Historien om det betydelige kryptovaluta-tyveri starter for et par måneder siden, hvor den sygeplejestuderende Aleksandr Kongstad fra Randers oplever en lang række mystiske og chikanerende hændelser på flere af hans digitale enheder.
Derfor beslutter han sig for fuldstændig at holde sig fra nettet, og for at få et nyt mobilnummer. På den måde kan chikanen ikke fortsætte, tænker han. Det eneste der stadig foregår online, er hans kryptovaluta-trading.
For hans trader-setup med en Ledger-wallet, der fungerer som en form for fysisk sikkerhed i et ellers digitalt system, er sikkert.
Det må det være.
Ledger praler nemlig med deres sikkerhed, og præcis hvordan den bliver knækket eller omgået, aner Aleksandr Kongstad ikke. Men pludselig vælter hans 60.000 Genaro X, en af de mindre kryptovalutaer, ud af hans wallet. Fra det ene øjeblik til det andet er han omkring 130.000 kroner fattigere.
Aleksandr kan bare se til, idet hans opsparing ryger fra den ene nyoprettede wallet til den anden for at ende i hvad der ligner en samlingswallet for adskillige andre. Den kriminelle slutwallet var aktiv så sent som i nat, og der er i alt sket 75.000 overførsler til og fra den, siden den blev oprettet.
I skrivende stund indeholder den kriminelle wallet for godt 15.000.000 kroners kryptovaluta.
På grund af måden, kryptovalutaerne er bygget op på kan man se alle transaktionerne, samt hvilken wallet, de sker til. Til gengæld er det umuligt at vide, hvem der egentlig står bag de mange wallets og to af mellemstationerne er helt åbenlyst oprettet med ét formål;
At flytte Aleksandr Kongstads opsparing i Genaro X til en anden wallet. De to mellemstationer er hverken blevet brugt før eller efter den dag, Aleksandr mister sine kryptovaluta.
Politiet nægter i første omgang overhovedet at oprette en sag på det, men baggrundshistorien er også noget ekstrem, indrømmer Aleksandr Kongstad.
Noget er helt galt
For hvad der skulle ende med et kæmpetyveri af private kryptovaluta starter med en række mærkelige hændelser en sen aften i maj. Den studerende Aleksandr Kongstads gamercomputer kører pludselig bemærkelsesværdigt langsomt, og der dukker flere mystiske processer op i joblisten.
Først tænker han, at det kan der være flere grunde til. Alligevel nævner Aleksandr Kongstad problemerne over for en ven på chatprogrammet Discord, og han nævner i den forbindelse ordet malware.
Og så går det helt galt.
»I det øjeblik gør min computer amok. Jeg kan ikke gøre noget som helst, og det går op for mig, at noget ikke er som, det skal være, så jeg slukker computeren med det samme,« fortæller Alexandr Kongstad.
Herefter går han i gang med, stille og roligt, at nulstille hans adgangskoder til diverse konti. Derudover søger han hjælp online, og finder da også en amerikansk sikkerhedsmand der mener, han kan hjælpe ham.
Men den aften, amerikaneren ellers skulle have hjulpet, tikker en Telegram-besked ind på Aleksandr Kongstads smartphone.
»Wow, tror du vi er svage? Du har hyret en efterforsker...nu tager jeg dit liv, ok?« står der i beskeden, efterfulgt af en russisk besked, som billedet til højre viser.
»Jeg bliver bange, overnatter den nat hos mine forældre og tager så op på politistationen, men politiet vil ikke oprette en sag på det,« siger Aleksandr Kongstad.
Det er i det hele taget svært at få folk til at lytte. Både politiet, Microsoft og hans venner tror, han er skør når han fortæller om, hvad der er sket.
Hvordan alle hans styresystemer fra Android til iOS, Windows10 og Linux ét efter et bukker under for hvad han beskriver som ‘et avanceret, personligt hack’.
»Jeg forstår det bare ikke. Jeg har ikke nogle fjender der er i stand til sådan noget her. Og det starter fjorten dage inden kryptovaluta-tyveriet, så det var næppe kun for at stjæle dem,« siger Aleksandr Kongstad.
Han beskriver, hvordan mærkelige popups plager hans iPhone, samt hvordan det ene virusprogram efter det andet forhindres i at scanne dels hans Windows -og Linuxenheder.
Clean installs hjælper ikke, og de rootkit-finders, der finder noget, bliver tvunget i knæ.
Kan ikke starte forfra
»Jeg forstår godt folks tvivl, men jeg ved simpelthen ikke, hvad jeg skal gøre. Det her er desværre ikke bare noget, jeg finder på. Jeg er virkelig bange for at gå tilbage til at bruge online services,« siger Aleksandr Kongstad, der ringer fra en 2G-telefon.
I flere omgange har han forsøgt at geninstallere hans systemer. Blandt andet hentede han et rent windows-billede på en ny usb-stik hos hans roomie’s forældre, men lige meget hjalp det. De mystiske processer vendte tilbage, og en ny superadmin-bruger under navnet Trusted Installer skulle spørges om lov, før han kunne gøre noget på hans Windows-enheder.
På Linux opstod der andre problemer, men det grundlæggende problem var det samme. Mystiske processer dukkede op, og da rootkitscanneren CHK Rootkit Scanner finder noget mistænkeligt, går enheden død.
Svært at opklare
Version2 har tidligere beskrevet, hvordan politiets værktøjer til at opklare it-kriminalitet er små og få og i bedste fald upræcise. Kryptowallet-systemet er endnu sværere at gennemskue idet det ikke er offentligt, hvem der ejer hvilken wallet.
Dermed er det sværere at følge pengestrømmen til den kriminelle.
Version2 har også tidligere nævnt, at den serie, som Aleksandr Kongstads ledger er en del af før er blevet kompromitteret af en 15-årig dreng og at selskabet i den forbindelse var lang tid om at lukke sikkerhedshullet.
Skattejagt
Indtil Aleksandr Kongstad finder ud af, hvad der har ramt ham er han nervøs for at bevæge sig online.
Han har nu sendt en af de inficerede enheder, en Lenovo Thinkpad, til Version2. Hvis der er nogle sikkerhedsinteresserede læsere, der mangler et sommerferieprojekt, er de velkomne til at komme forbi vores adresse til et stykke malware og en kop kaffe.
Hvis der er noget konkret at sige om malwaren, skriver vi gerne en opfølger.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
