Dansk trader lænset for 130.000 kroners kryptovaluta af ukendte hackere

Illustration: LightField Studios/Bigstock
En ung trader fra Randers mærkede konsekvensen af at ligge inde med en større mængde kryptovaluta på egen krop.

Historien om det betydelige kryptovaluta-tyveri starter for et par måneder siden, hvor den sygeplejestuderende Aleksandr Kongstad fra Randers oplever en lang række mystiske og chikanerende hændelser på flere af hans digitale enheder.

Derfor beslutter han sig for fuldstændig at holde sig fra nettet, og for at få et nyt mobilnummer. På den måde kan chikanen ikke fortsætte, tænker han. Det eneste der stadig foregår online, er hans kryptovaluta-trading.

For hans trader-setup med en Ledger-wallet, der fungerer som en form for fysisk sikkerhed i et ellers digitalt system, er sikkert.

Det må det være.

Ledger praler nemlig med deres sikkerhed, og præcis hvordan den bliver knækket eller omgået, aner Aleksandr Kongstad ikke. Men pludselig vælter hans 60.000 Genaro X, en af de mindre kryptovalutaer, ud af hans wallet. Fra det ene øjeblik til det andet er han omkring 130.000 kroner fattigere.

Aleksandr kan bare se til, idet hans opsparing ryger fra den ene nyoprettede wallet til den anden for at ende i hvad der ligner en samlingswallet for adskillige andre. Den kriminelle slutwallet var aktiv så sent som i nat, og der er i alt sket 75.000 overførsler til og fra den, siden den blev oprettet.

I skrivende stund indeholder den kriminelle wallet for godt 15.000.000 kroners kryptovaluta.

På grund af måden, kryptovalutaerne er bygget op på kan man se alle transaktionerne, samt hvilken wallet, de sker til. Til gengæld er det umuligt at vide, hvem der egentlig står bag de mange wallets og to af mellemstationerne er helt åbenlyst oprettet med ét formål;

Den sidste af de to 'mellemstationer' mellem Aleksandr Kongstads og angribernes wallet Illustration: Screendump

At flytte Aleksandr Kongstads opsparing i Genaro X til en anden wallet. De to mellemstationer er hverken blevet brugt før eller efter den dag, Aleksandr mister sine kryptovaluta.

Politiet nægter i første omgang overhovedet at oprette en sag på det, men baggrundshistorien er også noget ekstrem, indrømmer Aleksandr Kongstad.

Noget er helt galt

For hvad der skulle ende med et kæmpetyveri af private kryptovaluta starter med en række mærkelige hændelser en sen aften i maj. Den studerende Aleksandr Kongstads gamercomputer kører pludselig bemærkelsesværdigt langsomt, og der dukker flere mystiske processer op i joblisten.

Først tænker han, at det kan der være flere grunde til. Alligevel nævner Aleksandr Kongstad problemerne over for en ven på chatprogrammet Discord, og han nævner i den forbindelse ordet malware.

Og så går det helt galt.

»I det øjeblik gør min computer amok. Jeg kan ikke gøre noget som helst, og det går op for mig, at noget ikke er som, det skal være, så jeg slukker computeren med det samme,« fortæller Alexandr Kongstad.

Herefter går han i gang med, stille og roligt, at nulstille hans adgangskoder til diverse konti. Derudover søger han hjælp online, og finder da også en amerikansk sikkerhedsmand der mener, han kan hjælpe ham.

Men den aften, amerikaneren ellers skulle have hjulpet, tikker en Telegram-besked ind på Aleksandr Kongstads smartphone.

Illustration: Aleksandr Kongstad

»Wow, tror du vi er svage? Du har hyret en efterforsker...nu tager jeg dit liv, ok?« står der i beskeden, efterfulgt af en russisk besked, som billedet til højre viser.

»Jeg bliver bange, overnatter den nat hos mine forældre og tager så op på politistationen, men politiet vil ikke oprette en sag på det,« siger Aleksandr Kongstad.

Det er i det hele taget svært at få folk til at lytte. Både politiet, Microsoft og hans venner tror, han er skør når han fortæller om, hvad der er sket.

Hvordan alle hans styresystemer fra Android til iOS, Windows10 og Linux ét efter et bukker under for hvad han beskriver som ‘et avanceret, personligt hack’.

»Jeg forstår det bare ikke. Jeg har ikke nogle fjender der er i stand til sådan noget her. Og det starter fjorten dage inden kryptovaluta-tyveriet, så det var næppe kun for at stjæle dem,« siger Aleksandr Kongstad.

Han beskriver, hvordan mærkelige popups plager hans iPhone, samt hvordan det ene virusprogram efter det andet forhindres i at scanne dels hans Windows -og Linuxenheder.

