First click here and then choose your language with the Google translate bar at the top of this page ↑

Het team gebruikt een geheime techniek om AlphaBay's server te lokaliseren. Maar net als de operatie begint, hebben de agenten een onverwachte ontmoeting met hun doelwit.

Hoofdstuk 8: Takeover

In juni 2017 kwam een team van agenten van de Koninklijke Thaise Politie aan in het Courtyard Marriott in Sacramento, Californië. Jen Sanchez, een ervaren agent van de Drug Enforcement Administration, was aangewezen om de delegatie op een vlucht van Bangkok naar Californië te brengen om te coördineren met het Amerikaanse team - om eventuele intercontinentale rimpels glad te strijken aan de Bangkok kant van wat bekend was geworden als Operatie Bayonet.

De Thaise agenten ontmoetten de Amerikaanse agenten, analisten en aanklagers in het kantoor van de Amerikaanse procureur, met meer dan twee dozijn mensen in de kamer. De twee landen wisselden PowerPoint briefings uit. Ali en Erin, FBI analisten uit Washington, brachten de Thais een "Bitcoin 101" presentatie en vertelden hoe ze Cazes verborgen geldstromen hadden opgespoord. De Thais deelden alles wat ze hadden geleerd van het maandenlang volgen van Cazes fysieke bewegingen. De politie legde toen de bijzonderheden van het Thaise rechtssysteem uit - wat Amerikaanse agenten wel en niet met Cazes mochten doen nadat ze hem, als alles goed ging, in handen hadden gekregen.

Tussen de vergaderingen door nam Sanchez de Thaise groep mee op excursies: naar een golfbaan, naar een winkelcentrum - waar de agenten gretig gebruik maakten van een Coach outlet - en naar San Francisco in gehuurde busjes. De Thais, gewend aan de tropen, bevroren bijna op Fisherman's Wharf; ze hadden zo'n jetlag en waren zo uitgeput van hun sightseeing waanzin dat ze sliepen tijdens de rit over de Golden Gate Bridge in beide richtingen. Op een andere dag gaf de FBI de Thais een rondleiding door het explosievenlab van het bureau in Sacramento, waar ze de bommenontmantelingsrobots van het bureau lieten zien. Paul Hemesath, de aanklager, haalde later zijn HTC Vive VR-headset tevoorschijn, en de agenten van beide landen liepen om de beurt over een plank over een digitale afgrond en zwaaiden met virtuele zwaarden naar zombies.

Als ze niet bezig waren met toerisme en teambuilding oefeningen, worstelden de agenten met de praktische details van het overvallen van een darkweb kingpin. Op een gegeven moment kwam de FBI agent met het probleem van Cazes laptop encryptie. Sanchez en de Thais legden uit dat op basis van hun surveillance, Cazes zijn machine bijna nooit buiten zijn eigen huis opende. De agenten gingen akkoord: Ze moesten hem in zijn huis betrappen, ingelogd op AlphaBay en toch op een of andere manier onoplettend, zodat hij de laptop niet zou afsluiten voor zijn arrestatie.

Bijna net zo belangrijk als de computer was Cazes iPhone. De FBI vertelde de Thais dat ze hem moesten ontgrendelen, anders zou hij ook onherstelbaar versleuteld zijn. Die telefoon zou namelijk sleutels kunnen bevatten van Cazes cryptocurrency portefeuilles of andere cruciale data. De vraag hoe deze twee apparaten en hun informatie te pakken te krijgen hing onbeantwoord in de lucht.

Toen sprak Sanchez: Ze vroeg de FBI agent of het nuttig zou zijn om meer te weten over hoe Cazes zijn dagen doorbracht, uur voor uur. Tenslotte, legde ze uit, had hij het allemaal uitgestippeld op Roosh V, het online forum voor "alfa mannen" waar Cazes zijn dagelijkse leven en seksuele escapades praktisch liveblogde onder de naam Rawmeo. De FBI agent nodigde haar uit om door te gaan.

Dus Sanchez liep met de groep door Cazes' dagelijkse schema zoals hij het zelf tot in detail had beschreven: Wakker worden bij zonsopgang en zijn email en sociale media checken, inclusief het Roosh V forum. Thuis trainen tot laat in de ochtend. Seks hebben met zijn vrouw. Dan naar zijn laptop gaan en zaken regelen tot de avond, met slechts een korte pauze in de middag voor een lichte lunch. Om zeven uur stopte hij met werken en ging uit eten en op zoek naar meisjes in zijn Lamborghini Aventador. Bijna altijd was hij om 11 uur weer thuis en sliep.

Toen bood Sanchez een andere observatie van haar Roosh V onderzoek: Ze kon op het forum precies zien wanneer Cazes online was. Het groene lichtje naast Rawmeo's naam was niet alleen een herinnering dat ze in real time in Cazes' gedachten konden kijken. Het kon ook dienen als een indicator van wanneer zijn laptop open was, en wanneer Alfa02 kwetsbaar was.

