Security

Operation Alice: Πώς η Europol ταυτοποίησε εκατοντάδες χρήστες καταρρίπτοντας 373.000 Dark Web sites

Yannis Elpidis
Yannis Elpidis
caption

Σύνοψη

  • Συντονισμένη αστυνομική δράση 23 χωρών (Operation Alice) διεξήχθη από τις 9 έως τις 19 Μαρτίου 2026, υπό τον συντονισμό των γερμανικών αρχών και την υποστήριξη της Europol.
  • Στόχος ήταν η πλατφόρμα "Alice with Violence CP", η οποία οδήγησε στην κατάρριψη 373.000 .onion domains.
  • Το δίκτυο λειτουργούσε ως απάτη, υποσχόμενο υλικό σεξουαλικής κακοποίησης ανηλίκων (CSAM) και υπηρεσίες κυβερνοεγκλήματος (CaaS) έναντι πληρωμής σε κρυπτονομίσματα, χωρίς να παραδίδει τα δεδομένα.
  • Ταυτοποιήθηκε ο διαχειριστής, ένας 35χρονος με έδρα την Κίνα, ο οποίος αποκόμισε 345.000 ευρώ εξαπατώντας 10.000 υποψήφιους αγοραστές.
  • Οι αρχές κατέσχεσαν 105 servers στη Γερμανία και προχώρησαν στην ταυτοποίηση 440 χρηστών που επιχείρησαν να αγοράσουν το παράνομο υλικό.

Τι είναι η Επιχείρηση Alice και πώς κατέρριψε 373.000 sites;

Η «Επιχείρηση Alice» (Operation Alice) αποτελεί μια συντονισμένη παγκόσμια αστυνομική δράση 23 χωρών, με την τεχνική υποστήριξη της Europol, η οποία έλαβε χώρα από τις 9 έως τις 19 Μαρτίου 2026. Στόχευσε και εξάρθρωσε ένα τεράστιο δίκτυο 373.000 απατηλών .onion domains στο Dark Web, κατασχέτοντας 105 servers. Παράλληλα, ταυτοποιήθηκε ο κύριος διαχειριστής της υποδομής, καθώς και 440 αγοραστές παράνομου υλικού παγκοσμίως, μέσω ανάλυσης συναλλαγών κρυπτονομισμάτων.

Το χρονικό και η δομή της έρευνας

Η αρχική έρευνα ξεκίνησε στα μέσα του 2021, εστιάζοντας αποκλειστικά σε μια πλατφόρμα του Dark Web με την ονομασία "Alice with Violence CP". Οι γερμανικές αρχές, οι οποίες ηγήθηκαν της επιχείρησης, διαπίστωσαν σταδιακά ότι η συγκεκριμένη πλατφόρμα δεν αποτελούσε μια μεμονωμένη οντότητα, αλλά τον πυρήνα ενός εξαιρετικά εκτεταμένου δικτύου. Ο διαχειριστής, ένας 35χρονος άνδρας με έδρα την Κίνα, είχε δημιουργήσει ένα βιομηχανικής κλίμακας δίκτυο παραπληροφόρησης και απάτης.

Σε διάστημα σχεδόν πέντε ετών, οι αρχές χαρτογράφησαν την ψηφιακή υποδομή του δικτύου. Διαπιστώθηκε ότι ο διαχειριστής ήλεγχε, στην κορύφωση της δραστηριότητάς του, έως και 287 servers, εκ των οποίων οι 105 βρίσκονταν επί γερμανικού εδάφους. Αυτοί οι servers φιλοξενούσαν πάνω από 373.000 διαφορετικά .onion domains (τις διευθύνσεις δηλαδή που είναι προσβάσιμες αποκλειστικά μέσω δικτύων ανωνυμοποίησης όπως το Tor). Η χρήση δεκάδων χιλιάδων "micro-shops" είχε ως στόχο τη διασπορά του ρίσκου. Ακόμη και αν οι αρχές εντόπιζαν και έκλειναν μερικά εκατοντάδες sites, το κεντρικό δίκτυο θα παρέμενε ανεπηρέαστο, καθιστώντας τον εντοπισμό του κεντρικού κόμβου μια εξαιρετικά περίπλοκη διαδικασία.

Ο μηχανισμός της απάτης και το Honeypot

Η ουσιαστική διαφοροποίηση της συγκεκριμένης υπόθεσης από αντίστοιχες επιχειρήσεις του παρελθόντος (όπως η Operation Stream) έγκειται στη φύση του ίδιου του δικτύου. Οι 373.000 ιστότοποι διαφήμιζαν υλικό σεξουαλικής κακοποίησης ανηλίκων (CSAM), κλεμμένα δεδομένα πιστωτικών καρτών, πρόσβαση σε παραβιασμένα εταιρικά δίκτυα και διάφορες υπηρεσίες Cybercrime-as-a-Service (CaaS).

Ωστόσο, το δίκτυο ήταν εξ ολοκλήρου απατηλό. Ο διαχειριστής είχε στήσει ένα ψηφιακό σκηνικό (honeypot) με previews και ψεύτικες κριτικές για να πείσει τους επισκέπτες για τη γνησιότητα των υπηρεσιών του. Οι ενδιαφερόμενοι πλήρωναν ποσά που κυμαίνονταν από 17 έως 215 ευρώ μέσω Bitcoin, καταχωρώντας παράλληλα μια διεύθυνση email για να λάβουν τα αντίστοιχα "πακέτα" δεδομένων (από μερικά gigabytes έως terabytes). Μετά την ολοκλήρωση της συναλλαγής, δεν λάμβαναν απολύτως τίποτα.