Clean installs hjælper ikke, og de rootkit-finders, der finder noget, bliver tvunget i knæ.

Kan ikke starte forfra

»Jeg forstår godt folks tvivl, men jeg ved simpelthen ikke, hvad jeg skal gøre. Det her er desværre ikke bare noget, jeg finder på. Jeg er virkelig bange for at gå tilbage til at bruge online services,« siger Aleksandr Kongstad, der ringer fra en 2G-telefon.

I flere omgange har han forsøgt at geninstallere hans systemer. Blandt andet hentede han et rent windows-billede på en ny usb-stik hos hans roomie’s forældre, men lige meget hjalp det. De mystiske processer vendte tilbage, og en ny superadmin-bruger under navnet Trusted Installer skulle spørges om lov, før han kunne gøre noget på hans Windows-enheder.

På Linux opstod der andre problemer, men det grundlæggende problem var det samme. Mystiske processer dukkede op, og da rootkitscanneren CHK Rootkit Scanner finder noget mistænkeligt, går enheden død.

Svært at opklare

Version2 har tidligere beskrevet, hvordan politiets værktøjer til at opklare it-kriminalitet er små og få og i bedste fald upræcise. Kryptowallet-systemet er endnu sværere at gennemskue idet det ikke er offentligt, hvem der ejer hvilken wallet.

Dermed er det sværere at følge pengestrømmen til den kriminelle.

Version2 har også tidligere nævnt, at den serie, som Aleksandr Kongstads ledger er en del af før er blevet kompromitteret af en 15-årig dreng og at selskabet i den forbindelse var lang tid om at lukke sikkerhedshullet.

Skattejagt

Indtil Aleksandr Kongstad finder ud af, hvad der har ramt ham er han nervøs for at bevæge sig online.

Han har nu sendt en af de inficerede enheder, en Lenovo Thinkpad, til Version2. Hvis der er nogle sikkerhedsinteresserede læsere, der mangler et sommerferieprojekt, er de velkomne til at komme forbi vores adresse til et stykke malware og en kop kaffe.

Hvis der er noget konkret at sige om malwaren, skriver vi gerne en opfølger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (39)
Caspar Hansen

1) Du skal have haft fysisk adgang til devices for at lave det som er beskrevet.

2) Det er ikke en Russisk kriminel, der har skrevet beskeden, men en dansker i aldersgruppen 16-25 år. Udstyret med Google Translate og Danglish. Derefter fjernet et par ord så det lignede en Russer. Desuden ville emoticon signatur være et helt andet, hvis det var en Russisk Patriotisk Hacker.

3) Tvivler på at en Russisk kriminel hacker på det niveau ville bruge tid på det dramatiske plot, der minder om en genindspilning af The Net. Han ville have travlt med at lave SWIFT transaktioner mellem Danske Bank og Cayman Islands.

Henrik Madsen

Hvilken Politikreds nægter at oprette en sag?

Svaret må nok her være "En hvilken som helst"

Det er mit indtryk, både efter personligt at have haft forbindelse med politiet og efterfølgende, efter at have snakket med andre, at politiet MEGET gerne vil have dig til IKKE at anmelde "småting", specielt hvis det er ting de godt ved der er meget lille chance for at de nogensinde opklarer.

Mit bud er at det er manglende ressourcer samt et ønske om at få statistikkerne til at se så pæne ud som muligt, at man helst ikke gider disse sager.

Tom Paamand

Det er ikke en Russisk kriminel, der har skrevet beskeden

Never underestimate your opponents, kan det russiske Никогда не недооценивайте своих оппонентов mekanisk oversættes til - for ordene er tydeligvis hentet herfra. Sådant russisk miskmask fra Google Translate kan fuldt overbevise fx USAs regering, men Aleksandr Kongslev bør nok være lidt mere kritisk indstillet. Den tyvagtige listetyv kan snarere findes i hans eget nabolag, end langt mod Øst.

Michael Fjeldsted

nu er 130.000 kroner ikke en lille sag

For 4 år siden var 100.000 grænsen for hvornår politiet ville bruge tid.
https://www.b.dk/nationalt/minister-bekraefter-politiet-efterforsker-ikk...
Siden da har vi haft angrebet på krydttønnen som har givet en masse bevogtningsopgaver i København. Derudover en ny regering med DF som støtteparti, så Politiet nu også har vigtige bevogtningsopgaver ved grænsen til Tyskland.
Så at tro Politiet her i 2018 har resourcer til at efterforske 130.000kr, endda i en valuta der ikke er en "rigtig" valuta er nok en lille smule til den optimistiske side.

Henrik Madsen

Henrik, der sker meget lort i det danske Politi, men om det er dit Spiderman Special Edition eller 130.000 kroner i en fantasi-valuta, der er nakket. De modtager vel anmeldelsen, for blot at henlægge den.

