam egentligen, men möjligheten att tillåta era uttag finns.
admin6 har tillgång till webbservern och dess information, men inte något annat. Därmed är ingen känslig information tillgänglig för Polis i dagens läge. Det hela hänger på om admin6 berättar vem admin är.
// Mansingen