美国起诉两名俄罗斯顶级黑客并对加密货币交易所实施制裁

美国26号公布了对Joker's Stash涉嫌东主的制裁和起诉，这是一家现已倒闭的网络犯罪商店，贩卖了过去十年来数起最大的数据泄露事件中被盗的数千万张支付卡。

美国政府还起诉并制裁了俄罗斯顶级网络罪犯Taleon，他的加密货币交易所Cryptex已发展成为俄罗斯最活跃的洗钱网络之一。

这是 2016 年 Joker's Stash 主页的屏幕截图。链接已被删除。

美国司法部( DOJ) 公布了对一名来自俄罗斯新西伯利亚的 38 岁男子的起诉书，指控其经营 Joker's Stash，这是一家非常成功的信用卡商店，于 2014 年底上线。

Joker's 出售的信用卡被美国零售商不断盗取，包括Saks Fifth Avenue、Lord and Taylor、  Bebe Stores、 希尔顿酒店、  Jason's Deli、  Whole Foods、  Chipotle、  Wawa、  Sonic Drive-In、  Hy-Vee 连锁超市、  Buca Di Beppo和 Dickey's BBQ。

政府认为，Joker's Stash 的幕后策划者是Timur Kamilevich Shakhmametov，俄罗斯的公司注册文件中列出的此人是Arpa Plus的所有者，这是一家位于新西伯利亚的手机游戏制作公司。

在其职业生涯早期（大约 2000 年），Shakhmametov 被称为“ v1pee ”，并且是俄罗斯黑客组织nerf[.]ru的创始人，该组织定期发布黑客工具和软件漏洞利用程序。

俄罗斯黑客组织 Nerf 在 2006 年 3 月俄罗斯黑客杂志 xakep.ru 的一篇文章中有所描述。

到 2004 年，v1pee在俄语专属黑客论坛Mazafaka上采用了“ Vega ”的绰号，该用户成为被盗支付卡最可靠的供应商之一。

在随后的几年里，Vega 在其他论坛上巩固了自己作为顶级卡片玩家的声誉，包括Verified、DirectConnection和Carder[.]pro。

Vega还因熟悉“无限套现”活动而出名。“无限套现”是一场全球协调的网络犯罪，犯罪分子会入侵银行或支付卡处理器，然后在自动取款机上使用克隆卡，在短短几个小时内迅速套取数百万美元。

2012 年 12 月，Vega在给 Verified 上另一位用户的私信中写道：“你好，d+p，unlimited 上有工作。”他指的是“dumps and PINs”，这是一个俚语，指的是被盗的借记卡，以及允许在 ATM 机上提款的相应 PIN。

这批约 500 万张卡片于 2017 年 9 月 26 日在现已不复存在的卡片网站 Joker's Stash 上出售，这与 Sonic Drive-In 的违规行为有关。

Joker's Stash 是在Target和Home Depot等零售商发生多起大规模信用卡泄露事件后上线的，由此导致的库存过剩压低了被盗卡的价格。但 Joker's 的特色是迎合豪赌客——本质上是美国街头帮派，他们会一次性购买数千张被盗支付卡。

面对买方市场，Joker's Stash 通过专注于忠诚度计划、常客折扣、退款保证和优质的客户服务脱颖而出。大手笔消费的顾客可以使用最新破解的支付卡，如果发现卡有问题，还可以免费更换。

Joker's Stash 的独特之处还在于，它声称只销售黑客直接从商家那里窃取的支付卡。当时，卡店通常会转售由许多可靠性或声誉不明的第三方黑客窃取和提供的支付卡。

2021 年 1 月，在欧洲当局查封了这家欺诈商店的多台服务器且其所有者感染冠状病毒之后， Joker's Stash宣布关闭店铺。

美国司法部在一份声明中赞扬了美国特勤局领导的长达数年的调查（特勤局最初的任务不是保护总统，而是追捕造假者，而现代造假者绝对符合这一要求）。检察官指控 Joker's Stash 的收入至少为 2.8 亿美元，但可能超过 10 亿美元（这一数字范围很大，这是由多种变量造成的，包括比特币价格的快速波动以及他们兜售的赃物）。

Joker's Stash 的所有人可能已经出售了数千万张被盗的支付卡，但塔利昂是这次执法行动中最大的黑手，因为据称，在过去 20 年里，他通过各种加密货币和现金交易所帮助将数十亿美元转入和转出俄罗斯。

公布的起诉书显示，塔莱恩的真名是谢尔盖·谢尔盖耶维奇·伊万诺夫，现年 44 岁，俄罗斯圣彼得堡人。政府称，伊万诺夫可能曾将自己的姓氏从奥梅利尼茨基改成其他姓氏，他为 Joker's Stash 和许多其他网络犯罪商店洗钱。

美国财政部在一份声明中表示，在过去约 20 年的时间里，伊万诺夫为勒索软件参与者、初始访问经纪人、暗网市场供应商和其他犯罪行为者洗钱了价值数亿美元的虚拟货币。

塔莱昂于 21 世纪初首次出现在马扎法卡，在论坛上以能够可靠地转移大量现金而闻名。熟悉调查的消息人士称，在 2022 年 2 月俄罗斯入侵乌克兰后，塔莱昂的服务成为少数仍在运营的国内现金运送服务之一。