Som nævnt tidligere er det mit indtryk at man nødigt laver en sag ud af noget som man ved, ender uden en opklarelse, alene af den grund at man ønsker at opklarings statistikken skal se så fin som muligt ud.

Hvis nogen har stjålet mit spiderman, special edition, så mangler jeg fysisk mit spiderman special edition.

Hvis nogen lænser min konto for 130.000 Kr, så vil jeg i første omgang henvende mig hos min bank, som så fører pengene tilbage på min konto og så er det vel banken som anmelder tyveriet.

At en privatmand tropper op hos politiet og siger "Jeg havde 130.000 i en valuta som den danske stat ikke anerkender som en valuta som er forsvundet" vil jeg antage vil gøre politiet lidt mindre villige til at begynde at skrive rapport.

Caspar Hansen

Michael og Henrik, måske har I ret. Men I stedet for at vi spekulerer i hvorfor Politiet nægter at modtage en anmeldelse i en tyverisag, hvilket vel er i strid med loven?? (Retspleje - jurister til stede??) skulle Version 2 efterforske det.

Igen, hele historien, de fremlagte beviser, og sagen virker konstrueret, jo mere man ser på det.

Peter Tagesen

Både Android (telefon, formoder jeg), iphone, win10 og linux blev en for en lukket ned af en hacker?

Ej. Den historie er simpelthen for tyk. Der er en, der er gået retro og har set en halvslatten hackerthriller fra 90erne på en solid svamp!

Hans Nielsen

Start med at lave et image af HD, med hensyn til bios. Hvis man ikke vil lodde kredsene af på mobo, kan det være svært at tage fat i et "system" som er overtaget. Især hvis man gerne vil have en kopi af virus til test.

Men man kunne forsøge at boot med flash værktøj, også hente bios ud. Man har dog så samtidigt været forbi det inficeret system.

Men hvis den bios man henter ud ikke ligner nogle officielle version, så er det jo bevis på at bios er inficeret eller er defekt.

Hans Nielsen

Hvis Politiet senere skal bruge Lenovo som bevismateriale, skal man ikke røre den.


De har vist opgivet, eller starter slet ikke ?
Ville som jeg forstod det af historien, nærmest ikke modtage en anmeldelser.

Men må ellers formode at en virus der kan angribe Lenovo., som findes i mange offentlige institutioner, ville være noget man gad se på. Men virus er sikkert deres egne, eller fra en gammel allieret.

Man må også tænke på, de får kun yderlige 1.5 milliarder, der skal også være penge til Søndagsåbning. Sådan noget virus, på en simpel laptop der kun bruges af nogle meget "få" , det kan de slet ikke bruge tid på.

Martin Eriksen
Thomas Graungaard

I skrivende stund indeholder den kriminelle wallet for godt 15.000.000 kroners kryptovaluta.

På grund af måden, kryptovalutaerne er bygget op på kan man se alle transaktionerne

Den "kriminelle wallet" tilhører HitBTC, en helt legitum crypto-exchange, derfor det store beløb (p.t. ca. $48 millioner), i mere end 200 forskellige crypto-valutaer.

Mit gæt er at de 4 addresser som tokens har været i gennem er:
Aleksandr's wallet
-> Den kriminelle's "private" wallet
-> Den kriminelle's wallet på HitBTC
-> HitBTC's hot wallet

Caspar Hansen

-> Den kriminelle's wallet på HitBTC

Nu kommer det rigtigt sjove. Alexandr har en konto på HitBTC

Det er uetisk, men jeg checkede det op mod Alexandrs e-mail fra cvr.dk

Da Alexandr er-off-the-grid er det harmløst.


An email has been sent to alXXXXXXXe@gmail.com

It includes information on changing
and confirming your new password.

Please reset your password within
the next 1 hour.


Der er masser af crypto wallets og markeder. Sjovt sammenfald at forbryder og offer bruger den samme.

Især da HitBTC IKKE er et foretrukket marked/wallet blandt russiske IT-kriminelle.

Hvis jeg sad i Politiet, ville jeg undersøge HitBTC sporret. Der skal verifikation til ved visse typer konti/transaktioner. Med pas, etc.

Arne Skov

Bestemt underholdende historie. Er den korrekte betegnelse scam, hoax eller fake news? At hverken journalisten eller kilden blander sig i debatten virker meget mistænkeligt. Eller er det et forsøg på at få afdækket hvor fantasifulde vi er med hensyn til diverse sikkerhedsscenarier?
Så vil jeg da godt bidrage: TCPfilter på en router kan godt udskifte diverse http adresser - jeg har ikke hørt om eksempler som dette, men hvorfor ikke. Mere om TCPfilter: http://www.okedb.dk/2018/06/10/mere-om-vpnfilter-routerangrebet/

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder