Как указано в Statement of Facts, Лихтенштейн и Морган использовали следующие методы отмыва:

- использование счетов, открытых на фиктивных лиц
- перемещение украденных средств небольшими суммами тысячами транзакций
- использование компьютерных программ для автоматизации транзакций
- “расслоение” украденных средств путем внесения их на счета различных бирж и рынков даркнета, а затем вывода средств, что скрывает историю транзакций, разбивая поток средств
- конвертация BTC в альтеркоины, включая крипту с повышенной анонимностью вроде Monero, с помощью chain hopping-а
- использование бизнес-аккаунтов в США для узаконивания деятельности

Выглядит супер надежно, не правда ли? Но как обычно, дьявол кроется в деталях.

В июле 2017 года в результате совместной операции “Bayonet” правоохранительные органы США, Канады и Таиланда закрыли крупнейший даркнет-рынок AlphaBay. Ранее наши герои пропустили через AlphaBay небольшой кусок краденного. Однако буквально за несколько месяцев до падения AlphaBay они вывели средства на 8 аккаунтов еще одной биржи (VCE 1). Они были зарегистрированы с использованием всего лишь двух индийский почтовых ящиков, а личности в этих аккаунтах подтверждены не были (помните KYC?). Доступы к этим учетным записям, конечно же, были с одних и тех же IP-адресов.

А далее присходит нечто, не подающееся логике. В результате небольшего peel chain-а краденное перемещается на несколько аккаунтов еще одних бирж. Но аккаунты уже зарегистрированы на имя Илюши Лихтенштейна с использование адресов почт, в которых содержится его имя. Одна из таких учетных записей была подтверждена фотографией водительских прав и селфаком Лихтенштейна. Другая же учетная запись использовалась для покупки золота за биток. Лихтенштейн (видимо, не долго думая) указал для доставки свой домашний адрес. Часть этих и других краденных средств упала на счета фирм, зарегистрированных на Лихтенштейна и Морган. Несколько из этих фирм были пустышками и не вели какой-либо деятельности. На личные аккаунты Морган (почта с именем и вот это вот все) прибыло тоже не мало краденного. И входы везде с одних нью-йоркских айпишничков. Ну не прелесть ли?

Безусловно, они привлекали внимание СБ бирж своими странными переводами и источниками такого дохода. Объясняли это они всегда по-разному.

“My boyfriend (now husband) gifted me cryptocurrency over several years (2014, 2015,), [sic] which have appreciated. I have been keeping them in cold storage.”

“SalesFolk has some B2B customers that pay with cryptocurrency. Additionally, I
also have some personal cryptocurrency of my own that I would like to sell to
finance the development of some new software that we are beginning to build.
Because the company is an LLC taxed as an S corp it has pass-through taxation and
I am the sole owner. I was going to use some of my personal crypto to fund out
new software projects.”

“Hi, I’m a tech entrepreneur and [BTC] early adopter since acquiring my first BTC in 2011. I’m looking to diversify a bit ahead of the ETF decision and sell about 100BTC. Please let me know the next steps to move forward. All trades I would execute are from my own personal funds, the LLC is simply there to manage my trading assets.”

И все в таком духе. Конечно, подтверждение их словам не находились и аккаунты со всеми средствами улетали в бан.

Еще один ляп был совершен, когда семейка Лихтенштейн-Морган решила отмыть краденное через подарочные карты различных популярных сервисов, используя при этом свои имена, почты и домашние адреса и заходя с IP-адреса, закрепленного за Лихтенштейном.

К одной из электронных почт было привязано облачное (sic!) хранилище, собственно, которое ФБР и изъяло. Однако значительная часть файлов была зашифрована. 31 января 2022 года правоохранительным органам-таки удалось расшифровать несколько ключевых файлов, содержащихся в учетной записи. В частности, там находился файл со списком всех адресов, которые непосредственно участвовали в краже, и соответствующих им приватные ключей. Используя эту информацию, правоохранительные органы изъяли оставшееся содержимое кошелька на общую сумму около 94 636 BTC, что по тем меркам составляло 3,629 миллиарда долларов и что позволило стать правительству США одним из крупнейших держателей криптовалюты, коим оно и остается, так как судебный процесс не завершен и Bitfinex еще не узаконил свои права на эти изъятые деньжища.

