Операция Лобос 1

Операция Лобос ( португальский : Operação Lobos ), также известная как Операция «Волки» , представляла собой многонациональную операцию с центром в Бразилии, в которой участвовали 12 стран, нацеленную на операции TOR, лукового сервиса известного как Baby Heart. Дополнительными целями и задачами совместной операции были деанонимизация хост-серверов TOR, администраторов TOR и пользователей TOR, связанных с целевым веб-сайтом и несколькими другими целевыми веб-сайтами/чатами, которые предположительно содержали или использовались для распространения незаконных изображений. материалы о сексуальном насилии над детьми ( CSAM ) и другие категории законных изображений обнаженных и не обнаженных лиц младше 18 лет. По состоянию на февраль 2024 года ни одно правительство не опубликовало полный список целевых веб-сайтов / чат-сайтов, участвующих в этой операции; однако основными целями оказались следующие: Baby Heart, Hurt-meh, Boyvids 4.0, Anjos Prohibidos (BR)/Forbidden Angels и Loli Lust. Судебные документы указывают на то, что атаке подверглись как минимум два других веб-сайта/чата; однако названия веб-сайтов/чатов не разглашаются.

Информацию о названных операциях, связанных с обысками, арестами, судебным преследованием и судебными разбирательствами по зацепкам, полученным в результате операции «Лобос 1», см. в кратком описании по конкретной стране ниже.

Совместное многонациональное расследование (операция BabyHeart), которое привело к операции «Лобос», было начато еще в августе 2015 года, когда впервые была открыта онлайн-доска объявлений Onion Service Baby-Heart.

• Октябрь 2016 г. В показаниях агента HSI Грега Сквайра говорится, что в это время к совместному расследованию присоединились США. Описывая это как HSI Бостона, HSI Филадельфии и правоохранительные органы за рубежом. ^[1]
• В марте 2017 года австралийская полиция предположительно передала информацию в подразделение судебной власти Португалии по борьбе с киберпреступностью «UNC3T». ^[2]
• В мае 2017 года австралийская полиция направила UNC3T дополнительную информацию, полученную в результате ареста и задержания другого подозреваемого в Австралии.
• В мае 2017 года специальный агент HSI Грег Сквайр провел четыре обыска в Калифорнии в связи с операцией «Детское сердце». Информация была предоставлена ​​иностранным правоохранительным органом после ареста (предположительно связанного с арестом в Португалии и Бразилии всего за 2 месяца до этого), что привело к 4 арестам. ^[1]
• До 20 июня 2017 года в сотрудничестве с Иммиграционной и таможенной службой США их эксперты совместно с Европолом и Интерполом проводили анализ криминальной информации . ^[3]
• 20 июня 2017 г., ^[2] двое администраторов совета директоров ( Твинкл ^[4] также известные как XXX и Forgotten ) были арестованы в Португалии и позднее приговорены 23 января 2020 года. ^[2] Твинкл был пойман «на месте преступления» при создании CSAM , а затем помог португальским правоохранительным органам задержать Забытого .
• Арест Twinkle и Forgotten предшествовал аресту и возбуждению уголовного дела против другого администратора сайта Baby Heart, расположенного в штате Ресифи / Пернамбуку (PE) в Бразилии. ^{[5] [6]} Этот администратор веб-сайта в Ресифи якобы заключил «отмеченное наградами соглашение о сотрудничестве/сделку о признании вины» с Федеральной прокуратурой Бразилии, также известной как «Федеральное министерство общества» (MPF). Администратор, ставший информатором, предположительно имел важные отношения через сеть Tor с администратором лукового сервиса Baby Heart Tor (и других луковых сервисов). Существование и важность информации об администраторе сервера целевого веб-сайта предположительно проверялись между бразильским MPF и Федеральным бюро расследований США (ФБР). В то время ФБР утверждало, что этот человек поддерживал 70% всего контента CSAM в сети Tor. ^{[5] [6]} Проверка фактов этой статистики делает утверждение о 70% маловероятным или вводящим в заблуждение, поскольку в многочисленных пресс-релизах, опубликованных впоследствии, во время и после работы этих конкретных луковых служб, указаны цифры, превышающие 30% для любого данного набора услуг. Примером может служить статистическая информация, предоставленная правительством США о корейском сайте «Welcome to Video» (см. кейс «Welcome to Video» ).

