Nu AlphaBay gesloten is, gaat Operatie Bayonet zijn laatste fase in: de vluchtelingen van de site in een gigantische val lokken. Maar één vluchteling bedacht zijn eigen plan.

Hoofdstuk 14: The sting

In de dagen na het verdwijnen van AlphaBay, maar voor de dood van Alexandre Cazes, bracht Paul Hemesath een paar plezierige uren door bij het zwembad op het dak van het Athenee, scrollend op zijn iPad door de reacties op de plotselinge, onverklaarbare verdwijning van 's werelds grootste darkweb markt ooit.

Er gingen onmiddellijk geruchten dat de beheerders van de site een truc hadden uitgehaald en miljoenen dollars aan cryptocurrency van de markt hadden meegenomen. Maar anderen beweerden dat de site misschien gewoon plat lag om technische redenen of voor routineonderhoud. Weinigen vermoedden de waarheid. "Mensen hebben in het verleden altijd exit scam geschreeuwd, en ze hebben het altijd mis gehad," schreef een gebruiker op Reddit. "Ik hoop echt dat dit hetzelfde uitpakt." Een ander voegde eraan toe: "Tot we het tegendeel weten, hou het vertrouwen."

Vrijwel onmiddellijk, gelovig of niet, gingen de verkopers en kopers van AlphaBay op zoek naar een nieuwe markt waar ze hun zaken konden voortzetten zoals gewoonlijk. De natuurlijke keuze was AlphaBay's grootste rivaal, Hansa, die goed geleid werd en al snel groeide. "wow alphabay exit scam. crazyness!" schreef een gebruiker op Twitter. "verhuizen naar hansa."

Terug in Nederland wachtte de Nederlandse politie hen op. Twee weken lang hadden ze de enorme marktplaats van Hansa in de gaten gehouden, de gebruikers in de gaten gehouden en hun berichten, afleveradressen en wachtwoorden verzameld. Hun vergaderzaal in Driebergen, waar het kleine team van undercoverrechercheurs de klok rond in ploegendienst bleef werken, had de sfeer van een studentenhuis aangenomen. Chips, koekjes, chocolade en energiedrankjes bedekten de tafel, een warme, muffe lucht hing in de lucht.

Op een gegeven moment kwam het hoofd onderzoek van de Nederlandse Nationale Politie langs om hun historische operatie in actie te zien. Hij was zichtbaar beledigd door de geur en vertrok na 10 minuten. Iemand bracht een luchtverfrisser. ("Het werkte niet echt," zegt een teamlid.)

Hansa's marktplaats bloeide ondertussen. In de dagen voor de sluiting van AlphaBay kwamen er bijna duizend nieuwe geregistreerde gebruikers per dag bij, die allemaal in de val liepen die de Nederlanders geduldig hadden gezet. Toen AlphaBay offline ging, steeg dat aantal tot meer dan 4.000 per dag. Dan meer dan 5.000 de volgende dag. Dan, twee dagen daarna, 6.000.

Terwijl de markt AlphaBay's eigenzinnige gebruikers absorbeerde, registreerde het Nederlandse team al snel duizend dagelijkse transacties. Het papierwerk van het traceren en verzenden van deze ordergegevens naar Europol - om nog maar te zwijgen van de pogingen om elke naar Nederland verzonden order te onderscheppen - werd zo omvangrijk dat de politie even overweldigd werd. Met tegenzin besloten ze nieuwe registraties een week lang stil te leggen. "Door de toestroom van Alphabay-vluchtelingen hebben we te maken met technische problemen," luidde een bericht op de site. Die vluchtelingen bleven echter zo gretig dat sommige Hansa-gebruikers hun accounts begonnen te verkopen op webfora, zoals scalpers kaartjes voor een concert verkopen.

Toen, in het midden van die week, op 13 juli, kwam één aspect van Operatie Bajonet plotseling aan het licht. De Wall Street Journal bracht het nieuws dat AlphaBay was neergehaald door een gezamenlijke operatie van de Amerikaanse, Thaise en Canadese regering en dat de beheerder van de site, Alexandre Cazes, dood was aangetroffen in een Thaise gevangeniscel.

Het artikel maakte geen melding van Hansa of de Nederlandse politie. En toen de Nederlanders contact opnamen met de FBI, waren ze verrast en opgelucht dat de Amerikanen bereid waren hun mond te houden, het Nederlandse team te volgen en de aankondiging van de hele operatie Bajonet uit te stellen. De nog steeds operationele, undercover helft van hun één-tweetje zou verborgen blijven zolang de Nederlanders het wilden voortzetten.

Dus een week na het stopzetten van nieuwe registraties op Hansa, zette het Driebergen team ze weer aan. Het aantal nieuwe gebruikers steeg al snel tot meer dan 7000 per dag.