塔莱恩建立他的服务是为了促进莫斯科、圣彼得堡和西方金融机构之间的转账。多年来，塔莱恩在一些黑客论坛上的私人消息已被泄露，并被网络情报平台Intel 471编入索引。这些消息表明，塔莱恩与维加斯一样，在许多相同的 ATM 取款机上工作，因此很明显，这两家公司在 Joker's Stash 成立之前就已经建立了业务关系。

2013 年左右，Taleon 与一家名为pm2btc[.]me 的汇款公司建立了合作伙伴关系。PM2BTC 允许客户将虚拟货币Perfect Money (PM) 中的资金转换为比特币，然后将余额（减去手续费）存入实体借记卡，可在 ATM 机、网上购物或零售店使用。

评论 PM2BTC 的网站截图。

2013 年，美国司法部对当时最大的虚拟货币之一Liberty Reserve的所有者提出洗钱指控，随后美国政府亲自为 Taleon 刚刚起步的加密货币交易业务启动了程序。Liberty Reserve 被各种网络犯罪分子广泛使用。政府表示，该服务在全球拥有超过一百万用户，洗钱金额超过 60 亿美元。

在 Liberty Reserve 被关闭后的几天里，KrebsOnSecurity发表了一篇文章，探讨了俄罗斯多个顶级网络犯罪论坛上关于犯罪分子可以在哪里安全存放被盗资金的讨论。答案涉及比特币，也涉及 Taleon 的新服务。

Taleon 交易所的吸引力之一在于，它为经过审查的客户提供“应用程序编程接口”或API，这使得销售赃物和网络犯罪服务的不正当网上商店可以轻松地接受来自客户的加密货币存款，并管理对任何供应商和附属公司的付款。

该 API 与 Taleon 及其朋友在后台运营的服务UAPS同义，UAPS 是“通用匿名支付系统”的缩写。UAPS 有过几个其他名称，包括“ Pinpays ”，2014 年 10 月，Joker's Stash 成为其第一个大客户。

一位了解调查情况的消息人士告诉 KrebsOnSecurity，塔利昂是一名飞行员，他拥有自己的直升机并驾驶它四处飞行。

伊万诺夫似乎很少在社交媒体上露面，但与他一起住在圣彼得堡的 40 岁女子却有，她的 Vktontake 页面上有一张照片，显示他们两人于 2019 年飞越拉多加湖，那是圣彼得堡正北的一片大水域。

2019 年，谢尔盖·“塔莱昂”·伊万诺夫 (Sergey “Taleon” Ivanov) (右) 与同居女子乘坐直升机飞越俄罗斯圣彼得堡北部的一个湖泊。

2015 年末，Joker's Stash 出现了一个主要竞争对手，它使用 UAPS 进行后端支付：BriansClub。BriansClub玷污了作者的姓名、照片和声誉，以兜售从美国和世界各地商家窃取的数百万张信用卡和借记卡。

多年来，BriansClub 的广告一直使用我的姓名和肖像来兜售数百万张被盗的信用卡。

2019 年，有人入侵了 BriansClub，从这家诈骗商店窃取了超过 2600 万张被盗支付卡，估计占当时所有地下商店在售的 8700 万张支付卡账户的三分之一。一位匿名人士与 KrebsOnSecurity 分享了这些卡数据，后者最终将这些数据分享给了发行大多数卡的金融机构财团。

该事件之后，BriansClub 的管理员更改了网站的登录页面，在其中显示了我的电话账单、社保卡的副本以及我的完整信用报告的链接（直到今天，随机的网络犯罪分子仍会将我本人与 BriansClub 的所有者混淆）。

亚历克斯·霍尔登 (Alex Holden)是总部位于密尔沃基的网络安全公司Hold Security的创始人。霍尔登长期关注着 BriansClub 的加密货币交易。

霍尔顿表示，这些记录显示，BriansClub 每天出售价值数万美元的被盗信用卡，仅在过去两年内，BriansClub 管理员就从 UAPS 平台上拿走了 价值超过 2.42 亿美元的加密货币收入。

BriansClub 登录页面，从 2019 年底到最近的样子。

被动域名系统 (DNS) 记录显示，BriansClub 在早期与少数其他域名共享位于立陶宛的服务器，其中包括secure.pinpays[.]com 、犯罪论坛 Verified 以及以Rescator为名运营的大量信用卡欺诈商店。

正如 KrebsOnSecurity在 2023 年 12 月所详述的那样，Rescator 商店直接参与了过去十年中一些最大的支付卡泄露事件。其中包括2013 年Target的泄露事件和2014 年Home Depot的泄露事件，这些入侵事件暴露了超过 1 亿条支付卡记录。

2018 年初，Taleon 和 UAPS 的所有者推出了一个名为Cryptex[.]net的加密货币交易所，该交易所已成为非法加密货币的主要推动者。

Taleon 提醒 UAPS 客户，他们将在我们的交易所 Cryptex 上享受 0% 佣金，并且无需“了解你的客户”（KYC）要求。

Cryptex 与多起勒索软件交易有关，其中包括迄今为止已知的最大一笔勒索软件支付。2024 年 2 月，财富 50 强勒索软件的一名受害者向一个自称“黑暗天使”的俄罗斯网络犯罪组织支付了创纪录的 7500 万美元赎金。一位了解调查情况的消息人士表示，对这笔支付的分析显示，其中大约一半是通过 Cryptex 处理的。

该消息来源提供了Chainalysis查看的 Cryptex 发送和接收曝光的屏幕截图，美国政府和许多加密货币交易所都依赖这家公司来标记与涉嫌洗钱、勒索软件支付或为暗网网站提供支付便利有关的交易。

Chainalysis 发现，自成立以来，Cryptex 已收到超过 16 亿美元的资金，这一金额大致相当于其发送敞口（尽管流出总额几乎是流入总额的一半）。

图表显示，流入 Cryptex 的大量资金（约占四分之一）来自世界各地的比特币 ATM。专家表示，流入 Cryptex 的 ATM 资金大部分来自 BriansClub 和 Jokers Stash 等信用卡网站的客户的比特币 ATM 现金存款。

Chainalysis 对 Cryptex 自 2018 年该交易所成立以来的非法活动总结的截图。

发布的起诉书并未明确将 Taleon 与 Cryptex 联系起来。然而，PM2BTC（与 Taleon 联手推出 UAPS 和 Pinpays）和 Cryptex现已受到美国财政部的制裁。

美国财政部金融犯罪执法网络(FinCEN) 根据《打击俄罗斯洗钱法》中强有力的新“第 9714 条”权力对 PM2BTC 实施了制裁，该法案于 2022 年颁布，旨在更容易地瞄准参与为俄罗斯洗钱的金融实体。

去年，财政部首次使用这一权力打击了Bitzlato，这是一家在俄罗斯运营的加密货币交易所，成为勒索软件攻击者和黑市交易商的洗钱渠道。

对 UAPS 和 Cryptex 背后的公司实体的调查显示，一家名为Orbest Investments LP的组织于 2012 年在苏格兰注册成立。英国商业注册记录显示，Orbest Investments 的所有者是两个实体：CS Proxy Solutions CY和RM Everton Ltd。

公共商业记录进一步显示，CS Proxy Solutions 和 RM Everton 是Progate Solutions的共同所有者，这是一家控股公司，在Bellingcat 和透明国际(PDF) 于 2017 年 6 月发布的有关与克里姆林宫有关的洗钱网络的报告中占据突出地位。

联合报告称：“执法机构认为，通过这一过程洗钱的总额可能高达 800 亿美元。虽然尚不清楚这些钱的来源，但调查人员声称，其中包括大量从俄罗斯国库和国家合同中挪用的资金。”

他们的故事以有组织犯罪和腐败项目(OCCRP) 和新报于当年早些时候发表的报道为基础，该报道发现，2010 年至 2014 年间，至少有 208 亿美元通过一个由 5,000 多个法人实体组成的庞大洗钱机器被秘密转移出俄罗斯，该机器被称为“洗钱店”。

图片：occrp.org

OCCRP 报告解释道：“在高管拒绝透露姓名后，记者利用公司记录追踪到了一些客户的名字。他们发现，该计划的重度使用者是俄罗斯的富人和权贵，他们通过与俄罗斯政府打交道发家致富。”

里奇·桑德斯 (Rich Sanders)是一名区块链分析师和调查员，为执法和情报部门提供咨询。桑德斯刚刚结束了为期三周的乌克兰之行，他与乌克兰士兵一起旅行，同时调查了俄罗斯一些可疑加密货币交易所，这些交易所正在为该地区的贩毒网络洗钱。桑德斯表示，美国财政部的制裁可能会对 Cryptex 及其客户产生直接影响。

“每当一个实体受到制裁时，对链的影响都是巨大的，”桑德斯告诉 KrebsOnSecurity。“无论交易所是否真正合规或只是装模作样，交易所都会关注这些制裁。”

“这一行动表明，这些非法平台的支付处理器最终会受到关注，”桑德斯继续说道。“即使在这起案件中花了太长时间，Cryptex 也知道他们的大部分交易量存在问题，也知道为什么存在问题，但他们还是这么做了。这应该给其他交易所敲响警钟，它们完全知道他们的大部分交易量存在问题。”

美国国务院将为每人提供高达 1000 万美元的奖励，以奖励提供线索，帮助逮捕和/或定罪 Shakhmametov 和 Ivanov。国务院公告称，将为每人提供高达 100 万美元的奖励，以奖励提供线索，帮助识别 Joker's Stash 犯罪市场的其他领导人（Shakhmametov 除外），以及识别 UAPS、PM2BTC 和 PinPays 跨国犯罪集团的其他主要领导人（Ivanov 除外）。

原文始发于微信公众号（网络研究观）：美国起诉两名俄罗斯顶级黑客并对加密货币交易所实施制裁