Наркофайлове: Хакер на трафиканти на кокаин прониква в най-големите пристанища на Европа

Търговските пристанища на Европа са най-важните входни точки за рекордните нива на заливане на континента с кокаин. Действията на холандски хакер, нает от наркотрафиканти да проникне в пристанищните компютърни мрежи, разкрива как този вид контрабанда е станала по-лесна от всякога.

• Съдебни протоколи и други документи, получени от репортери, разкриват как човек в Холандия е хакнал компютърни системи на пристанищата на Ротердам и Антверпен и е продал ценни данни, за да помогне на трафикантите на кокаин.
• С достъп до системите за управление на контейнери на пристанищата, хакерът е успял да препоръча кои контейнери са най-добрите опции за укриване на контрабанда.
• Хакерът също така е използвал достъпа си до ключови данни за контейнери, за да помогне на контрабандистите да вземат стоките си при получателите им.
• Едно от хакванията му е било улеснено от подкупен пристанищен служител в Антверпен, който поставя флашка със зловреден софтуер в пристанищен компютър.

14 февруари 2020 г. носи безпрецедентна изненада за Свети Валентин на полицията в Коста Рика – те откриват 3,8 метрични тона кокаин в контейнер с декоративни растения. Властите казват малко за това, кой стои зад залавянето на рекордната пратка, прихваната в карибския пристанищен град Лимон.

Не след дълго холандската полиция прави друго откритие: След проникване в криптираната платформа за чат SkyECC, те установяват, че 41-годишен баща на две деца е изиграл ключова роля в операцията от компютъра си в пристанищния град Ротердам. На хартия Дейви де Валк (Davy de Valk) е имал трудности да се задържи на постоянна работа. Според повдигнатото му обвинение от холандските прокурори, той живее от социални помощи, въпреки че твърди, че е учил компютърни науки. Криптираните чатове разкриват, че де Валк всъщност е имал редовна – и добре платена – работа като черен хакер или хакер с “черна шапка” (“Black-Hat” Hacker), термин използван за тези, които хакват с престъпни цели. Неговият специалитет е проникване в компютърните системи на големите морски пристанища в Европа и продажба на информация на контрабандисти на кокаин.

За да движат пратките си свободно, престъпните групи традиционно трябва да корумпират дълга верига от пристанищен персонал, от оператори на кранове до митнически инспектори. Нарастващата дигитализация и автоматизация на логистиката на корабоплаването отвори нови възможности за проникване. С информацията, която хакери като де Валк могат да осигурят, трафикантите се нуждаят от не повече от един корумпиран служител и шофьор на камион, казват експерти.

OCCRP и чешкият партньор investigace.cz, използвайки съдебни протоколи, полицейски доклади и анализ на алгоритъма на хакването на Дейви де Валк, реконструират как той и съучастниците му проникват в компютърните мрежи на две от най-натоварените пристанища в Европа. В някои от случаите използваните методи са относително аматьорски.

Холандският съд установява, че де Валк е успял да наблюдава как се сканират контейнерите на пристанището в Ротердам, като по този начин помага на клиентите си да идентифицират къде да укриват наркотиците, за да избегнат засичането им. Той прониква и в компютърната мрежа на терминала в Антверпен. Флашка със зловреден софтуер е използвана от подкупен служител, давайки достъп на де Валк до данни, които позволяват на клиентите му да вземат наркотиците, без да привличат внимание. Де Валк е получавал стотици хиляди евро за услугите си, показват прихванати чатове. При това методите му за хакване са сравнително елементарни.

“Това е работа с доста ниско ниво на умения” казва пред OCCRP Кен Мънро, който ръководи консултантска фирма по сигурността в Обединеното кралство, след преглед на детайлите за кибератаката на де Валк на терминала в Антверпен. “Това е т.нар. “шумна” атака, която би генерирала много предупреждения, ако пристанищните системи на Антверпен са били настроени да откриват такива действия“ добавя той.

Вътрешният поглед на хакването на Дейви де Валк, който OCCRP разкрива в детайли за първи път като част от NarcoFiles, подчертава как уязвимостите в тези пристанища са им позволили да се превърнат във фунии за кокаин, изливащ се в Европа с рекордни темпове.

Наркофайлове: Пътят към Европа – международният наркотрафик отвътре

В своя защита Дейви де Валк твърди, че е правил проучване под прикритие, за да разработи видео игра за търговията с наркотици и е продавал само некачествена информация на престъпните си клиенти. Съдът отхвърля обяснението му като “напълно неправдоподобно” и през 2022 г. го осъжда на 10 години затвор за престъпления, включващи незаконно хакване, както и подпомагане и съучастие в трафик на кокаин.

OCCRP изпрати множество имейли и направи многократни телефонни обаждания до адвокатите на де Валк с искане за коментар, включително дали присъдата ще бъде обжалвана, но не получи отговор. Не е ясно дали той излежава присъдата си.

Рекордни количества заловен кокаин

Огромното количество от 98 милиона контейнера, преминали през 2021 г. през главните пристанища на Европа, предлага широки възможности на наркотрафикантите да се възползват – само около два процента са проверени. 

Рекордните близо 160 метрични тона кокаин са конфискувани в пристанищата на Ротердам и Антверпен само през 2022 г. Това е по-малко от една трета от общото количество кокаин преминаващо през пристанищата, според вътрешен доклад на Европол, с който OCCRP и investigace.cz разполага. 

Едно от предизвикателствата е, че тези търговски пристанища са проектирани за ефективност, а не за сигурност. Те са изградени да “придвижат контейнерен товар или всякакъв товар от А до Б за най-кратко време при най-ниски разходи“ казва пред OCCRP областният началник на пристанищната полиция на Ротердам Ян Янсе.

Корабните “Линии” на Де Валк

В седмиците преди удара в Коста Рика, Дейви де Валк описва на клиента услугите си и ценообразуването през чат платформата SkyECC. Чрез наблюдение на историята на сканиране на компании, които редовно доставят до Ротердам, де Валк успява да каже кои корабни линии рядко са били проверявани и следователно са били най-добрите цели за тайно укриване на кокаин, и очевидно без знанието на самите корабни фирми. Ако контейнерът успешно достигне Ротердам, след това де Валк помага на клиентите да вземат товара си, като анулира първоначалната услуга за получаване и фалшифицира транспортни поръчки. Това позволява на клиентите му сами да вземат контейнера, да го изкарат от пристанището и удобно да разтоварят наркотиците. Общата цена на такъв пакет е 500 000 евро.

“Получавате компания, която не преминава през сканиране и ваш транспорт може да я вземе без никакви проблеми“, пише де Валк в едно от чат съобщенията чрез SkyECC, цитирани в присъдата му от съда. Дейви де Валк нарича “моите линии” надеждните корабни компании, които препоръчва на клиенти.

За заловения в Коста Рика товар той препоръчва контейнер, използван от Vinkaplant – известен холандски вносител и износител на тропически растения, извършващ редовни пътувания до своите полета в Коста Рика и други страни от Централна Америка. “В него има растения. Лесно се товари. Не е пълен”, пише де Валк на клиента си, който не е идентифициран от съда. Този метод “на гърба” на законна фирма обикновено се извършва без тяхното знание. Vinkaplant не е обвинен в никакви нарушения.

Но този път “линията” на де Валк го проваля. По време на рутинна проверка полиция на Коста Рика забелязва подозрително несъответствие – теглото на контейнера не съвпада с декларираното число. При проверка е установено, че освен 20 кули с декоративни растения, в контейнера има куфарчета с 5048 черни пакета, повечето от които с чист кокаин.

Измама с ПИН кодове

Ключът в работата на Дейви де Валк е възможността за достъп до ПИН кодовете на транспортните контейнери. Това са уникални референтни номера, които се дават на контейнер от спедиторска компания след заплащане на транспорта му. За да вземат контейнера от дока, превозвачите трябва да предоставят правилния код заедно с друга документация.

През 2018 г. властите на пристанището в Ротердам забелязват скок в докладите за откраднати, изчезнали, доставени на грешен адрес или появяващи се на неочаквани места контейнери. Властите разбраха, че престъпните мрежи са открили нов начин на действие за контрабанда на наркотици, който Европол нарече “измама с ПИН код”.

Трафикантите откриват, че чрез незаконен достъп до ПИН кодовете на контейнерите – с помощта на корумпирани пристанищни служители или чрез хакване – те могат да вземат товара, като се представят за транспортната компания, наета да го вземе. Тези данни, както и номерът на контейнера, им позволяват да следят статуса на пратката в пристанището, включително кога е готова за освобождаване.

Без такива ПИН кодове контрабандистите би трябвало да прибягват до много по-рискови методи, като например изпращане на група, която да проникне в контейнерите в пристанището и да се измъкне с контрабандните стоки. Имало е и случаи на контейнери с “троянски кон”, при които групи за извличане се промъкват в пристанището, скриват се в контейнер и чакат, понякога с дни, докато пратката им пристигне и имат шанса да я извлекат.

Сравнителната лекота на измамата с ПИН код означава, че данните са на висока цена. Според вътрешен доклад на Европол, криптирани чатове показват, че престъпниците са плащали между 20 000 и 300 000 евро за такива кодове. Големият брой пристанищен и транспортен персонал, който има достъп до тези референтни номера – в някои случаи до 10 000 души в една корабна компания – предоставя на трафикантите много потенциални мишени.

“Много лесно е да намериш някой, който има достъп до този код, и да му платиш пари, за да го получиш“, казва областният началник на пристанищната полиция на Ротердам Ян Янсе. “Ако не кажете “да” първия път, когато сте в магазина и пазарувате, те ще ви го го подхвърлят отново и може би, ще опитат трети път да ви предложат парите. Има и случаи, разбира се, когато те след това казват на хората: “Ние знаем къде ходят децата ви на училище.“” Този тип корупция е най-използваният от престъпниците метод за достъп до вътрешна информация, включително ПИН кодове, казва Янсе.

От чатовете на де Валк става ясно, че той и неговите участници са имали достъп до вътрешна информация за движението на контейнери в пристанището в Ротердам. Холандският съд установява, че като част от усилията да организира пратката, която по-късно е спряна в Коста Рика, де Валк е фалшифицирал транспортна поръчка, изпратил я е на съучастниците си и е отменил легитимния превозвач. В присъдата му е цитиран чат с изпратено на клиентите му изображение на транспортна поръчка и текст: “Под референцията е ПИН кодът”.

В допълнение, Дейви де Валк е осъден и за участие в организирането на друга пратка от над 200 килограма кокаин скрит в контейнер с вино, който полицията открива в Ротердам през 2020 г. Според присъдата му, разследващите откриват в криптирани чатове през SkyECC, че де Валк е подготвил транспортна поръчка и фалшиви имейли, за да улесни вземането на пратката. Той е използвал ключови данни за контейнера, предоставени му от неидентифициран член на групов чат. 

Обвинителният му акт разкрива още подробности: Де Валк и други членове на чата са имали достъп до софтуера на пристанището за управление на контейнери и с помощта на “предполагаеми корумпирани контакти на пристанището” са имали “директна информация за данните на контейнера, съответните регистрационни номера и часовете за натоварване и разтоварване“. Подробностите за това как са получили достъп до тази информация в Ротердам не са известни. Но следващото приключение на де Валк в Антверпен дава само едно възможно обяснение.