Большая часть того, что известно об операции, была собрана в результате того, что португальские, а затем и бразильские власти провели пресс-конференции и выпустили пресс-релизы, хвастающиеся своим успехом и участием в том, что бразильские власти назвали «беспрецедентной» совместной операцией с Соединенными Штатами (США). ) Федеральное бюро расследований Соединенного Королевства (ФБР) и Национальное агентство по борьбе с преступностью (NCA). ^{[5] [6]}

• Одним из использованных инструментов был инструмент Европола «Отследить объект» (предметы, фон и одежда, выявленные в сети при жестоком обращении с детьми) с фотографиями из социальных сетей.
• (LPC) Португалии . судебной полиции Еще одним инструментом, использовавшимся для выявления подозреваемых, были Научные полицейские силы ^[2] путем создания отпечатков ладоней с изображений, в том числе рук подозреваемого (на загруженных изображениях подозреваемые никогда не показывали свои лица).
• Арест одного из администраторов лукового сервиса из Ресифи/ПЭ, Бразилия, привел к сделке о признании вины, согласно которой администратор выступал в качестве информатора для получения информации об администраторе сервера. ^{[5] [6]}

• В соответствии с судебным ордером и на основе информации, полученной от информатора, бразильские власти работали с ФБР, чтобы получить IP-адрес сервера. ^{[5] [6]}
• Была выдана повестка в суд интернет-провайдеру (ISP), связанному с подозрительным IP-адресом, и интернет-провайдер предоставил физический адрес и информацию об учетной записи, связанную с IP-адресом. ^{[5] [6]} Физический адрес, также известный как указанный целевой адрес, представлял собой адрес в Ресифи, штат Пенсильвания, Бразилия.

• Был выдан ордер на перехват потока данных между интернет-провайдером и целевым физическим адресом подозреваемого.
• Великобритании Перехваченные данные отслеживались при поддержке Национального агентства по борьбе с преступностью (NCA) в рамках проекта Habitance . Они подтвердили, что 85,53% интернет-трафика соответствует трафику TOR. Тот факт, что за время анализа через соединение прошло 374 терабайта (ПБ) данных, дал правоохранительным органам подозрение, что целью был узел сервера TOR или узел ретрансляции Tor . ^{[5] [6]}

Информация, полученная в ходе первого периода перехвата данных, была использована для получения дополнительной серии ордеров. ^{[5] [6]}

• Прослушивание телефонных переговоров, связанных с адресом и лицами, связанными с целевым адресом
• Ордер на обыск и арест для провайдера электронной почты, связанного с лицами, которые были связаны с целевым адресом.
• Ордер на обыск и арест по целевому адресу проживания
• Специальный ордер на тайный обыск и наблюдение, который позволял устанавливать в доме записывающие устройства для перехвата паролей, вводимых администратором сервера.
• Контролируемое действие?

• Во втором периоде перехвата использовалась техника деанонимизации, разработанная ФБР . Правоохранительные органы начали атаку типа «отказ в обслуживании» на Target Tor Onion Service и отслеживали перехваченный трафик. Путем импульсной DDOS-атаки объединенная оперативная группа смогла отличить периоды нормального трафика, получаемого Target Tor Onion Service , от периодов, в течение которых происходила DDOS-атака. Увеличение объема трафика во время DDOS-атак было методом подтверждения подозрений в том, что Target Onion Service управляется сервером по целевому адресу. ^{[5] [6]}
• Прослушивание телефонных разговоров подозреваемого также подтвердило подозрения в том, что он был администратором целевого сервера. Его диалоги между ним и интернет-провайдером по вопросам интернет-услуг были перехвачены и записаны. DDOS -атака привела к тому, что целевой веб-сайт Target Tor Onion Service стал недоступен для пользователей на время атаки, поскольку поток данных превысил пропускную способность, выделенную для этой учетной записи в Интернете.
• 8 марта 2019 года по целевому адресу было отключено электричество.
• 12 марта 2019 года был проведен первый поисковый обыск по целевому адресу в отсутствие жителя, что в Бразилии считается беспрецедентным. Ордер разрешал установку камер наблюдения, встроенного кейлоггера и мышиного регистратора , а также копирование всех данных с электронного оборудования. Однако установка камер наблюдения не была произведена. Компьютеры, флэш-накопители, внутренние и внешние жесткие диски и другие носители были скопированы для последующего анализа.
• 5 июня 2019 года был проведен второй поисковый обыск по целевому адресу (в отсутствие жителя), в ходе которого правоохранители успешно установили кейлоггеры на две клавиатуры. Этот метод был разработан NCA, с помощью которого агенты правоохранительных органов могли получить логины и пароли к компьютерам, серверам и сервисам Tor Onion/целевым веб-сайтам/сайтам чата при следующем входе администратора в систему. также воспользовался второй возможностью, чтобы сделать полную копию жесткого диска сервера для дальнейшего изучения. Электричество по целевому адресу снова отключалось, а затем включалось, что вынуждало системного администратора вводить все свои логины и пароли для перезапуска системы.

• 6 июня 2019 года произошел арест администратора сервера Лукаса Батисты и захват рабочего сервера.

Изъятая информация (включая 2 042 408 предполагаемых файлов CSAM) была передана ФБР и NCA. Дополнительная информация, такая как электронные письма администратора сервера, банковские выписки, налоговые декларации, транзакции и пункты назначения UBER, данные мобильного телефона и журналы наблюдения за пределами его дома, была использована для подтверждения преступлений.

Первоначальными преступлениями, на которые указали бразильские власти для установления обоснованности расследования в соответствии с Уголовным кодексом Бразилии, были:

• продажа, распространение, производство и хранение детской порнографии в соответствии со статьями № 240, 241, 241-A и 241-B ECA (Estatuto da Criança e do Adolescente (Закон о детях и подростках) ^{[5] [6]} и
• изнасилование, в том числе уязвимых по статьям № 213 и 217-А ^{[5] [6]}

В период активности сервисов Tor Onion, начиная с начала марта 2019 года, NCA и их партнеры проводили анализ трафика в соответствии с ордерами на целевые помехи оборудованию (TEI) 91-TEI-0147-2019 и 91-TEI-0146-2019. ^[7] Несмотря на уведомление, направленное Соединенным Штатам от 16 сентября 2019 года, о том, что «никогда не было какого-либо вмешательства в работу компьютеров или устройств в Соединенных Штатах» и что «Великобритания не осуществляла доступ, не искала и не изымала какие-либо данные с любого компьютера в Соединенных Штатах». «Есть юридические возражения против этих заявлений, которые по состоянию на февраль 2024 года не были решены. Ордера TEI и ордера TE различаются разрешением судебной власти на вмешательство в целевые устройства. (см. операцию UK NCA Venetic )

Ссылаясь на « серебряное блюдо» , полдюжины обвиняемых в США подали ходатайства о сокрытии всех доказательств, полученных на основании, по их мнению, незаконных ордеров на обыск. Прецедентное право США запрещает федеральному правительству получать «подсказки» и полагаться на них в целях получения ордера на обыск, если правительство США было достаточно вовлечено в шпионскую/специальную операцию и не получило предварительного ордера на первоначальный шпионаж.

"Although the Fourth Amendment and its exclusionary rule generally do not apply to the law enforcement activities of foreign authorities acting in their own country, the concepts do apply where 
(1) the conduct of foreign officials in acquiring the evidence is so extreme that it shocks the judicial conscience, and second, 
(2) where U.S. cooperation with foreign law enforcement officials may implicate constitutional restrictions." United States v. Valdivia, 680 F. 3d 33, 51 (1st Cir. 2012); United States v. Getto, 729 F.3d 221, 228 (2d Cir. 2013)."