Slechts enkele dagen later, op de ochtend van 20 juni 2017, zaten in Driebergen een half dozijn Nederlandse politieagenten ineengedoken rond een vergaderzaal waar ze sinds het begin van de dag angstvallig hadden gewacht. Eindelijk ging de telefoon van een van de rechercheurs over met een telefoontje van de Duitse federale politie. De Duitsers hadden zojuist de twee beheerders van Hansa, de op één na grootste zwarte markt voor drugs op het darkweb, thuis gearresteerd. Beide mannen zaten in hechtenis. De eerste fase van operatie Bayonet - een ongekende poging om de ene markt uit te schakelen en de andere in het geheim over te nemen - kon nu beginnen.

Wekenlang had de Nationale High-Tech Crime Unit zich voorbereid op dit moment. Ze gebruikten de broncode voor Hansa die ze van de Duitse servers hadden gehaald om hun eigen, offline, oefenversie van de markt te reconstrueren, om zich vertrouwd te maken met hoe die was opgebouwd en werd beheerd. Ze gingen zelfs zo ver dat ze hun eigen speelgeldversie van Bitcoin maakten, met zijn eigen blockchain - wat cryptocurrency-ontwikkelaars een testnet noemen - om privé te experimenteren met hoe de site zijn geldtransacties afhandelde.

Nu de echte beheerders waren gearresteerd, moesten ze het overnemen en de echte, levende versie van Hansa runnen, met miljoenen dollars die tussen tienduizenden gebruikers circuleren. En ze moesten dat naadloos doen, zonder de site offline te halen of, erger nog, zonder de gebruikers of het personeel enig idee te geven dat de twee beheerders waren vervangen door een team van Nederlandse undercoveragenten.

Op aangeven van de Duitsers belde het Nederlandse team onmiddellijk een paar agenten die ze naar een datacentrum in Litouwen hadden gestuurd, waar de server stond waarop Hansa actief draaide. Die agenten haalden fysiek een harde schijf uit het rek waar de machine op stond, zodat ze toegang kregen tot een reservekopie van de gegevens. De teams in Driebergen en Litouwen begonnen vervolgens koortsachtig elk digitaal onderdeel van de markt stuk voor stuk te dupliceren op hun eigen computers en vervolgens op een server in een Nederlands datacentrum, en reconstrueerden zo een exacte kopie van de site die nu onder hun controle stond.

De volgende twee dagen zaten de Nederlandse onderzoekers van 's morgens vroeg tot ver na middernacht achter hun toetsenbord, gevoed door pizza en Red Bull. Op een bepaald moment morste iemand een frisdrank op de vergadertafel, waardoor een laptop met alle Hansa-gegevens bijna onder water kwam te staan; alleen een wanhopige poging van een van de onderzoekers kon de laptop redden. Op een ander moment zorgde een tikfout in een enkel commando ervoor dat de site enkele paniekerige minuten uitviel voordat hij kon worden hersteld.

Rond 3 uur op de derde nacht na de arrestaties was een Nederlandse onderzoeker, Marinus Boekelo, bezig met het oplossen van een andere bug die ervoor zorgde dat foutmeldingen over het scherm schoten wanneer iemand de zoekbalk bovenaan de pagina gebruikte. "Fuck, fuck, fuck!" mompelde Boekelo, gebogen over zijn laptop, zijn handen aan weerszijden van zijn gezicht terwijl hij de ene oplossing na de andere probeerde.

Toen, na een moment, leunde hij achterover met een blik van opluchting. De foutmeldingen waren verdwenen. De laatste ernstige bug was eruit.

Na bijna 72 uur, hadden ze de gereconstrueerde site soepel draaiende, volledig onder hun controle. De skeletploeg die nog in de vergaderzaal werkte, ontplofte van vreugde. Afgezien van die ene korte periode van downtime, was de migratie van de site naar een Nederlands datacenter vrijwel onzichtbaar geweest voor de gebruikers.

Het meest opvallende teken van de overname, zo maakte de Nederlandse politie zich zorgen, was dat er bijna drie dagen lang complete radiostilte was geweest van de twee Hansa-beheerders. De vier beheerders van de site keken naar de twee beheerders voor orders en het oplossen van geschillen tussen kopers en dealers die zij zelf niet konden oplossen. De politie kon zien dat de beheerders met het personeel van Hansa communiceerden via een gecodeerd berichtensysteem genaamd Tox Chat - de in beslag genomen server bevatte beperkte logs van hun eerdere communicatie - maar ze hadden geen wachtwoord om in te loggen op hun chataccounts.