Помимо всего прочего это облачное хранилище содержало:

- таблицу с доступами ко всем биржам, которые фигурировали ранее;
- папку с именем “personas”, где хранились биографические данные и документы, удостоверяющие личность различных лиц;
- текстовый файл с именем «passport_ideas», который содержал ссылки на различных даркнет-продаванов, которые, по-видимому, предлагали паспорта или удостоверения личности для продажи;
- папку, содержащую файлы для многочисленных финансовых учреждений с примечаниями, которые, по-видимому, представляют собой разведку потенциальных путей отмывания денег, Альфа-банк там описывается как “sketchy Russian oligarch bank”.

В начале февраля 2022 года правоохранители таки получили ордер на арест Лихтенштейна и Морган. Многие издания почему-то пишут, что облако, о котором речь шла вверху, было изъято во время обыска, что в корне неверно. Оно как раз и послужило той последней каплей для выдачи ордера. Было изъято много ништяков: наличка в 40 тыс. долларов, одноразовые телефоны “burners”, кучу аппаратных кошельков и прочее.

Думаю, понятно, что компетенции Лихтенштейна и Хизер оставляют желать лучшего. Я даже искренне верю, что совершить непосредственно взлом самостоятельно они не могли. Но самое всратое тут вовсе не их способы отмыва, а творчество самой Хизер Морган aka Razzlekhan. Развидеть это будет сложно. Пожалуй, не буду делать обзор этого творчества, ибо у каждого своя доза Хизер Морган:

- https://www.youtube.com/watch?v=JmahJCWJ8iM (посмотри, вдруг полезно)
- https://www.tiktok.com/@realrazzlekhan
- https://www.youtube.com/channel/UCU6zQo1qSp2EeJ0uiaSPHYA
- https://twitter.com/HeatherReyhan
- https://www.forbes.com/sites/heathermorgan/

По правде говоря, у ребят был шанс стать теми, кем они хотели, если бы не пара неверных решений. И речь даже не об факапах в отмыве.

Что ж, ребята до сих пор сидят за решеткой и ждут вердикта суда.

Пишите свои выводы по истории, мне будет интересно услышать ваше мнение ⤵️

Со мной поделились интересной статьей Пездуза* про шахмантного психопата и его поиск. Материал скрасит ваш воскресный вечер, а если вы хотите потренироваться в расследованиях, то все необходимые начальные данные и ход мысли можно найти в статье.

https://пездуза.io/feature/2022/02/07/eto-pohozhe-na-krik-dushi-no-ya-ne-znayu-o-chem-on-krichit

*признано иноагентом

Продолжая тему девиантов (там есть мат, если кому-то это важно).

😵‍💫✅ Просто оставим это здесь на почитать:
🔗 https://telegra.ph/Otdel-po-borbe-s-kalom-pedofily-hakery-i-OSINT-07-25

🌐 Агрегатор утечек @data1eaks
Не протекайте, друзья 🖥💦

Холодные дела могут быть раскрыты спустя годы в связи с развитием технологий.
Это учит расследователей быть терпеливыми и не забрасывать старые дела.

Анализ ДНК позволил назвать возможную личность погибшего в деле Тамам Шуд.

https://www.cnn.com/2022/07/26/australia/australia-somerton-man-mystery-solved-claim-intl-hnk-dst/index.html

Знаете, что я заметила? Очень много контента в OSINT-сообществе это подборки инструментов, которыми вы никогда не будете пользоваться. Курсы по OSINT - это сплошь и рядом видеоинструкция к очередному глазу бога. Даже репостить особо нечего :с

Если вы вдруг видели этого человека, напишите мне asap и больше никому об этом не говорите 😅

К плохой шутке всегда даётся объяснение

Я тут осознала, что у меня много незаконченных проектов, а времени на них все меньше и меньше.
Поэтому я решила стать ментором для молодых прогеров и дать им возможность пополнить своё портфолио.

Темы, все подробности, а также форма для желающих:

https://forms.gle/zEvKjXDAyAXUYoAZA