Это часть продолжающегося спора относительно « Пяти глаз» .

Лукас Батиста Сантос был арестован 6 июня 2019 года в Сан-Пауле, Бразилия. ^[8] за работу по обслуживанию серверов Tor Onion Services Baby Heart, Hurt-meh, Boyvids 4.0, Anjos Prohibidos (BR)/Forbidden Angels и Loli Lust. По данным ФБР, на пяти сайтах было зарегистрировано более 1 839 831 пользователя.

Второй этап операции «Лобос-1» в Бразилии назывался «Фаза 2 операции «Лобос» или просто «Операция «Лобос-2»» и касался ареста и судебного разбирательства в отношении подозреваемых, связанных с результатами операции «Лобос-1». Большая часть, если не все, из операций «Лобос-1» В странах-участницах также была названная операция, которая занималась информацией, предоставленной операцией «Лобос». По состоянию на февраль 2024 года названия операций в каждой стране не были опубликованы, однако многие из людей, предположительно посетивших эти объекты, были привлечены к ответственности в последующие годы по наводке или наводке иностранных правоохранительных органов. агентство.

• Соединенные Штаты получили сотни заявок от NCA ^[9] в августе и сентябре 2019 года, ^[10] однако по состоянию на 20 февраля 2024 г. были обысканы только 38 человек, в результате чего было арестовано только 27 человек. Двое из арестованных умерли в заключении, а один осужденный с тех пор подал апелляцию и выиграл апелляцию об отмене приговора, при этом на данный момент вынесено только 13 обвинительных приговоров. Еще пять человек ожидают суда, а двое ожидают апелляции.
  
• Бразилия. По состоянию на 3 декабря 2021 года Бразилия выполнила 106 ордеров на обыск и арест в связи с операцией «Лобос» в 55 городах в 20 штатах. Согласно правительственному пресс-релизу, 18 арестов были «произведены с поличным». Большинство поисков касались жилых помещений, но некоторые – рабочих мест. 68 обысков и изъятий завершились арестами, или около 62% обысков. Число обвинительных приговоров по-прежнему остается невыполненным. ^[8]
  
• Германия также получила список потенциальных клиентов; однако отсутствие у них законов о прозрачности судов может ограничить доступную информацию о том, сколько версий они получили или кем они были.

"The operation was the result of a collective work of police forces from Brazil, the United States, the United Kingdom, Australia, Canada, New Zealand, Germany, Portugal, Italy, Norway, France and Austria"[11]

• Австралия:
  • Федеральная полиция Австралии (AFP) ^{[5] [6]}
  • Оперативная группа Квинсленда Аргос Квинсленда полицейской службы ^[12]
• Австрия ^{[5] [6]}
• Бразилия ^{[5] [6]} – Федеральная полиция Бразилии ^[12]
• Канада ^{[5] [6]} - Полицейская служба Торонто ^[12]
• Европол ^{[2] [12]}
• Франция: ^{[5] [6] [12]}
  • Национальная полиция Франции – Национальная полиция – (OCLCTIC)
  • Национальная жандармерия - Национальная жандармерия Франции - (C3N)
• Интерпол ^{[2] [12] [3]}
• Италия ^{[5] [6]} – Итальянская полиция связи ^[12]
• Германия ^{[5] [6]} – Федеральное управление криминальной полиции (Германия) Федеральное управление криминальной полиции (BKA) ^[12]
• Новая Зеландия ^{[5] [6]}
• Норвегия ^{[5] [6]}
• Португалия:
  • Подразделение по борьбе с киберпреступностью ( UNC3T ) ^[2]
  • Португалии Научная полиция судебной полиции (LPC) ^[2]
• Великобритания:
  • Национальное агентство по преступности (NCA) ^{[5] [6] [12]}
  • Полиция Уэст-Мидлендса
• Соединенные Штаты: ^{[5] [6]}
  • Расследования внутренней безопасности (HSI) ^{[2] [12]}
  • Федеральное бюро расследований (ФБР) ^{[5] [6]}

• Список дел в США