Dus probeerden ze een eenvoudige oplossing: Ze vroegen de echte beheerders om hulp. De twee Duitse mannen gingen snel akkoord om mee te werken in de hoop op een lichtere straf. Ze overhandigden hun Tox Chat-wachtwoorden aan de Duitse politie, die ze doorgaf aan de Nederlanders. Het team in Driebergen hervatte vervolgens de dagelijkse gesprekken tussen de bazen en het personeel van de drukke zwarte markt. Met de medewerking van de echte admins en hun Tox Chat-logs konden ze de zaken van de site zonder problemen oppakken. Hun enige eerste fout was dat ze een moderator het verkeerde bedrag betaalden voor zijn Bitcoin-salaris, gekoppeld aan de verkeerde niet-digitale valuta. De undercover politie herstelde hun fout, betaalde de medewerker het verschil, en alles was vergeven.

Het Nederlandse team had een dekmantel bedacht voor de drie dagen offline van de beheerders: Ze zouden iedereen die het vroeg vertellen dat ze een upgrade van de markt aan het coderen waren. Maar niemand vroeg het. De hiërarchie van het organigram van de marktplaats en de geheimzinnigheid van darkweb operaties, waar niemand van het personeel zijn collega's kende buiten een gebruikersnaam en een gedeelde chat geschiedenis, betekende dat de agenten in admin kleding gespaard bleven van nieuwsgierige vragen over hun afwezigheid.

Tot hun opluchting bleek er ook geen sprake te zijn van inside jokes of watercooler roddels. "Het bleek eigenlijk dat ze niets persoonlijks met elkaar bespraken," herinnert een onderzoeker zich. "Het was puur zakelijk."

Het verhaal over een upgrade was niet echt een leugen. Bij de reconstructie van de site had de Nederlandse politie enkele bugs verwijderd en delen van de code herschreven om efficiënter te werken. En omdat ze nu een team van een half dozijn roulerende agenten als beheerders hadden, in plaats van twee overwerkte individuen, stelden ze vast dat de klanten van de site de dagelijkse werking van de markt aanzienlijk verbeterden.

Een van de jongere Nederlandse agenten was jaren eerder IT-helpdeskbeheerder geweest. Hij vond dat zijn nieuwe baan bij Hansa opvallend veel op hem leek. Hij ging efficiënt aan de slag met het oplossen van geschillen over de drugsdeals op de site, geholpen door een verzameling antwoorden die de beheerders handig hadden opgesteld in een online controlepaneel. De undercoveragent kwam zelfs een dankbare, slechtziende drugsdealer te hulp door hem te helpen uitzoeken hoe hij zijn schermleessoftware goed kon integreren met zijn Tor-browser.

Ethische kwesties daargelaten, kon het team niet anders dan trots zijn op de professionaliteit van hun werk. "De kwaliteit ging echt omhoog," zei Gert Ras, het hoofd van de Nederlandse High-Tech Crime Unit. "Iedereen was zeer tevreden over het niveau van de dienstverlening."

Voor hun eerste dag als bazen van Hansa had het team voorzichtig het interne uurwerk van de site in de gaten gehouden, nauwelijks gelovend dat ze waren weggekomen met hun overname. Maar toen duidelijk werd dat ze Hansa schijnbaar voor onbepaalde tijd konden controleren, gingen ze aan de slag in ploegen om de site 24/7 te beheren vanuit de kleine vergaderzaal in Driebergen.

Op een muur plaatsten ze een scherm van 65 inch waarop iemand een stopwatch startte om precies te meten hoe lang ze de markt al in handen hadden. Toen begonnen ze langzaam en geruisloos de val te zetten die ze hadden opgezet.

Hansa, zoals elke goede darkweb markt, was ontworpen om zo weinig mogelijk over zijn gebruikers te weten te komen, behalve wat nodig was om betrouwbare drugstransacties mogelijk te maken. De wachtwoorden voor de gebruikersaccounts werden enkel opgeslagen als cryptografische "hashes", onleesbare reeksen karakters waardoor de site een verzameling van deze gevoelige inloggegevens niet hoefde te beschermen. Hansa bood ook aan om gebruikers automatisch al hun berichten te laten versleutelen met het privacyprogramma PGP- waaronder, het belangrijkste, de postadressen die kopers met verkopers deelden wanneer ze een bestelling deden. Dit alles betekende dat de site zelf in theorie nooit volledige toegang zou hebben tot de accounts van zijn gebruikers of hun meest persoonlijke gegevens zou kennen, zoals de locatie van hun huizen.

Nu begon de politie die beveiliging onzichtbaar te saboteren. Ze begonnen alle gebruikersnamen en wachtwoorden van Hansa op te nemen wanneer kopers en verkopers inlogden. Ze begonnen ook in het geheim de volledige tekst te archiveren van elk bericht dat gebruikers op de site verstuurden voordat de tekst werd versleuteld. Al snel verzamelden ze honderden, toen duizenden, adressen van kopers van bestellingen, waardoor de hele markt een glazen aquarium werd onder hun realtime toezicht.