Хакване с флашка

Дни след като пратката с вино е заловена в Ротердам, Дейви де Валк насочва погледа си към нова цел с помощта на човек на име Боб Званевелд. Това се разбира от присъдите им. 57-годишният Званевелд не въплъщава популярния образ на престъпен бос. Според обвинителния акт на прокуратурата, той е прекарал седем години в кемпер в парк за отдих, преди да бъде арестуван през 2021 г. Официално Званевелд е бил безработен, като се изключи, както сам признава, странната строителна работа. Неофициално той е участвал активно в трафик на кокаин и оръжие, което през 2022 г. му докарва 12-годишна присъда.

OCCRP направи многократни опити да се свърже със Званевелд чрез неговите адвокати, като поиска коментар относно присъдата и дали ще бъде обжалвана, но не получи отговор. Не е ясно дали той излежава присъдата си.

Чатове показват, че Званевелд е играл координираща роля в няколко сделки с наркотици през 2020 г., включително организирането на продажбата на негов приятел от Обединеното кралство на 100 “colos” – термин, който той и други използват, за да опишат килограми колумбийски кокаин. Той също така редовно договаря чрез криптирани чат платформи покупка, продажба или доставка на огнестрелни оръжия, ръчни гранати и боеприпаси.

Според присъдите им, Званевелд и де Валк заедно са планирали да проникнат в терминала в Антверпен, който управлява втория по големина обем корабни контейнери в Европа след Ротердам. За да направят това, те се нуждаели от помощта на някой отвътре – в този случай служител в офиса на пристанището. Служителка свидетелства пред белгийската полиция, че към нея се обърнал някой, който ѝ предложил 10 000 евро за да постави флашка в компютъра на работното ѝ място. Това се разбира от показанията ѝ, цитирани в присъдата на де Валк. 

След като се съгласила и е даден SKY телефон – защитено устройство с приложение за криптирани съобщения – за комуникация с потребител на акаунт в чат платформата SkyECC, идентифициран в съда само като 7MIOBC, който подава заявките към нея в групов чат с де Валк и Званевелд. Според местни медии пристанищната служителка е осъдена от белгийския съд март тази година. Подробности за присъдата липсват, както и дали тя ще бъде обжалвана. Служителката не отговори на молбите на репортерите за интервю.

След като де Валк приготвя флашката, тя премина през няколко ръце, включително тези на Званевелд, преди да стигне до служителката на пристанището. “Просто активирайте програмата на флашката. Кликнете два пъти и изчакайте 15 секунди, след което можете да я извадите отново“, инструктира де Валк. Скоро след това операцията е в ход.

“Да, имам го”, пише той в груповия чат, изпращайки екранна снимка, разкриваща достъпа му до компютъра на служителката, показваща думата “потребител”, последвана от снимка на папки и дискове. Потребител 7MIOBC отговаря със снимка на флашка, включена в терминалния служебен компютър в Антверпен.

След като служителката на пристанището е отворила файла на флашката и инсталирала зловредния софтуер, де Валк извършва серия от “злонамерени действия” в системата. Това показва съдебната експертиза на хакването, включена в доклад на холандската фирма за киберсигурност Northwave, споменат в присъдата на Дейви де Валк.

Де Валк отваря програмата за управление на контейнери в Антверпен, Solvo, на 21 септември. Дневниците за активност показват, че в 4 часа сутринта той е отворил ръководството за потребители на програмата, вероятно “за да проучи какви данни могат да получат чрез Solvo (като как се търсят местоположения на контейнери)” пише Northwave в доклада си. Програмата е позволявала на де Валк да вижда широк набор от информация, свързана с управлението и местоположението на контейнерите. Според фирмата за киберсигурност, достъпът дори му е позволявал той сам да генерира контейнерните ПИН кодове.

Чатовете показват, че де Валк също се е опитвал да направи дубликати на баджовете за идентификация на пристанищния персонал. Няколко дни по-късно той изпраща снимка в груповия чат на SkyECC, показваща компютърен екран с текст “бадж” и “алфа пропуск”, което се отнася до картите, които пристанищните служители използват за достъп до различни части на съоръжението. “Мисля, че скоро ще можем сами да си направим карта“, пише той.

Не се знае дали де Валк в крайна сметка е успял да фалшифицира подобни документи за самоличност. Няма доказателства, де Валк да е участвал в опити за трафик след като извършва хакването през септември 2020 г. Но все пак има доказателства, че той е бил активен в компютърната системата на терминала в Антверпен поне до 24 април 2021 г., според разследването на Northwave. (Де Валк не отговори на искания за коментар на твърденията.)

“Черно пристанище”

Не е известна пълната степен на постигнатото от Дейви де Валк преди ареста му през септември 2021 г. Европейската полиция смята, че той е бил част от по-голям модел на измами с ПИН кодове, който е позволил трафика на най-малко 200 метрични тона кокаин през Ротердам и Антверпен от 2018 г. насам. 

Когато белгийската полиция започва да разследва прихванатите чатове в SkyECC, те се надяват да закрият т.нар “черно пристанище” – вериги от корумпирани пристанищни служители, водачи на транспорт и други, които са направили трафика възможен – казва Кърт Будри, старши служител във федералната полиция на Белгия. Но “не знаехме, че ще бъде толкова голямо“, казва Будри пред OCCRP.

Според доклад на Европол от 2023 г. отчетените измами с ПИН кодове са вероятно значително занижени и може да се случват и в други европейски пристанища. В някои случаи, след като разтоварят контрабандата извън пристанището, шофьорите на фирми превозвачи, работещи с наркотрафикантите, продължават по маршрута и доставят контейнера на законния вносител. Това означава, че някои случаи никога не са разкрити или докладвани, се казва в доклада.

Ян Янсе, областен началник на пристанищната полиция на Ротердам, казва че най-голямата битка срещу трафикантите е способността им да корумпират пристанищата, използвайки пари и сплашване. Пристанищните власти и корабните компании експериментират с начини за затягане на сигурността, включително чрез провеждане на обучение на персонала и чрез ограничаване на броя на хората, които имат достъп до данни, които могат да бъдат използвани от трафикантите, добавя той. “Не казвам, че ще спечелим тази война, но казвам, че сме в състояние да я направим по-контролируема“, казва Янсе.

NarcoFiles: Репортаж на Paul May (investigace.cz), Pavla Holcova (investigace.cz / OCCRP), Brecht Castel (Knack), Interferencia de Radios UCR

Водещ колаж: James O’Brien/OCCRP, Снимки: Alamy Stock Photo

*Методът на хакване с флашка със зловреден софтуер, въведена в компютър от подкупен митнически служител, е използван и в България преди години. Това разкрива съвместната операция на няколко балкански държави наречена Пратка/Вирус, при която според SELEC са открити над 200 000 биткойна, в които престъпниците инвестирали печалбите от необмитени камиони със стоки. Според българската прокуратура тези биткойни не са конфискувани от властите. /BIRD.BG/

Наркофайлове: Новият световен престъпен ред

***

Разследващата журналистика е разузнаването на гражданите. BIRD се финансира от дарения. Ние не публикуваме реклами. Не получаваме държавни субсидии. Не разчитаме на грантове. Финансирането чрез малки дарения от читатели е гаранция за нашата независимост. Включете се, за да продължим да разкриваме злоупотреби и да държим отговорни властимащите. Използваме Вашите пари за хонорари на журналистите, командировки, изграждане и поддръжка на нашите информационни системи, такси за фирмени и имотни регистри у нас и по света, придобиване на техника и специално оборудване, осигуряване на нашата безопасност и други важни работни мисии. Важно: Ако дарявате всеки месец това ще ни даде възможност да планираме и организираме нашата работа. Благодарим Ви! Нас ни има, защото Вас Ви има!

This post is also available in: English (Английски)