De Nederlanders wisten dat hun operatie niet oneindig kon doorgaan. Ze zagen het moment naderen waarop ze hun maskers zouden moeten afzetten, hun bewakingscoup zouden moeten onthullen en de markt die ze zo zorgvuldig hadden opgebouwd en onderhouden, zouden moeten afbreken. Ze vergemakkelijkten immers de verkoop van drugs, die niet allemaal via de post werden onderschept.

Hoe dichter ze bij het einde van de operatie kwamen, hoe minder ze te verliezen hadden als ze werden ontdekt en hoe meer risico's ze bereid waren te nemen.

Tijdens de hele operatie hield het Nederlandse team wat zij noemden "kwade plan"-vergaderingen, waarbij zij steeds slinksere plannen bedachten om de onwetende gebruikers van de markt die zij controleerden, op te sporen en te identificeren. Ze maakten een lijst van die tactieken, waarbij ze het menu van bewakingsacties ordenden van minst naar meest waarschijnlijk om hun dekmantel te verraden. Toen ze hun eindspel bereikten, begonnen ze hun brutaalste ideeën in praktijk te brengen.

Hansa had lang geleden een standaard functie voor darkweb markten geïmplementeerd, ontworpen om hun verkopers te beschermen: Wanneer verkopers afbeeldingen uploadden voor hun productvermeldingen, verwijderde de site die afbeeldingen automatisch van hun metadata-informatie in het bestand, zoals wat voor soort camera de foto had genomen en de GPS-locatie van waar de afbeelding was gemaakt. De Nederlanders hadden deze functie al vroeg in het geheim gesaboteerd door de metadata van de foto's op te nemen voordat ze werden verwijderd, om zo de locaties van de uploaders te catalogiseren. Maar op die manier konden ze slechts een paar verkopers opsporen; ze ontdekten dat de meeste hun lijsten zelden bijwerkten of nieuwe foto's plaatsten.

Dus, een paar weken na hun overname, wiste de politie elke afbeelding van de site. Ze beweerden dat een server was uitgevallen door een technische storing en kondigden aan dat de verkopers alle afbeeldingen van hun aanbiedingen opnieuw moesten uploaden. Door deze nieuwe uploads konden de Nederlandse agenten de metadata van een grote nieuwe lading afbeeldingen scrapen. Ze verkregen snel de locaties van nog eens 50 dealers op de site.

In een andere opzet in de laatste dagen van hun operatie kwam het Driebergen-team met een idee om de IP-adressen van de verkopers van de site te achterhalen, ondanks hun gebruik van de anonimiteitssoftware Tor. Het ging om een soort Trojaans paard. De beheerders van Hansa kondigden aan dat ze de verkopers een Excel-bestand aanboden met codes waarmee ze hun in escrow opgeslagen bitcoins op de markt konden terughalen, zelfs als de site uit de lucht werd gehaald. Toen slechts een klein aantal dealers van Hansa op het aanbod inging, probeerde de politie meer nuttige informatie toe te voegen, bedoeld om verkopers te lokken, zoals kopersstatistieken waarmee de verkopers hun beste klanten konden volgen en rangschikken. Toen zelfs die functie weinig respons kreeg, dreven de Nederlandse agenten hun list tot het uiterste: ze waarschuwden de gebruikers van de site dat ze verdachte activiteiten op hun servers hadden ontdekt en zeiden dat alle verkopers onmiddellijk het back-upbestand voor cryptocurrency moesten downloaden of het risico liepen hun geld te verliezen.

Al die tijd functioneerden de bestanden die het team naar de verkopers stuurde natuurlijk als geheime digitale bakens. Linksboven in de Excel spreadsheet stond een afbeelding van het Hansa logo, een gestileerd Viking schip. De politie had het Excel bestand zo ontworpen dat het die afbeelding van hun eigen server haalde als het spreadsheet werd geopend. Daardoor konden ze het IP-adres zien van elke computer die het bestand opvroeg. Vierenzestig verkopers op de markt hapten toe.

In het meest betrokken plan van allemaal richtte het Nederlandse team hun vizier op het personeel van de marktplaats zelf, de moderators die rechtstreeks voor hen werkten. Ze ontdekten dat één moderator in het bijzonder zeer toegewijd was - zeer "emotioneel betrokken" bij de site, zoals de teamleider, Petra Haandrikman, het uitdrukte. Het Nederlandse team voelde een collectief gevoel van bewondering en genegenheid voor deze harde werker, terwijl ze tegelijkertijd een plan smeedden om te proberen hem te arresteren.

