Areszt wobec Tomasza T. – podejrzanego o 181 przestępstw związanych z rozsyłaniem złośliwego oprogramowania.
Data ostatniej aktualizacji: 2018-03-16
Prokuratura Okręgowa w Warszawie wspólnie Komendą Rejonową Policji Warszawa II oraz Biurem do Walki z Cyberprzestępczością Komendy Głównej Policji prowadzi śledztwo dotyczące szeregu oszustw komputerowych, rozsyłania złośliwego oprogramowania, włamań na konta pocztowe, podszywania się pod osoby fizyczne, a także prania brudnych pieniędzy uzyskanych z przestępstw, o których mowa wyżej. Śledztwo obejmuje przestępstwa popełnianie w okresie od 2013 do 2018 r. na szkodę kilku tysięcy użytkowników komputerów korzystających z możliwości jakie daje Internet (opłacanie rachunków, komunikowanie się za pośrednictwem poczty e-mail).
Intensywna praca prokuratora z Prokuratury Okręgowej w Warszawie, policjantów z Komendy Rejonowej Policji Warszawa II oraz Biura do Walki z Cyberprzestępczością KGP pozwoliły na zatrzymanie sprawcy przestępstw, a także ustalenie i wytypowanie osób które miały związek z jego przestępczą działalnością bądź odniosły z niej zysk.
W dniu 14 marca 2018 r. funkcjonariusze Wydziału Operacyjnego Biura do Walki z Cyberprzestępczością KGP przy udziale policjantów z Komendy Wojewódzkiej Policji w Opolu zatrzymali Tomasza T. - obywatela Polski, mieszkającego na stałe w Belgii (znanego jako Thomas lub Armaged0n) odpowiedzialnego za dokonywanie ataków DDOS, rozsyłanie złośliwego oprogramowania przejmującego kontrolę nad zainfekowanymi komputerami lub szyfrującego zawarte na nich pliki.
Ponadto, mając na uwadze poczynione w toku śledztwa ustalenia, iż Tomasz T. dokonywał przestępstw z terenu Belgii, jak też okoliczność, iż w tym kraju może znakować się znaczna ilość dowodów jakie w sprawie należy zabezpieczyć (w tym dane operatorów telekomunikacyjnych, dane dotyczące przepływów na rachunkach bankowych) – prokurator skorzystał z nowej instytucji prawa procesowego i skierował do organów śledczych Belgii tzw. Europejski Nakaz Dochodzeniowy (z instytucji tej polscy prokuratorzy mogą korzystać od lutego tego roku) zawierający wniosek o wykonanie określonych czynności śledczych, w tym przeszukań. Chodziło m.in. o jak najszybsze zabezpieczenie dowodów przestępstw popełnionych przez podejrzanego oraz współdziałające z nim osoby. Czynności zlecone przez polskiego prokuratora, belgijskie organy śledcze zaczęły realizować zaraz po otrzymaniu informacji o zatrzymaniu Tomasza T. Zatrzymano m.in. komputery i inne nośniki danych. Zlecono również inne czynności, które aktualnie są realizowane, a zakres spodziewanych informacji w sposób istotny przyczyni się do pełnego wyjaśnienia mechanizmu działania sprawcy, jak też innych popełnionych przez niego przestępstw, dotychczas nie objętych zarzutami.