Volgens de Nederlandse wet moest de politie elke drugsbestelling op de markt registreren en proberen te onderscheppen terwijl ze die controleerden. Dus het half dozijn undercoveragenten in hun kleine vergaderzaal kreeg al snel gezelschap van tientallen anderen, die op dezelfde verdieping werkten en tot taak hadden elke aankoop handmatig te catalogiseren. Ze stuurden de gegevens van verkopen die voor Nederland bestemd waren door naar de Nederlandse politie, die de pakketten heroïne, cocaïne en meth die via de binnenlandse post werden verzonden in beslag kon nemen. Niet-Nederlandse bestellingen werden doorgestuurd naar Europol, dat de steeds groter wordende stapel gegevens over drugshandel moest verdelen onder de rechtshandhavingsinstanties van hun respectieve landen.

De Nederlandse politie had al iets bereikt wat nog nooit eerder was geprobeerd: de jacht op, de vangst van en de vivisectie van een darkweb drugsmarkt in real time, zonder medeweten van de gebruikers van de site. Maar Operatie Bajonet was nog maar net begonnen. De Nederlanders - en hun medewerkers van Sacramento tot Bangkok - hadden andere, grotere zaken in het vizier.

Hoofdstuk 9: Advanced Analysis

op 22 juni 2017, twee dagen na de overname van Hansa en minder dan twee weken voor de geplande ontmanteling van AlphaBay, waren Michael Gronager en Jonathan Levin, medeoprichters van 's werelds grootste bedrijf voor het traceren van cryptocurrency, Chainalysis, toevallig in Nederland. Net als een agent van de belastingdienst, Tigran Gambaryan. Ze waren allemaal naar Den Haag gevlogen, halverwege het kleine land vanaf het kantoor in Driebergen waar de Nederlanders aan de touwtjes van Hansa trokken, voor een Europol-conferentie over onderzoek naar virtuele valuta.

Levin en Gronager wisten als contractanten zonder veiligheidsmachtiging niet wat Gambaryan wist: dat tegen die tijd alle stukjes van operatie Bayonet op hun plaats vielen. De Nederlandse Hansa overname was onderweg. Een team van Amerikanen dat AlphaBay viseerde was van plan om op 5 juli de Nederlandse servers van die markt in de gaten te houden en een momentopname te maken van de inhoud terwijl Cazes erop was ingelogd. Ze zouden het pas offline halen nadat de Thais Cazes in Bangkok hadden gearresteerd; eerder aanraken zou hem kunnen afschrikken en hem bewijsmateriaal laten vernietigen of laten vluchten. Amerikaanse aanklagers zouden Cazes dan ondervragen en hem snel uitleveren. Zelfs de Royal Canadian Mounted Police was ingeschakeld om gelijktijdig Cazes' moeders huis in Quebec te doorzoeken.

Gambaryan was slechts aan de rand van deze internationale wervelwind van speurwerk. Een compacte voormalige forensische accountant met een norse houding, hij had een reputatie opgebouwd als een zeer capabele darkweb onderzoeker en de top Bitcoin fluisteraar van de IRS. Een paar jaar eerder was hij de pionier in de eerste echte strafzaak voor het opsporen van cryptocurrency. Hij volgde Bitcoin-sporen om te bewijzen dat twee federale agenten die de Silk Road darkweb markt moesten onderzoeken in feite honderdduizenden dollars aan bitcoins van de markt hadden opgestreken door diefstal, afpersing en verkoop van voorkennis.

Gambaryan werkte als lid van de IRS Criminal Investigations' cybercrime unit in DC, maar hij had al vroeg kennis genomen van de AlphaBay zaak van een vriendelijke IRS agent in Fresno, Californië, zijn geboortestad, waar hij vaak zijn ouders ging bezoeken. Hij had de voortgang van het onderzoek gevolgd, maar was nooit aan de zaak toegewezen.

Toch kon hij het niet laten om af en toe een nieuwsgierige blik te werpen op de grootste darkweb markt in de geschiedenis. Maandenlang had Gambaryan de sporen van AlphaBay gevolgd via de blockchain, Jonathan Levin van Chainalysis geobsedeerd met nieuwe ideeën over hoe de randen van de AlphaBay "cluster" - de miljoenen Bitcoin-adressen die de site en zijn gebruikers hadden gegenereerd - te omzeilen of de meest belastende geldsporen te traceren. Hij was, zoals Levin het uitdrukte, "compleet meedogenloos."

