Historien om det betydelige kryptovaluta-tyveriet begynte for et par måneder siden, da sykepleierstudenten Aleksandr Kongstad fra Randers opplever en lang rekke mystiske og plagsomme hendelser på flere av de digitale enhetene sine.
Derfor bestemmer han seg for fullstendig å holde seg fullstendig borte fra nettet, og for å skaffe seg nytt mobilnummer. På den måten kan han få stanset dette, tenker han. Det eneste som fremdeles foregår online, er kryptovaluta-tradingen hans.
For trader-oppsettet hans, med en Ledger-walletsom fungerer som en form for fysisk sikkerhet i et ellers digitalt system, er sikkert.
Det må det være.
Ledger skryter nemlig av sikkerheten sin, og nøyaktig hvordan den har blitt knekt eller omgått, aner ikke Aleksandr Kongstad. Men plutselig strømmer hans 60.000 Genaro X – en av de mindre kryptovalutaene – ut fra walleten hans. Fra det ene øyeblikket til det andre er han omkring 130.000 danske (ca. 166.000 norske) kroner fattigere.
Aleksandr kan bare se på mens sparepengene hans fordamper fra den ene nyopprettede walleten til den andre, for deretter å ende i det som ser ut til å være en samlingswallet for atskillige andre operatører. Den kriminelle sluttwalleten var aktiv så seint som i natt, og det har totalt foregått 75.000 overføringer til og fra den siden den ble opprettet.
I skrivende stund inneholder den kriminelle walleten kryptovaluta for drøyt 15.000.000 danske kroner.
På grunn av måten som kryptovalutaene er bygd opp på, kan man se alle transaksjonene, samt hvilken wallet som de skjer til. Til gjengjeld er det umulig å vite hvem som egentlig står bak de mange walletene, og to av mellomstasjonene er helt åpenlyst opprettet med ett formål: å flytte Aleksandr Kongstads oppsparing i Genaro X til en annen wallet. De to mellomstasjonene har verken blitt brukt før eller etter den dagen Aleksandr mistet sin kryptovaluta.
Politiet nektet i første omgang i hele tatt å opprette en sak på dette, men bakgrunnshistorien er også litt ekstrem, innrømmer Aleksandr Kongstad.
Noe er helt galt
For det som skulle ende med et kjempetyveri av privat kryptovaluta, starter med en rekke merkelige hendelser en sen kveld i mai. Sykepleierstudenten Aleksandr Kongslevs spill-pc blir plutselig bemerkelsesverdig treg, og det dukker opp flere mystiske prosesser i oppgavebehandlings-listen.
Først tenker han at det kan være flere grunner til dette. Likevel nevner Aleksandr Kongstad problemene for en venn på chatteprogrammet Discord, og han nevner i den forbindelsen ordet malware.
Og så går det helt galt.
– I samme øyeblikk går pc-en min amok. Jeg kan ikke gjøre noe som helst, og det går opp for meg at noe ikke er slik det skal være, så jeg slår av pc-en med en gang, forteller Alexander Kongslev.
Deretter går han stille og rolig i gang med å nullstille adgangskodene sine til diverse konti. I tillegg søker han hjelp online, og finner da også en amerikansk sikkerhetsfyr som mener at han kan hjelpe ham.
Men den kvelden da amerikaneren skulle have hjulpet til, tikker en Telegram-beskjed inn på Aleksandr Kongslevs smarttelefon.
«Wow, tror du at vi er svake? Du har leid en etterforsker ... nå dreper jeg deg, ok?» står det i beskjeden, etterfulgt av en russisk beskjed som bildet til høyre viser.
– Jeg blir redd, overnatter den natten hos foreldrene mine, og drar så til politistasjonen, men politiet vil ikke opprette en sak på det, sier Aleksandr Kongstad.
Det er i det hele tatt vanskelig å få folk til å forstå. Både politiet, Microsoft og vennene hans tror at han er sprø når han forteller hva som har skjedd.
Hvordan alle hans operativsystemer fra Android til iOS, Windows10 og Linux suksessivt bukker under for det han beskriver som ‘en avansert, personlig hacking’.
– Jeg forstår det ganske enkelt ikke. Jeg har ikke noen fiender som er i stand til noe slikt som dette. Og det begynte fjorten dager før kryptovaluta-tyveriet, så det var neppe bare for å stjele dem, sier Aleksandr Kongstad.
Han beskriver hvordan merkelige popups plager iPhonen hans, samt hvordan det ene virusprogrammet etter det andre hindres i å skanne både Windows -og Linuxenhetene hans.
Clean installs hjelper ikke, og de rootkit-detektorene som finner noe blir tvunget i kne.
Kan ikke starte forfra
– Jeg forstår godt at folk tviler, men jeg vet ganske enkelt ikke hva jeg skal gjøre. Dette er dessverre ikke noe som jeg bare finner på. Jeg er virkelig redd for å gå tilbake til å bruke online-tjenester, sier Aleksandr Kongstad, som ringer fra en 2G-telefon.
I flere omganger har han forsøkt å gjeninstallere systemene sine. Blant annet hentet han en ren Windows-versjon på en ny minnepinne hos romkameratens foreldre, men det hjalp overhodet ikke. De mystiske prosessene vendte tilbake, og en ny superadmin-bruker med navnet Trusted Installer måtte spørres om lov før han kunne foreta seg noe på Windows-enhetene sine.
På Linux oppstod det andre problemer, men det grunnleggende problemet var det samme. Mystiske prosesser dukket opp, og da rootkit-skanneren CHK Rootkit Scanner finner noe mistenkelig, blir enheten død.
Vanskelig å oppklare
Danske Version2 har tidligere beskrevet hvordan politiets verktøy for å oppklare it-kriminalitet er små og få, og i beste fall unøyaktige. Kryptowallet-systemet er enda vanskeligere å gjennomskue, siden det ikke er offentlig hvem som eier hvilken wallet.
Dermed blir det vanskeligere å følge pengestrømmen til de kriminelle.
Version2 har også tidligere nevnt at den serien som Aleksandr Kongstads ledger er en del av, tidligere har blitt kompromittert av en 15-årig gutt, og at selskapet i den forbindelsen brukte lang tid på å stenge sikkerhetshullet.
Skattejakt
Før Aleksandr Kongstad finner ut av hva som har rammet ham, er han nervøs for å være online.
Han har nå sendt en av de infiserte enhetene – en Lenovo Thinkpad – til Version2. Hvis det er noen sikkerhetsinteresserte lesere som mangler et sommerferieprosjekt, er de velkomne til å stikke innom adressen til Versjon2, og få et stykke malware og en kopp kaffe.
Hvis det er noe konkret å si om malwaren, skriver de gjerne en oppfølger.
Artikkelen er levert av Version2.dk