Oszustwa komputerowe jakich dopuszczał się podejrzany obejmowały dwa zasadnicze schematy:
I. wcześniejszy – dot. 2013 r.
Z poczynionych w toku śledztwa ustaleń wynika, iż podejrzany w grudniu 2013 r. dokonał zakupu kart płatniczych typu pre – paid powiązanych z technicznym rachunkiem bankowym. Karty zostały zakupione na dane Tomasza T. oraz jego wówczas 11 – letniego brata. Wysłano je na adres zamieszkania w Belgii. Rachunki bankowe powiązane z w/w kartami oraz inny rachunek bankowy prowadzony dla Tomasza T. były wykorzystywane w kodzie złośliwego oprogramowania, którym podejrzany infekował komputery pokrzywdzonych. Po zainfekowaniu urządzenia pokrzywdzonego złośliwym oprogramowaniem, w trakcie wykonywanego przelewu, kiedy dochodziło do przeklejenia numeru rachunku uprzednio skopiowanego do schowka w pole odbiorcy - następowała zamiana rachunku na który pokrzywdzony realizował przelew bankowy. Rachunkiem tym (na którym trafiały środki) był rachunek prowadzony w banku dla podejrzanego. W ten sposób podejrzany popełnił kilkadziesiąt przestępstw na łączną kwotę ponad kilkudziesięciu tysięcy złotych.
II. późniejszy – dot. lat 2017 -2018
Ponadto śledztwo obejmuje również inne przestępstwa jakich dopuścił się podejrzany. Tomasz T. podszywał się pod różne znane spółki bądź instytucje, rozsyłając do poszczególnych osób – użytkowników sieci Internet wiadomości e-mail. Po otworzeniu wiadomości, komputer pokrzywdzonego był infekowany za pomocą złośliwego oprogramowania, czym podejrzany uzyskiwał do niego dostęp. Złośliwe oprogramowanie szyfrowało pliki o określonych rozszerzeniach, zamieniając je. Wtedy sprawca w zamian za odszyfrowanie plików domagał się przelania środków na adres portfela bitcoin w kwocie od 200 do 400 dolarów. Następnie w/w środki były przekazywane na portfel użytkownika konta pocztowego, którym jak ustalono był Tomasz T., po czym przez polską giełdę kryptowalut wymieniane były na Euro i przekazywane na rachunek powiązany z podejrzanym. W ten sposób zaraził kilka tysiącu komputerów i spowodował szkody przekraczające 500 tyś zł.
Podejrzany wysyłając wiadomości podszywał się m.in. pod dużą spółkę telekomunikacyjną, dużą spółkę odzieżową, banki, inne znane spółki, wypożyczalnie samochodów, firmy kurierskie, operatorów pocztowych, adwokatów, Generalnego Inspektora Ochrony Danych Osobowych – a więc takie firmy i instytucje, co do których użytkownicy komputerów nie nabierali podejrzeń przed odczytaniem od w/w nadawców wiadomości e-mail.
W kampaniach, w których podejrzany rozsyłał złośliwe oprogramowanie podszywając się pod firmy i instytucje obejmują m.in. spółkę P4 sp.z.o.o (30.12.2016), sklep ZARA (10.02.2017), PAY U – płatność kartą dla Ciemna City Poland (10.03.2017), Netię (20.03.2017), eBook Multimedia (21.04.2017), Paczkę w Ruch (12.05.2017), Nationale Nederlanden (02.06.2017), Generalnego Inspektora Ochrony Danych Osobowych (23.06.2017), Faktury PKO Leasing (12.07.2017), spółkę Zastępczy Pojazd (19.07.2017), mBank (20.09.2017), Pocztę Polską (10.10.2017), DHL (16.10.2017), adwokata Jerzego C. (11.10.2017), adwokata Andrzeja L. (14.10.2017), Morele.net (24.11.2017), Polkuriera (12.12.2017), Wizz Air (31.12.2017), adwokata Wojciecha W. (10.01.2018) - przy czym słowo kampania w tym przypadku należy rozumieć jako pewien zakres przestępczego działania sprawcy polegający na podszywaniu się przy przesyłaniu wiadomości pod określony podmiot np. kampania związana z podszywaniem się pod GIODO, kampania związana z podszywaniem się pod operatora telekomunikacyjnego.
Zebrany w sprawie materiał dowodowy dał podstawy do przedstawienia Tomaszowi T. łącznie 181 zarzutów popełniania przestępstw takich jak:
-prawnie brudnych pieniędzy (przyjęcia i dalszego przekazywania środków pochodzących z popełnianych przez niego przestępstw, celem utrudniania stwierdzenia ich przestępczego pochodzenia) bądź czynienia przygotowania do w/w przestępstwa,
-oszustw komputerowych – w tym przypadku chodziło o infekowanie komputera złośliwym oprogramowaniem zmieniającym numery rachunków bankowych podczas operacji dokonywania przelewu na wpisany przez podejrzanego w kodzie źródłowym, w wyniku czego dochodziło do przelania środków na należące do niego konto ( w ten sposób sprawca działał w 2013 r.),
-wpływania na automatyczne przetwarzanie danych w celu osiągnięcia korzyści majątkowych, w tym przypadku chodziło o przesyłanie na adres poczty e-mail pokrzywdzonych wiadomości, w której podejrzany podszywając się pod inny podmiot, którego dane budziły zaufanie użytkownika komputera, przesyłał złośliwe oprogramowanie ransomware w postaci wirusa określonego jako Polski Ransomware, Vortex lub Floter, w celu zainfekowania złośliwym oprogramowaniem, które szyfrowało dane informatyczne znajdujące się na komputerze utrudniając użytkownikowi dostęp do nich, po czym żądał opłaty za przesłanie klucza deszyfrującego dane. Klienci nie mając dostępu dla istotnych dla nich danych decydowali się na zapłatę pieniędzy.
Ustalono przy tym, że podejrzany z popełniania w/w przestępstw uczynił sobie stałe źródło dochodów, a więc działał w warunkach określonych w art. 65 § 1 kk. (co np. daje możliwość zaostrzenia kary).
Ustalenie sprawcy możliwe było dzięki bliskiej współpracy - zainicjowanej podczas ćwiczeń CYBERPOL Prokuratury Okręgowej w Warszawie, Biura do Walki z Cyberprzestępczością Komendy Głównej Policji, oraz zespołu reagowania na incydenty sieciowe CERT Polska w NASK w państwowym instytucie badawczym NASK, który prowadzi prace badawcze, analityczne i koordynacyjne w przypadku zgłaszanych cyberzagrożeń. Ponadto dzięki współpracy z Prokuraturą w Belgii skoordynowano zatrzymanie Tomasza T. w Polsce z przeszukaniami i zatrzymaniami jego komputerów i nośników danych w Belgii, gdzie Tomasz T. zamieszkiwał wraz z rodziną (czynności zostały wykonane na podstawie Europejskiego Nakazu Dochodzeniowego)
Ponadto na tym etapie śledztwa udało się ustalić miejsce przechowywania (serwer) oraz uzyskać klucze umożliwiające odszyfrowanie komputerów zaszyfrowanych w kampaniach, w których podejrzany podszył się pod Generalnego Inspektora Ochrony Danych Osobowych oraz Zastępczy Pojazd.
Podejrzany przesłuchany przez prokuratora przyznał się do zarzucanych mu czynów i złożył wyjaśniania.
Po wykonaniu czynności procesowych, prokurator skierował wniosek o zastosowanie wobec Tomasza T. tymczasowego aresztowania na okres 3 miesięcy. Sąd w dniu 16 marca 2018 r. wniosek prokuratora uwzględnił.
Jednocześnie Prokuratura Okręgowa w Warszawie informuje, iż osoby pokrzywdzone we wskazanych kampaniach powinny się zgłaszać do właściwych, z uwagi na miejsce zamieszkania jednostek policji i składać zawiadomienia o przestępstwie, podając dane kampanii, adres IP oraz ID komputera oraz zaszyfrowanych plików. Powyższe umożliwi przekazanie pokrzywdzonym kluczy do zaszyfrowanych plików.
Łukasz Łapczyński
rzecznik prasowy Prokuratury Okręgowej w Warszawie