Как Facebook и Apple личность владельца KickassTorrents раскрывать помогали

9884014b5fb079cc9c2f4f5e0276fe30.jpg

На днях на Geektimes публиковалась новость об аресте в Польше украинца Артема Ваулина. Его арестовали по подозрению в нелегальном распространении защищенного авторским правом контента. Власти США считают, что Ваулин является владельцем крупнейшего торрент-трекера в мире. Сумма ущерба для владельцев распространяемого ресурсом контента оценивается в $1 млрд.

Также в предыдущем материале рассказывалось о том, каким образом владельца вычислили. Основная причина — неосторожность Ваулина, который проводил транзакции в iTunes, используя свои реальные данные. В раскрытии его личности помогли также Apple c Facebook. Сейчас появилось больше данных по этому делу.
KickassTorrents начал работать в 2008 году, и за несколько лет он стал одним из крупнейших торрент-трекеров в мире, а спустя еще несколько лет — крупнейшим. На популярность ресурса положительным образом повлияло преследование правоохранителями разных стран команды The Pirate Bay. Домены у этого торрент-трекера постоянно менялись, сайт иногда просто «лежал», и часть аудитории «Бухты» перешла на KickassTorrents. Сейчас посещаемость KickassTorrents составляет 50 миллионов уникальных посетителей в месяц. По этому параметру ресурс занимает 68 место в мире.

Торрент-трекеры уже давно являются объектом для атаки защитников авторского права со всего мира. А владельцы и операторы таких ресурсов — вне закона во многих странах. Правоохранители обычно не скупятся на наказания для «преступников» такого рода: за нелегальное распространение защищенного авторским правом контента наказание может быть более суровым, чем за убийство. По этой причине владельцы торрент-трекеров тщательно скрывают свою реальную личность. Ну, а если ты владелец крупнейшего торрент-трекера в мире, то нужно использовать все возможные меры предосторожности.

Но властям США все же удалось раскрыть личность владельца Kickasstorrents. В 48-страничном документе, представленном в окружном суде Чикаго, сторона обвинения подробно описала процесс отслеживания и идентификации этого человека. Основную роль в этом деле сыграл специальный агент Министерства внутренней безопасности США Джаред Дер-Йегиаян (Jared Der-Yeghiayan). Он утверждает, что никаких сомнений в том, что 30-летний уроженец Харькова является основателем и владельцем KickassTorrents, нет.

Фальшивая реклама


В ноябре 2015 года агент провел с администрацией KickassTorrents (KAT) переговоры относительно размещения рекламы на сайте ресурса. Стороны договорились, и реклама была размещена. Стоимость размещения — $300 в день. Кампания была оплачена на пять дней, рекламу разместили в марте 2016 года. Тематика рекламы — обучение в США. Деньги были переведены заказчиком на счет КАТ в Латвии. Власти США запросили у банка данные по счету, и оказалось, что с августа 2015 по март 2016 на этот счет было перечислено около $31 млн.

0add9a12fe5409f3fb852af4a52594e5.jpg

Агент узнал и адрес одного из представителей администрации ресурса. Это был e-mail pr@kat.cr. Адрес электронной почты являлся основным как для общения с «рекламным отделом», так и использовался для продвижения ресурса в Facebook. После обращения правоохранителей социальная сеть передала все запрошенные данные.

Участие Apple


Используя общедоступные инструменты, Джаред Дер-Йегиаян получил IP ряда зеркал ресурса: kickasstorrents.com, kat.cr, kickass.to, kat.ph, kastatic.com, thekat.tv and kickass.cr. После короткого поиска оказалось, что два IP являются чикагскими, KAT использовал их в течение четырех лет. Агенты получили копию логов сервера за несколько лет (кстати, географическая привязка дела к Чикаго объясняется именно тем фактом, что ранее там располагались сервера ресурса).

Агенты также просмотрели WHOIS всех известных зеркал домена. Контактом одного из доменов, kickasstorrents.biz, был указан Артем Ваулин, Харьков, Украина. Этим же способом была получена и почта Артема, привязанная к Whois.

Как оказалось, украинец использовал эту почту несколько раз для проведения транзакций в iTunes. Одна из транзакций была проведена 31 июля 2015 года. Агенты получили от Apple IP, который засветился при проведении транзакции.

И этот же IP-адрес использовался для входа в учетную запись Facebook, привязанную к странице KAT в этой социальной сети. Удалось обнаружить и еще одну деталь — после того, как KAT начал принимать пожертвования в Bitcoin, $72 767 были переведены на Coinbase аккаунт, принадлежащий Ваулину. Кошелек Bitcoin был зарегистрирован на тот же адрес электронной почты.

Что теперь?


Сторона обвинения требует разделегировать все домены, которые тем либо иным образом связаны с делом Артема Ваулина. Обращения уже отправлены администраторам .com и .tv. Запросы планируется отправить и администраторам доменных зон Коста-Рики, Тонга и Филиппин.

Торрент-трекер пока работает. Вероятно, после того, как будут разделегированы доменные имена, ресурс уйдет на другие домены, так что доступ к нему будет сохраняться. Но предполагаемый владелец уже ожидает экстрадиции в США. Если он не сможет поддерживать работу ресурса на должном уровне (а здесь у правоохранителей есть ряд инструментов — блокирование счетов, аресты представителей администрации ресурса и т.п.), у KickassTorrents будут проблемы. Правда, администрация сайта тоже начала действовать — например, одно из зеркал появилось на домене KAT.am. Это зеркало размещается сразу на нескольких «облачных» серверах, а информация о хостинге скрыта при помощи Cloudflare. Появилась и мобильная версия сайта, также клон KAT уже есть на IsoHunt.

4e2a4458ae7c411639f2057213e31355.png

По иронии судьбы, в этом деле легальная покупка песни привела к аресту человека, который стоит за крупнейшим торрент-трекером мира, нарушающим авторские права владельцев распространяемого нелегально контента.

© Geektimes