Υπολογίζεται ότι από τον Φεβρουάριο του 2020 έως τον Ιούλιο του 2025, ο 35χρονος εξαπάτησε περίπου 10.000 "πελάτες" παγκοσμίως, συγκεντρώνοντας παράνομα κέρδη που ξεπερνούν τα 345.000 ευρώ. Η ειρωνεία της υπόθεσης είναι πως οι αγοραστές, όντας οι ίδιοι εγκληματίες ή άτομα που αναζητούσαν παράνομο υλικό, δεν μπορούσαν φυσικά να απευθυνθούν στις αρχές για να καταγγείλουν την απάτη.

Η τεχνολογική συμβολή της Europol και η ιχνηλάτηση κρυπτονομισμάτων

Η επιτυχία της Επιχείρησης Alice βασίστηκε καθοριστικά στην τεχνογνωσία της Europol όσον αφορά την ανάλυση blockchain και την ιχνηλάτηση κρυπτονομισμάτων. Ενώ το δίκτυο Tor κρύβει την IP διεύθυνση του χρήστη, οι συναλλαγές στο blockchain του Bitcoin παραμένουν δημόσιες. Οι αναλυτές της Europol παρακολούθησαν τις ροές των χρημάτων από τα πορτοφόλια των θυμάτων-αγοραστών προς τα κεντρικά πορτοφόλια του διαχειριστή.

Συνδυάζοντας αυτά τα δεδομένα με τα στοιχεία που εξήχθησαν από τους 105 κατασχεθέντες servers στη Γερμανία, οι αρχές απέκτησαν πρόσβαση στα ψηφιακά ίχνη των πελατών. Μέχρι στιγμής, η ανάλυση αυτών των δεδομένων έχει οδηγήσει στην πλήρη ταυτοποίηση 440 χρηστών. Αξίζει να σημειωθεί ότι, νομικά, η απόπειρα αγοράς υλικού CSAM συνιστά ποινικό αδίκημα, ανεξάρτητα από το εάν ο αγοραστής τελικά παρέλαβε το υλικό. Οι έρευνες συνεχίζονται προκειμένου να ταυτοποιηθούν ακόμη περισσότεροι εμπλεκόμενοι, ενώ έχει ήδη εκδοθεί διεθνές ένταλμα σύλληψης για τον διαχειριστή.

Ο αντίκτυπος στον ευρωπαϊκό χώρο

Η εξάρθρωση του δικτύου αναδεικνύει την κλίμακα του προβλήματος στον ευρωπαϊκό ψηφιακό χώρο. Η τοποθέτηση του 1/3 σχεδόν των συνολικών διακομιστών εντός της ΕΕ (Γερμανία) καταδεικνύει ότι οι κυβερνοεγκληματίες συνεχίζουν να εκμεταλλεύονται ευρωπαϊκές υποδομές φιλοξενίας δεδομένων, ποντάροντας ενδεχομένως στην πολυπλοκότητα των νομικών πλαισίων για τη διασυνοριακή άρση απορρήτου.

Για την Ελλάδα και τις τοπικές Διευθύνσεις Δίωξης Ηλεκτρονικού Εγκλήματος, υποθέσεις όπως η Operation Alice παρέχουν εξαιρετικά χρήσιμα δεδομένα (threat intelligence). Ο εντοπισμός τοπικών IP διευθύνσεων ή πορτοφολιών που σχετίζονται με το ελληνικό τραπεζικό σύστημα, μέσα από τη δεξαμενή των 10.000 εξαπατημένων αγοραστών, θα μπορούσε να οδηγήσει σε στοχευμένες επιχειρήσεις και εντός της ελληνικής επικράτειας. Η πρόσβαση στις υπηρεσίες CaaS αποτελεί άμεση απειλή για τις τοπικές επιχειρήσεις, καθώς πολλά από τα εργαλεία που διακινούνται στο Dark Web χρησιμοποιούνται για στοχευμένες επιθέσεις ransomware ή υποκλοπή εταιρικών δεδομένων στην ελληνική αγορά.

Η άποψη του Techgear

Η Επιχείρηση Alice αποτελεί ένα εξαιρετικό παράδειγμα σύγχρονης αστυνόμευσης στον κυβερνοχώρο. Το γεγονός ότι οι αρχές άφησαν το δίκτυο να λειτουργεί ως ένα τεράστιο honeypot για σχεδόν πέντε χρόνια, συλλέγοντας συστηματικά δεδομένα για χιλιάδες υποψήφιους εγκληματίες, δείχνει μια ωριμότητα στην τακτική προσέγγιση. Η απόλυτη ανωνυμία στο Dark Web αποδεικνύεται εκ νέου ένας τεχνολογικός μύθος

Όταν η εγκληματολογική ανάλυση του blockchain (crypto-tracing) συναντά την παραδοσιακή διασυνοριακή συνεργασία (OSINT, φυσική κατάσχεση server), το τείχος του Tor καταρρέει. Επιπλέον, το γεγονός ότι ο ίδιος ο δημιουργός της πλατφόρμας βασίστηκε στο CaaS για να εξαπατήσει τους "συναδέλφους" του, επιβεβαιώνει την πλήρη εμπορευματοποίηση (και την έλλειψη οποιουδήποτε "κώδικα τιμής") στην underground αγορά του διαδικτύου

Η οριστική μετάβαση των διωκτικών αρχών από την απλή κατάσχεση domain στην ανάλυση συμπεριφοράς και ροής κεφαλαίων είναι η μόνη βιώσιμη απάντηση στο σύγχρονο κυβερνοέγκλημα.

googlenews

Ακολουθήστε το Techgear.gr στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα!

Διαβάστε επίσης

Loading