Dat voorjaar hadden Gambaryan en Levin samen een idee bedacht - een nieuwe, experimentele methode om AlphaBay's gebruik van cryptocurrency te onderzoeken. Aanklagers in de AlphaBay zaak hebben er alleen naar verwezen met de afschuwelijk vage term "geavanceerde analyse". Maar Gambaryan en Levin hoopten dat ze het konden gebruiken om een belangrijke bevinding op te sporen: het IP-adres van de server waarop AlphaBay's Bitcoin-portemonnee stond. Met dat IP in de hand, zouden ze de fysieke locatie van de server moeten kunnen bepalen en hem in beslag nemen, om zo belangrijk bewijs te verkrijgen in hun zaak tegen Cazes en te verzekeren dat niemand anders van AlphaBay de controle over de site zou kunnen overnemen na Cazes' arrestatie.

Volgens alle conventionele wijsheid, zou het niet mogelijk moeten zijn om dat IP adres te achterhalen via blockchain surveillance. De blockchain is immers een register van transacties tussen Bitcoin adressen. Het registreert geen IP-adressen, de reeks nummers die individuele computers op het internet identificeren en onderzoekers vaak kunnen helpen om ze te lokaliseren. Maar de methode van Levin en Gambaryan zou op een of andere manier die identificatiegegevens kunnen verkrijgen. Geen van beiden heeft een woord onthuld over hoe deze techniek werkt. In feite hebben ze in onze gesprekken geen enkel stukje cryptocurrency-tracing met meer geheimzinnigheid behandeld.

Levin wist niet dat het team van Operation Bayonet in het voorjaar van 2017 al een IP-adres van AlphaBay kende: het adres in Nederland dat ooit was uitgelekt in de welkomstmail voor de forums van de site en vervolgens in november 2016 door een tipgever was doorgespeeld aan Fresno DEA-agent Robert Miller. Maar Gambaryan dacht dat het geen kwaad kon om dit kritieke bewijsstuk onafhankelijk te verifiëren. Levin deed al jaren zijn eigen praktijkonderzoek naar AlphaBay, en hij wilde graag een nieuwe onderzoekstechniek uitproberen die Chainalysis mogelijk aan andere klanten kon verkopen.

Op die ochtend in juni in Den Haag zat Levin aan een bureau in een appartement in de rustige westelijke periferie van de kuststad, een paar blokken van het strand, naast een vissershaven die uitmondde in de door de wind gekarnde Noordzee. Levin en Gronager hadden de Airbnb gehuurd en deelden hem - meer uit gewoonte dan uit financiële noodzaak, gezien Chainalysis' recente financieringsrondes van meerdere miljoenen dollars en aanzwellende cashflow - waarbij de een in de slaapkamer verbleef en de ander op de bank.

Levin en Gronager waren allebei vroeg op, voordat de Europol conferentie begon. Dus gebruikte Levin dit vrije moment om de resultaten van zijn en Gambaryans geavanceerde analyse-experiment te controleren.

Het antwoord verscheen zonder ophef op Levin's scherm: een IP-adres van AlphaBay. Of liever gezegd, een handvol IP-adressen die waarschijnlijk tot de portemonneeserver van de site behoorden. Een snelle zoektocht wees uit dat het meest waarschijnlijke adres zich niet in Nederland bevond, maar in een datacenter in Litouwen.

Levin herinnert zich zijn reactie op dat moment als minder een openbaring dan een korte flits van herkenning. "Huh," dacht hij bij zichzelf. Hij had geen idee dat de gecoördineerde wereldwijde aanval op AlphaBay gepland was voor iets meer dan 10 dagen later en dat deze, volgens de cijfers die hij nu op zijn scherm zag, gericht was op een server in het verkeerde land. Hij maakte een mentale notitie om Gambaryan te vertellen over het Litouwse IP de volgende keer dat hij hem zag.

De gelegenheid deed zich die avond voor. Na een dag op de Europol conferentie, zaten de twee zij aan zij aan een diner met een dozijn andere agenten, analisten, officieren van justitie en aannemers rond een lange tafel in Flavor's, een ribben-en-steak restaurant een paar blokken van het Europol hoofdkwartier, de muren bedekt met schilderijen van een middeleeuws feestmaal. Ze hadden net een drankje besteld toen Levin eraan dacht Gambaryan te vertellen dat hun experimentele idee blijkbaar had gewerkt. Hij liet Gambaryan de drie IP-adressen op zijn telefoon zien en wees op het Litouwse adres dat het meest waarschijnlijk leek.

De IRS agent zweeg. Hij haalde zijn eigen telefoon tevoorschijn en maakte een foto van Levin's scherm. Toen stond hij op en liep zonder uitleg het restaurant uit.