Ze boden hem een promotie aan. Hansa's twee bazen zouden hem opslag geven, maar alleen als hij ermee instemde een derde beheerder van de site te worden. De moderator was dolblij en accepteerde onmiddellijk. Toen legden ze hem uit dat ze, om beheerder te worden, ofwel een persoonlijke ontmoeting moesten regelen ofwel zijn postadres moesten krijgen zodat ze hem een token voor authenticatie met twee factoren konden sturen - een fysieke USB-stick die in een pc wordt gestoken om zijn identiteit te bewijzen en zijn account te beveiligen.

In zijn volgende bericht veranderde de toon van de moderator plotseling. Hij legde uit dat hij zichzelf had beloofd dat als zijn bazen bij Hansa ooit naar zijn identificatiegegevens zouden vragen of hem persoonlijk zouden proberen te ontmoeten, hij onmiddellijk ontslag zou nemen en alle apparaten die hij in zijn baan als moderator had gebruikt, zou wissen. Nu was hij van plan zich aan die belofte te houden. Hij nam afscheid.

Het plotse besluit van die moderator - een zeer wijs besluit, dat hem waarschijnlijk een gevangenisstraf bespaarde - betekende dat de admins nu een vacature te vervullen hadden. Dus begonnen ze te adverteren dat ze sollicitaties aannamen voor een nieuwe moderator. Aan het eind van een reeks vragen over kwalificaties en ervaring vroegen ze "succesvolle" sollicitanten om hun adres, zodat ze hen een token voor twee-factor authenticatie konden mailen. Sommigen, enthousiast over de baan, gaven de locaties van hun huizen door. "Stuur de politie alsjeblieft niet naar dit adres hahahaha, grapje," schreef een would-be moderator, terwijl hij zijn adres naar de politie stuurde. "Ik vertrouw jullie omdat Hansa support altijd goed en behulpzaam was."

Slimmere darkweb gebruikers gaven natuurlijk nooit hun thuisadres. Als ze een pakje moesten ontvangen, stuurden ze de verzenders het adres van een "drop" - een locatie ver van hun huis waar ze, indien nodig, konden ontkennen dat het pakje van hen was.

Om die beveiliging te omzeilen ging de Nederlandse politie nog een stap verder: De moderator die een afleveradres opgaf, verstuurde het token met twee factoren in de verpakking van een teddybeer, een schattige knuffelpanda met een zachtroze neus. De bedoeling was dat de panda een onschuldige vermomming zou zijn om het authenticatietoken te verbergen, een teken van de aandacht van hun nieuwe werkgevers voor opsec en, misschien, hun gevoel voor humor.

De Nederlandse agenten hoopten dat hun doelwitten de opgezette panda's mee naar huis zouden nemen als een soort cadeau of souvenir. Zonder dat de ontvangers het wisten, bevatte elk exemplaar ook een kleine GPS-tracker, diep verborgen in de vulling.

Hoofdstuk 15: Panic

Op 20 juli, na 27 dagen met Hansa te hebben gewerkt, besloten de Nederlandse officieren van justitie dat het eindelijk tijd was om hun spel op te geven, over de bezwaren van verschillende leden van het Driebergen-team dat de site controleerde en nog meer ideeën voor surveillancetrucs in petto had.

Tijdens een persconferentie op het hoofdkantoor van de Nederlandse politie in Den Haag drukte het hoofd van het bureau dramatisch op een grote rode plastic knop om de site te sluiten. (In feite was de knop slechts een rekwisiet; een nabijgelegen agent met een laptop stuurde het gelijktijdige commando naar de server die Hansa uiteindelijk offline haalde). Tegelijkertijd maakte het Amerikaanse ministerie van Justitie het nieuws bekend in een persconferentie in DC, waar procureur-generaal Jeff Sessions sprak over de gecoördineerde actie tegen zowel AlphaBay als Hansa. Sessions maakte van de gelegenheid gebruik om de gebruikers van het darkweb te waarschuwen. "Jullie zijn niet veilig. Jullie kunnen je niet verstoppen," zei hij tegen hen, voor een volle zaal met verslaggevers en camera's. "We zullen jullie vinden, jullie organisatie en netwerk ontmantelen. En we zullen jullie vervolgen."

Bijna 16 dagen nadat hij op onverklaarbare wijze was verdwenen, verscheen de AlphaBay-site opnieuw met een bericht bedekt met logo's van wetshandhavingsinstanties en woorden die elke Silk Road-gebruiker bekend in de oren zouden klinken: "DEZE VERBORGEN SITE IS IN BESLAG GENOMEN."

De Nederlanders plaatsten ondertussen een iets ander bericht op Hansa: "DEZE VERBORGEN SITE IS IN GEVAL genomen en wordt sinds 20 juni gecontroleerd". Het Nederlandse bericht over inbeslagname linkte naar een andere darkweb site die de politie zelf had gemaakt, waarop darkweb verkopers per pseudoniem in drie categorieën werden opgesomd: degenen die in onderzoek waren, degenen die geïdentificeerd waren en degenen die gearresteerd waren - een lijst die volgens hen nog aanzienlijk zou groeien. "Wij sporen mensen op die actief zijn op Dark Markets en illegale goederen of diensten aanbieden," stond er op de site te lezen. "Bent u een van hen? Dan heb je onze aandacht."

Het Nederlandse team in Driebergen had, zelfs na het ontmaskeren van hun operatie, nog een laatste kaart te spelen: Ze besloten de gebruikersnamen en wachtwoorden die ze al van Hansa hadden verzameld uit te proberen op de grootste overgebleven darkweb drugsbazaar, bekend als Dream Market. Ze ontdekten dat minstens 12 dealers van die site hun Hansa-inloggegevens daar opnieuw hadden gebruikt. Ze konden die accounts onmiddellijk overnemen en de verkopers uitsluiten - die prompt paniekberichten op openbare forums plaatsten waarin ze suggereerden dat Dream ook was gecompromitteerd.

Al deze zorgvuldig gecoördineerde agitprop en verstoringen waren uitdrukkelijk bedoeld om angst en onzekerheid te zaaien in de darkweb gemeenschap - om "het vertrouwen in dit hele systeem te schaden", zoals Marinus Boekelo van de Nederlandse politie zei.

Het had onmiddellijk het beoogde effect. "Het lijkt erop dat ik een tijdje nuchter blijf. Ik vertrouw geen enkele markt meer," schreef een gebruiker op Reddit.

"MAAK GEEN NIEUWE ORDERS OP EEN DNM MEER!" schreef een ander, die de gebruikelijke afkorting voor "dark net market" gebruikte.

"Dus het is een wrap voor het darknet?" vroeg een gebruiker.

"Aan iedereen die denkt dat hij genaaid is en het land wil ontvluchten," adviseerde een ander, "doe dat zo snel mogelijk."

Die allesoverheersende paranoia was voor veel gebruikers van het darkweb terecht. In de bijna vier weken dat ze Hansa beheerden, hadden de Nederlanders 27.000 transacties gecontroleerd. Na de sluiting van de site namen ze 1200 bitcoins van Hansa in beslag, die op dit moment tientallen miljoenen dollars waard zijn, deels dankzij het stilletjes saboteren van de implementatie van een Bitcoin-functie genaamd multi-handtekening transacties, ontworpen om dat soort eenvoudige inbeslagname onmogelijk te maken. Ze hadden minstens enige hoeveelheid gegevens verzameld over een duizelingwekkend totaal van 420.000 gebruikers, waaronder meer dan 10.000 thuisadressen.

In de maanden na de overname zei Gert Ras, het hoofd van de eenheid die toezicht hield op de operatie, dat de Nederlandse politie ongeveer 50 "knock and talks" had uitgevoerd in Nederland, waarbij bekende kopers werden bezocht om hen te waarschuwen dat ze waren geïdentificeerd en moesten stoppen met het kopen van drugs online.

De verkopers van de site hadden minder geluk: binnen een jaar waren meer dan een dozijn topdealers van Hansa gearresteerd. Uiteindelijk voerde de Nederlandse politie het enorme corpus aan darkweb gegevens dat ze hadden verzameld in een database die werd beheerd door Europol, die het op zijn beurt deelde met wetshandhavingsinstanties over de hele wereld.

De directe gevolgen van die explosie van belastende gegevens, die door zoveel instellingen werden doorgegeven, zijn niet gemakkelijk te traceren. Maar Grant Rabenn, die de dossiers van Operation Bayonet beheerde, zegt dat hij in de jaren daarna verzoeken om die informatie ontving als onderdeel van tientallen zaken die instanties in de Verenigde Staten nog in behandeling hadden.

Een reeks van massale, high-profile darkweb arrestaties zou volgen. Deze operaties werden allemaal uitgevoerd door een nieuwe groep die bekend staat als JCODE, of Joint Criminal Opioid and Darknet Enforcement, waarin agenten van de FBI, DEA, Department of Homeland Security, US Postal Inspection Service en een half dozijn andere federale agentschappen samenwerken: in 2018, Operation Disarray; in 2019, Operation SaboTor; in 2020, Operation DisrupTor. In totaal zouden deze handhavingscampagnes volgens de FBI uiteindelijk resulteren in meer dan 240 arrestaties, 160 "knock and talks" en de inbeslagname van meer dan 1.700 pond drugs, samen met 13,5 miljoen dollar in contanten en cryptocurrency.

Maar de Hansa-kant van de operatie was niet zonder kosten. Afgezien van de enorme mankracht en middelen die Operatie Bajonet had gevergd, moest een groep Nederlandse politiemensen worden omgevormd tot "darkweb kingpins". Bijna een maand lang hadden ze de verkoop van onnoemelijke hoeveelheden dodelijke verdovende middelen aan onbekende kopers over de hele wereld gefaciliteerd. Zelfs toen ze Hansa in gevaar brachten, had Hansa hen ook in gevaar gebracht.

Voelde de Nederlandse politie dat gevoel van smetvrees dat misschien hoort bij undercoverwerk? Sommigen beschrijven in ieder geval dat ze zich verrassend onbevangen voelden over hun rol. "Om eerlijk te zijn was het vooral spannend," zei de teamleider, Petra Haandrikman. De Nederlandse officieren van justitie hadden de zaak immers al bekeken, de ethiek ervan afgewogen en groen licht gegeven. Daarna vond de betrokken politie dat ze de operatie met een schoon geweten zo ver mogelijk kon doorvoeren.

De Nederlandse politie wees erop dat zij het bijzonder dodelijke opiaat fentanyl uit Hansa had verbannen toen het onder haar controle stond, in een poging de schade waarvoor zij verantwoordelijk zou kunnen zijn te minimaliseren - een maatregel die de gebruikers van Hansa zelfs toejuichten. In werkelijkheid kwam dat verbod slechts een paar dagen voor het einde van hun undercoveroperatie. Tot dan, gedurende meer dan drie weken, was dat uiterst gevaarlijke opioïde blijven aanbieden op de site, zonder garantie dat alle bestellingen zouden worden onderschept.

En wat vond de politie van de beslissing om toezicht te houden op die verkoop van verdovende middelen in plaats van Hansa te sluiten en de transacties helemaal te voorkomen?

"Ze zouden hoe dan ook hebben plaatsgevonden," zei Gert Ras zonder aarzeling, "maar op een andere markt."

"Ik heet u welkom bij de heropening van onze professioneel gerunde, anonieme, veilige marktplaats AlphaBay," begon het bericht van DeSnake.

In de jaren daarna hebben waarnemers van het darkweb geprobeerd te bepalen in hoeverre Operatie Bayonet daadwerkelijk die eindeloze uitwisselbaarheid van markten, de constante cyclus van inval, wederopbouw en herhaling, heeft verstoord. Zou de sterk gecoördineerde wereldwijde ontmanteling van AlphaBay - of iets anders - een einde kunnen maken aan of zelfs een rem kunnen zetten op het eeuwige spel dat wetshandhavingsinstanties al jaren spelen, waarbij een nieuwe markt voortdurend klaarstaat om de gebruikers van de vorige te absorberen?

Eén studie suggereerde in ieder geval dat de arrestaties van AlphaBay en Hansa meer blijvende effecten hadden dan eerdere arrestaties van het darkweb. De Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek, bekend onder de afkorting TNO, ontdekte dat wanneer andere markten in beslag werden genomen, zoals Silk Road of Silk Road 2, de meeste van hun drugsverkopers snel opdoken op andere darkweb drugssites. Maar de verkopers die Hansa ontvluchtten na Bayonet's één-tweetje, doken niet meer op, of als ze dat al deden, werden ze gedwongen hun identiteit en reputatie te schrappen en zichzelf helemaal opnieuw te creëren. "Vergeleken met de beide Silk Road-takedowns, of zelfs de AlphaBay-takedown, springt de sluiting van de Hansa Market er in positieve zin uit", aldus het TNO-rapport. "We zien de eerste tekenen van spelbepalend politieoptreden."

"Ik heet u welkom bij de heropening van onze professioneel gerunde, anonieme, beveiligde marktplaats AlphaBay," begon het bericht van DeSnake.

Nicolas Christin van Carnegie Mellon, een kwantitatief onderzoeker van darkweb drugsmarkten met een bijzonder lange staat van dienst, is daar niet zo zeker van. Op basis van gegevens die hij en zijn collega-onderzoekers verzamelden door het analyseren van feedback die op de markten werd geplaatst, schatten zij voorzichtig dat AlphaBay tussen de 600.000 en 800.000 dollar per dag aan verkoop genereerde voordat het werd gesloten, ruim het dubbele van de piekinkomsten van Silk Road. Maar zijn team ontdekte dat de volgende erfgenaam van de vluchtelingen van het darkweb, Dream Market, uiteindelijk bijna net zo groot werd als AlphaBay, of misschien zelfs groter - voordat de beheerders verdwenen en de markt stilletjes offline ging in 2019.

Chainalysis' blockchain-gebaseerde metingen vonden daarentegen dat AlphaBay maar liefst $2 miljoen per dag aan gemiddelde verkoop genereerde net voor de sluiting - inkomsten die geen enkele andere darkweb markt van zijn soort ooit heeft geëvenaard. (De Russischtalige darkweb site Hydra, die in april 2022 door de Duitse politie offline werd gehaald, overtrof deze cijfers met meer dan $1,7 miljard aan bitcoin in 2021, volgens Chainalysis. Maar omdat de verkoop van smokkelwaar op de zwarte markt moeilijk te onderscheiden was van de witwasdiensten, is de instroom van cryptocurrency niet direct vergelijkbaar met die van AlphaBay). De FBI schatte dat de site van Cazes, met meer dan 369.000 productlijsten en 400.000 gebruikers op het hoogtepunt, 10 keer zo groot was als Silk Road toen het offline werd gehaald.

Ongeacht wie de titel voor de grootste darkweb markt aller tijden in handen heeft, voorspelt Christin dat deze anonieme smokkelwaar economie cyclus zal doorgaan lang nadat de herinnering van het darkweb aan Operation Bayonet is vervaagd, zolang er kopers zijn voor illegale, lucratieve en vaak zeer verslavende producten.

"De geschiedenis heeft ons geleerd dat dit ecosysteem zeer, zeer veerkrachtig is," zegt hij. "Wat er in 2017 gebeurde was zeer uniek, die één-tweetje. Maar dat lijkt geen grote deuk in het ecosysteem te hebben geslagen."

Zelfs op de dag dat de Hansa takedown werd aangekondigd en Operation Bayonet eindelijk werd onthuld, leken sommige gebruikers klaar om terug te keren naar het darkweb zodra de chaos afnam, en hun onverzadigbare behoefte aan een andere fix zich begon te laten voelen. Dezelfde Reddit-gebruiker die op het darknet market forum van de site had gepost dat hij "een tijdje nuchter zou zijn" eindigde zijn bericht met een noot van koppige volharding.

"Dingen zullen stabiliseren, dat doen ze altijd," schreef die anonieme gebruiker. "Het grote spel van whack-a-mole eindigt nooit."

Hoofdstuk 16: Resurrection

Begin augustus 2021, net toen ik de laatste details van AlphaBay's ondergang rapporteerde, gebeurde er iets onverwachts: Het stond op uit de dood.

"AlphaBay is terug," las een bericht op Ghostbin, een site voor het publiceren van anonieme tekstberichten. "Je leest het goed, AlphaBay is terug."

Het bericht bleek te zijn geschreven door DeSnake, AlphaBay's voormalige nummer twee beheerder en beveiligingsspecialist. Om zijn identiteit te bewijzen had DeSnake het bericht cryptografisch ondertekend met zijn PGP-sleutel - een methode om aan te tonen dat de schrijver van het bericht de lange, geheime reeks karakters bezat waar alleen DeSnake toegang toe had, zoals een koning die een brief stempelt met een persoonlijke zegelring. Meerdere beveiligingsonderzoekers bevestigden privé dat de handtekening overeenkwam met die van DeSnake's berichten als AlphaBay beheerder jaren eerder. De auteur leek AlphaBay's lang verloren luitenant te zijn, of op zijn minst iemand die zijn sleutel in handen had gekregen.

"Ik heet u welkom bij de heropening van onze professioneel geleide, anonieme, veilige marktplaats AlphaBay om producten en diensten te kopen of te verkopen," begon DeSnake's bericht. Het personeel van deze nieuwe AlphaBay, schreef hij, had "alleen al 20 jaar ervaring in computerbeveiliging, ondergrondse bedrijven, darknet marktbeheer, klantenondersteuning en vooral het ontwijken van wetshandhaving."

Inderdaad, toen ik het adres van de site invoerde in een Tor browser, verscheen een gereïncarneerde AlphaBay - zij het een pas gelanceerde. Het was dezelfde markt als die van 2017, maar helemaal opnieuw opgestart, zonder de vele duizenden verkopers van AlphaBay. En er was nog een groot verschil: Nu hij Alpha02 had overgenomen, stond DeSnake alleen transacties toe in de op privacy gerichte cryptocurrency Monero, niet Bitcoin, om de blockchainanalyse te voorkomen die zo'n centrale rol had gespeeld bij de takedown van AlphaBay.

Ik benaderde DeSnake voor een interview en schreef naar zijn account op het door Tor beschermde webforum Dread. Binnen 24 uur wisselde ik versleutelde instant messages uit met de nieuw opgedoken would-be kingpin van het darkweb.

DeSnake legde snel uit waarom hij nu pas weer opdook, vier jaar nadat de originele AlphaBay offline was gehaald, nadat Cazes was gestorven in de gevangenis en de rest van AlphaBay's personeel zich had verspreid. Hij was van plan, schreef hij, om met pensioen te gaan nadat AlphaBay in beslag was genomen, maar zijn plannen veranderden nadat hij het nieuws zag dat een FBI-agent die betrokken was bij de AlphaBay-takedown een video van Cazes' arrestatie had getoond op de 2018 Fordham International Conference on Cyber Security en over Cazes had gesproken op een manier die DeSnake respectloos vond.

"De grootste reden dat ik terugkeer is om de naam AlphaBay te laten herinneren als meer dan de marktplaats die werd opgepakt en waarvan de oprichter werd uitgemaakt dat hij zelfmoord had gepleegd," schreef DeSnake, in zijn licht buitenlands verbogen Engels. "De naam AlphaBay kwam in een kwaad daglicht te staan na de invallen. Ik ben hier om dat goed te maken."

DeSnake herhaalde de bewering die ik al eerder had gehoord: dat Cazes in de gevangenis was vermoord. Hij bood geen echt bewijs, maar zei dat hij en Alpha02 een noodplan hadden ontwikkeld voor het geval hij gearresteerd zou worden - een soort automatisch mechanisme dat Alpha02's identiteit zou onthullen aan DeSnake als hij voor een bepaalde tijd zou verdwijnen, zodat AlphaBay's nummer twee hem zou kunnen helpen in de gevangenis. (Of die hulp zou komen in de vorm van een juridisch verdedigingsfonds of de "helicopter gunship" waar Cazes het over had met Jen Sanchez, weigerde DeSnake te zeggen).

Cazes zou nooit zelfmoord hebben gepleegd voordat hun plan in werking kon treden, aldus DeSnake. "Hij was een vechter," schreef hij. "Ik en hij hadden een back-up plan, ik garandeer je dat een goed en werkend plan, ondersteund door fondsen enz. Maar hij werd gedood."

DeSnake beschreef tegenmaatregelen die hij sindsdien had ontwikkeld voor elke tactiek die was gebruikt om Cazes te pakken en de originele AlphaBay uit te schakelen. DeSnake stapte nooit weg van zijn computer als die ontgrendeld was, schreef hij, zelfs niet om naar het toilet te gaan. Hij beweerde dat hij een "geheugenverlies" besturingssysteem gebruikte om te voorkomen dat er belastende gegevens werden opgeslagen, en ook "uitschakelbare schakelaars" om alle resterende informatie te vernietigen die de politie op zijn machines zou vinden, mochten ze zijn controle verlaten. Hij schreef zelfs dat hij een systeem had ontworpen, AlphaGuard genaamd, dat automatisch nieuwe servers opzet als het detecteert dat de servers waarop de site draait in beslag worden genomen.

Maar de grootste factor die DeSnake beschermde was vrijwel zeker geografisch: Hij schreef dat hij gevestigd is in een voormalig USSR land, buiten het bereik van Westerse regeringen. Hoewel hij toegaf dat Cazes valse aanwijzingen had gebruikt om een Russische nationaliteit te suggereren om onderzoekers af te schrikken, beweerde hij dat het verbod van AlphaBay om mensen uit dat deel van de wereld te slachtofferen echt was en bedoeld om hem en andere daadwerkelijke AlphaBay-medewerkers van na de Sovjet-Unie te beschermen tegen lokale rechtshandhaving.

"We deden dat voor de veiligheid van andere medewerkers," schreef DeSnake. Cazes besloot toen "het te omarmen als een manier om zichzelf te beveiligen."

Desondanks beweerde DeSnake dat hij meerdere malen door landen met Amerikaanse uitleveringsverdragen was gereisd en nooit was gepakt. Hij schreef die staat van dienst deels toe aan het zorgvuldig witwassen van geld, hoewel hij, afgezien van zijn voorkeur voor Monero, weigerde zijn methoden in detail te beschrijven.

"Iedereen die dacht dat een valuta methode of cryptocurrency veilig is, is een dwaas of op zijn minst zeer onwetend. Alles wordt gevolgd," schreef hij. "Je moet bepaalde methodes doorlopen om van de vruchten van je werk te kunnen genieten ... het kost om te doen wat je doet. Als je een legaal bedrijf bent betaal je belastingen. Als je dit doet betaal je belastingen om je geld te verduisteren."

DeSnake zei dat hij geschokt was toen hij hoorde van Alpha02's vroege misstap waarbij zijn e-mailadres voor het eerst aan de DEA werd onthuld. "Ik ben nog steeds in ongeloof dat hij zijn persoonlijke e-mail erop had gezet," schreef DeSnake. "Hij was een goede carder en hij wist beter opsec."

Maar hij voegde eraan toe dat Cazes falen om zijn geldsporen te verbergen in de mate die DeSnake aanraadde een meer opzettelijke fout was. DeSnake had de vorige AlphaBay baas gewaarschuwd voor de noodzaak om meer maatregelen te nemen tegen financieel toezicht, zei hij. Alpha02 had niet geluisterd.

"Sommige adviezen nam hij aan, andere sloeg hij af als 'overkill'," schreef DeSnake. "In dit spel is er geen overkill."

Op een middag, aan het eind van enkele weken van aan-en-uit chats met DeSnake over hoe hij van plan was de volgende ronde van het kat-en-muisspel van het darkweb te winnen, deelde hij wat nieuws: De muizen hadden weer een kleine overwinning behaald.

DeSnake stuurde me een reeks links naar Tor-beveiligde websites die hij beschreef als "DarkLeaks." Iemand, zo lijkt het, had het Italiaanse politiebureau gehackt dat verantwoordelijk was voor het onderzoek naar een paar darkweb drugs sites, bekend als Deep Sea en Berlusconi Market. Die hacker publiceerde nu een grote verzameling gestolen documenten die een inkijkje geven in het geheime werk van de politie om die sites neer te halen.

Binnen de DarkLeaks collectie viel één slide deck mij onmiddellijk op. Het was een presentatie van Chainalysis. Het beschreef, in het Italiaans, een opmerkelijke reeks surveillance trucs die Chainalysis aan de rechtshandhaving bood, maar die nooit eerder publiekelijk bekend waren gemaakt, inclusief de mogelijkheid om Monero te traceren in de meeste gevallen. De slides leken zelfs te onthullen dat Chainalysis een gratis blockchain analyse tool, WalletExplorer, in een honeypot had veranderd: Het bedrijf had identificerende informatie over mensen die de tool gebruikten om de traceerbaarheid van hun munten te controleren, overgedragen aan de rechtshandhaving.

Maar te midden van deze onthullingen, was er nog een dia die eindelijk het meest ongrijpbare antwoord bood waar ik naar op zoek was: een mogelijke oplossing voor het mysterie van de "geavanceerde analyse" truc die Chainalysis had gebruikt om de AlphaBay server in Litouwen te lokaliseren.

De Italiaanse presentatie bevestigde dat Chainalysis inderdaad de IP-adressen van sommige wallets op de blockchain kan identificeren. Het deed dit door zijn eigen Bitcoin nodes te gebruiken, die in stilte transactieberichten controleerden. Dit bleek precies de praktijk te zijn die in de begindagen van het bedrijf tot een schandaal had geleid, toen werd onthuld dat Chainalysis zijn eigen Bitcoin-nodes gebruikte om de IP-adressen van cryptocurrency-gebruikers te verzamelen - een experiment waarvan het had beloofd dat het werd stopgezet nadat een verontwaardiging hierover zich verspreidde over de Bitcoin-gemeenschap.

Eén slide in het bijzonder beschreef een tool genaamd Rumker, waarin werd uitgelegd dat Chainalysis zijn heimelijke Bitcoin-nodes kon gebruiken om de IP-adressen van anonieme diensten te identificeren, inclusief darkweb markten. "Hoewel veel illegale diensten op het Tor-netwerk draaien, zijn verdachten vaak nalatig en draaien hun bitcoin node op clearnet," las de dia, met een term voor het traditionele internet dat niet door Tor wordt beschermd.

Had AlphaBay deze fout gemaakt? Rumker klonk heel erg als het geheime wapen dat het IP-adres van die darkweb gigant had gelokaliseerd, en waarschijnlijk ook dat van vele andere doelwitten.

(Toen ik Chainalysis' Michael Gronager schreef om te vragen naar de dia's en specifiek naar Rumker, ontkende hij de legitimiteit van de presentatie niet. In plaats daarvan stuurde hij me een verklaring die las als een soort samenvatting van zijn standpunt over de privacy van Bitcoin, die volgens hem vrijwel niet bestaat: "Open protocollen worden openlijk gecontroleerd om de ruimte veilig te houden en om een netwerk voor waardeoverdracht zonder toestemming te laten bloeien.").

Rumker, als het inderdaad de tool was die AlphaBay lokaliseerde, was waarschijnlijk net "verbrand". Degene die het gelekt heeft, heeft daarmee de kwetsbaarheid van het Bitcoin protocol dat het gebruikt blootgelegd. Darkweb beheerders zoals DeSnake zullen in de toekomst ongetwijfeld beter opletten om te voorkomen dat hun cryptocurrency wallets hun IP-adressen onthullen aan nieuwsgierige Bitcoin nodes.

Maar er zullen andere kwetsbaarheden zijn, en andere geheime wapens om ze uit te buiten. Het kat-en-muisspel gaat door. En voor elke Alpha die wordt neergehaald, zal een andere wachten in de vele schaduwen van het donkere web, klaar om hun plaats in te nemen.

Bron: anoniem, wired.com

Deel 1: De jacht op de grootste crimineel van het Darkweb, deel 1: The Shadow

Deel 2: De jacht op de grootste crimineel van het Darkweb, deel 2: Pimp_alex_91

Deel 3: De jacht op de grootste crimineel van het Darkweb, deel 3: Alpha Male

Deel 4: De jacht op de grootste crimineel van het Darkweb, deel 4: Face to Face

Deel 5: De jacht op de grootste crimineel van het Darkweb, deel 5: Takedown