Levin zag hem gaan, stomverbaasd. Gambaryan had niet eens betaald voor zijn biertje.

gambaryan liep de acht blokken door de straten van de woonwijk, langs het Haagse kunstmuseum, naar het Marriott naast het hoofdkantoor van Europol, waar hij en de meeste andere internationale agenten op de conferentie verbleven. Hij ging direct naar de bovenste verdieping van het gebouw, met uitzicht op het donkere bos van Park Sorghvliet, omringd door internationale regeringsgebouwen. Aan een tafel in een lege vergaderzaal opende hij zijn laptop, bevestigde dat het IP-adres dat Levin had gevonden inderdaad in een Litouws datacentrum lag, en begon toen de aanklagers van Operatie Bayonet te bellen, Grant Rabenn en Paul Hemesath in Californië, evenals Alden Pelker, de cybercrime-advocaat in DC op de zaak, en Erin, de FBI Bitcoin-tracing analist die in Den Haag de Europol conferentie bijwoonde, om hen te vertellen dat hij en Chainalysis hadden gevonden wat de ware locatie van AlphaBay's centrale server leek te zijn, en het was niet in Nederland maar duizend mijl naar het oosten.

Erin voegde zich spoedig bij Gambaryan in de vergaderzaal van het hotel, met Hemesath en Rabenn op de luidspreker vanuit Californië, waar het nog vroeg op de dag was. Chainalysis' Levin arriveerde niet lang daarna, gevolgd door Gronager, die een ander zakendiner had bijgewoond; beide mannen werden bij de vergadering betrokken op een 'need-to-know' basis. Tot in de vroege uurtjes werkte de groep koortsachtig aan de logistieke afhandeling van de inbeslagname van de infrastructuur van AlphaBay, niet vanuit Nederland, zoals ze van plan waren, maar vanuit Litouwen, met hun deadline van 5 juli nog maar enkele dagen voor de boeg. Op een gegeven moment kwam een Nederlandse hotelmedewerker de lounge binnen om de groep te vertellen dat de kamer gesloten was. Gambaryan, die technisch gezien niet eens deel uitmaakte van de AlphaBay-operatie, liet instinctief zijn badge aan de man zien - een badge die buiten de Verenigde Staten geen werkelijke autoriteit had - en de geschrokken Nederlander trok zich terug en liet hen aan hun werk.

Net toen ze op de rand van de overwinning stonden, leek hun plan te zijn mislukt.
"Oh, shit," concludeerde Rabenn stilletjes, in een staat van blinde paniek. "Dit is voorbij."

Uiteindelijk hebben Gambaryan en Chainalysis' geavanceerde analysetruc Operation Bayonet op het nippertje behoed voor wat een grote fout had kunnen zijn. De onderzoekers zouden later leren dat het Nederlandse IP-adres waar ze al maanden naar op zoek waren, wees naar een datacenter waar alleen een oudere server voor de site stond, in plaats van de heilige graal waar ze naar zochten. Net als Hansa was AlphaBay blijkbaar op een gegeven moment verhuisd van een Nederlandse hosting provider naar de Baltische staten. Zonder het Litouwse IP-adres, dat in een steakrestaurant van Levin's telefoon naar die van Gambaryan werd doorgegeven, zouden de onderzoekers een inval hebben gedaan in het equivalent van een verlaten schuilplaats, waarbij het eigenlijke criminele hoofdkwartier van AlphaBay ongemoeid werd gelaten.

Geen van de onderzoekers van Operatie Bayonet heeft het mechanisme van die geavanceerde analyse techniek ooit publiekelijk uitgelegd - en ze wilden het ook niet aan mij uitleggen in de jaren die volgden. Dat is deels omdat de geheimhouding van de techniek, volgens agenten en aanklagers, het mogelijk had gemaakt om het steeds opnieuw te gebruiken, om de IP-adressen van Bitcoin-portefeuilles van darkweb services te identificeren in een reeks grote zaken. Wetshandhavers wilden er zeker van zijn dat de methode niet werd "verbrand" - blootgesteld aan darkweb beheerders of Bitcoin-ontwikkelaars die de kwetsbaarheden zouden kunnen verhelpen.

Voor iedereen die de begindagen van Chainalysis heeft gevolgd, is het echter moeilijk om niet een bepaalde onderbouwde gok te nemen over hoe het mysterieuze hulpmiddel van het bedrijf werkte. In 2015, slechts enkele maanden na de oprichting, had de startup een korte, zeer openbare rel veroorzaakt in de Bitcoin-gemeenschap met een techniek die in staat was om de IP-adressen van Bitcoin-gebruikers te identificeren. Het bedrijf had zijn eigen geheime verzameling Bitcoin-nodes opgezet, de computers die dienen als de communicatie-backbone van het Bitcoin-netwerk. In tegenstelling tot typische Bitcoin-knooppunten zijn de knooppunten van Chainalysis ontworpen om stilletjes de IP-adressen te registreren die Bitcoin-gebruikers bij elke transactie uitzenden. Door stilletjes elk IP-adres te onderscheppen dat de nodes passeerde, wilde Chainalysis een wereldwijde kaart maken van de fysieke locaties van Bitcoin-gebruikers.

Het afluisteren van IP-adressen was bedoeld als demonstratie van de capaciteiten van de jonge startup. Toen het werd ontdekt, resulteerde dit echter in een lange, met venijn gevulde thread op het cryptocurrency forum BitcoinTalk, waar Chainalysis werd uitgescholden voor leverancier van "massasurveillance" tools. Gronager, de CEO van het bedrijf, verontschuldigde zich en stopte het experiment.

Maar zou die techniek jaren later aangepast kunnen zijn om de Bitcoin-portemonnees van zeer specifieke gebruikers in het geheim op te sporen? Zelfs als de transacties werden verstuurd vanaf een computer op het Tor anonimiteitsnetwerk?

Voor Operation Bayonet was het enige dat telde dat de IRS's Gambaryan en Chainalysis' Levin samen de koers van een grootschalig, gecoördineerd, internationaal onderzoek op een kritiek moment hadden gecorrigeerd, door een geheim wapen in te zetten met nauwelijks een dag over. Maar geheime wapens blijven niet altijd geheim.

Hoofdstuk 10: The Athenee

In de laatste dagen van juni daalden de Amerikanen neer in Bangkok als een tropische wetshandhavingsconventie.

Er waren bijna 20 agenten, analisten, forensische computer experts en aanklagers van de FBI, DEA, IRS, Department of Justice, Department of Homeland Security en Canada's Royal Canadian Mounted Police. Meer dan een dozijn leden van de groep checkten in in het Athenee, een vijfsterrenhotel een paar blokken van de Amerikaanse ambassade, dat adverteerde dat het was gebouwd op gronden die ooit eigendom waren van een 19e-eeuwse Siamese prinses en acht restaurants en een dak met een tuin en een zwembad had. Het was, zo merkte aanklager Grant Rabenn op, zeker het mooiste hotel dat hij ooit had kunnen boeken met de dagvergoeding van de regering.

Met slechts enkele dagen tot hun geplande arrestatie bleven Rabenn, Hemesath en de DC aanklager Louisa Marion overspoeld door de bureaucratie van het coördineren van wetshandhavingsinstanties in vijf landen - de Verenigde Staten, Thailand, Canada, Nederland, en nu Litouwen, waar ze een nieuw plan hadden om de centrale AlphaBay server in beslag te nemen. Het team kwam ook herhaaldelijk bijeen met de Thais op het hoofdkwartier van hun Narcotica Suppressie Bureau (NSB) aan de andere kant van de stad, in een vergaderzaal op de achtste verdieping van het gebouw om de details van Cazes' arrestatie door te spreken.

Het centrale probleem bleef onopgelost: hoe Cazes af te leiden en hem uit zijn huis te lokken met zijn telefoon open en zijn laptop open en ongecodeerd. Een vuilnisbak voor het huis in brand steken? Te gevaarlijk, besloten ze. Een vrouwelijke undercover agent laten schreeuwen en huilen buiten zijn huis? Cazes zou haar gewoon kunnen negeren, of anders de laptop sluiten voordat hij het lawaai controleert.

Wat als ze een undercover agent verkleden als een postbode die op de deur klopt en Cazes vraagt te komen tekenen voor een pakje? Dat, concludeerden ze, zou kunnen werken.

Te midden van al deze hectische plannen, slaagde een kerngroep er nog steeds in om elke dag af te sluiten in de lounge van het Athenee voor de all-you-can-eat sushi happy hours. Tijdens een van die avondbijeenkomsten verscheen er iets verrassends in de groepschat die de Thaise politie had opgezet op de in Thailand populaire berichtenapp Line. De Thais gebruikten de groepschat om elkaar en de DEA op de hoogte te houden van hun fysieke surveillance van Cazes. Die dag had het Thaise team van Operatie Bayonet hun doelwit gevolgd tijdens een avondje uit, door hem te volgen in zijn Porsche Panamera toen hij het centrum van Bangkok naderde. Jen Sanchez, die vlakbij het Athenee en haar werkplek in de Amerikaanse ambassade woonde, was net thuis toen ze een foto van een van de Thaise agenten zag. Het toonde een witte Porsche, geparkeerd bij een chique uitziende hotel ingang.

"Wat krijgen we nou?" dacht ze, met een plotselinge adrenalinestoot. Was dat niet het Athenee, waar een groot deel van het Amerikaanse team verbleef?

Op dat moment, in de lounge van het Athenee, herinnert Rabenn zich dat hij uit zijn ooghoeken dezelfde Porsche zag en zich onmiddellijk herinnerde dat een witte Panamera deel uitmaakte van Cazes prijzige wagenpark. Hij wees Hemesath erop, evenals Miller van de DEA en een FBI agent, die samen aan een tafel in de lobby zaten. Ze stelden half gekscherend voor dat de FBI-agent ging kijken.

De agent wandelde gretig over de lounge toen een figuur door de voordeur van het Athenee liep. Een schokgolf ging door Rabenns hoofd.

Hij was het. Alexandre Cazes. En hij liep recht op de tafel van Rabenn, Miller en Hemesath af.

Rabenn bevroor. "Het was alsof ik een spook zag," herinnert hij zich. Hij keek naar Hemesath, die even verlamd leek, vol ongeloof.

Het beeld van die eerste persoonlijke ontmoeting met Cazes, na negen maanden van obsessief volgen van Alpha02, blijft in Rabenns geheugen gegrift. Cazes was gekleed, herinnert Rabenn zich, in een slank, duur uitziend blauw pak, met daaronder zijn witte overhemd losgeknoopt in de stijl van iemand die te rijk is om een stropdas te dragen. Maar Rabenn merkte ook op dat Cazes bewoog met een zekere nerdy onhandigheid - dat hij, onder zijn kostuum, "meer leek op een mollige programmeur die deed alsof hij een rockster was dan op een echte rockster."

De FBI agent, snel denkend, vermeed oogcontact met Cazes en liep direct langs hem naar de deur. In de seconden die het duurde voordat Cazes de kamer overstak, schijnbaar in slow motion, raasden de gedachten door Rabenn's hoofd: Hoe wist Cazes wie ze waren? Of dat ze hem op het spoor waren? Of in welk hotel ze verbleven in Bangkok? Was er een lek geweest? Hadden ze te opvallend vergaderd en hun geheim verpest? Was dit criminele meesterbrein hen te slim af geweest?

Binnen enkele ogenblikken verwachtte Rabenn dat Cazes naast hen aan tafel zou zitten, met een zelfvoldane uitdrukking op zijn gezicht, en zou zeggen, zoals hij het zich voorstelde: "Rot op jongens, ik weet dat jullie hier zijn, en jullie krijgen niets."

Rabenn besefte dat hij geen idee had hoe hij zou reageren. Ze konden Cazes ter plekke arresteren, maar ze zouden alle hoop verliezen om toegang te krijgen tot zijn laptop of bewijs van zijn controle over AlphaBay. Net toen ze op het punt stonden te winnen, leek het erop dat hun plan mislukt was.

"Oh, shit," concludeerde Rabenn stilletjes, in een staat van blinde paniek. "Dit is voorbij."

Toen Cazes een meter of vijf van hun tafel verwijderd was, draaide hij zich om en ging aan de tafel naast hen zitten, tegenover een paar Israëlische zakenlieden in pak en keppeltje.

De Amerikanen keken elkaar verward aan. Na een moment kwam de FBI-agent terug en ging nonchalant zitten. Hij en Miller begonnen in stilte aan de rest van de tafel aan te geven dat iedereen moest vertrekken.

Rabenn, die zijn kalmte hervond, bedacht dat misschien niet alles verloren was - dat dit gewoon het meest verbluffende toeval van zijn leven was.

De aanklagers deden hun best om zich natuurlijk te gedragen en liepen de gebogen trap op naar de tussenverdieping van het hotel, terwijl de FBI-agent en Miller het gesprek van Cazes aan de aangrenzende tafel afluisterden. Op de verdieping erboven deelden Rabenn en Hemesath een moment van grote opluchting. De smsjes van de FBI en DEA agenten die nog aan de tafel zaten, begonnen binnen te komen, met berichten over Cazes ontmoeting: Hij sprak met de Israëliërs over een van zijn onroerend goed investeringen in het Caribisch gebied.

Toen hun paniek afnam, zagen ze dat een groep Thaise undercover politie - inclusief de teamleider, Kolonel Pisal Erb-Arb, in burger - zich had opgesteld rond een andere tafel tegenover Cazes en hem discreet in de gaten hield, en zelfs stiekem foto's van elkaar nam waarop Cazes op de achtergrond te zien was. De AlphaBay oprichter gaf geen teken dat hij ze had gezien.

Terwijl Rabenn en Hemesath zich in stilte verheugden, voegde de FBI agent zich bij hen op de tussenverdieping en haalde zijn telefoon tevoorschijn. Hij begon te googelen en probeerde de kansen te berekenen van wat er zojuist was gebeurd. Hoeveel hotels waren er eigenlijk in Bangkok? Hij liet hen snel het antwoord zien: Het waren er duizenden.

In een euforische roes verwonderden de twee aanklagers zich over hun bizarre bijna-botsing, maar niet voor lang. Over twee dagen wisten ze dat hun team Cazes weer zou ontmoeten, deze keer in de meest uitgebreide arrestatie die ze ooit hadden geprobeerd.

Bron: anoniem, wired.com