Davy de Valk vedl relativně nezajímavý život v jedné čtvrti Rotterdamu. Měl přítelkyni, dvě děti a chodil na fotbal, kde se občas porval. Jinak žil na podpoře a celé noci trávil s počítačovými hrami. Na jedné z rotterdamských škol se naučil základy programování a získal i zběžné povědomí o tom, jak proniknout do systému v případě, že nezná heslo. A tak si ho začali najímat lidé z organizovaného zločinu, aby jim zjistil, kde se zrovna nachází kontejner, do něhož na druhé straně oceánu uložili drogy. Davy de Valk začal vydělávat miliony.
Tento text si můžete poslechnout i v audioverzi. Audioverze vybraných článků investigace.cz odebírejte zde.
Trh s kokainem v USA se každý rok zmenšuje, a narkobaroni proto hledají nová odbytiště, zejména v Evropě. Za poslední roky se čistota a kvalita kokainu na evropských trzích výrazně zvýšila, zatímco velkoobchodní cena, kolem 27 000 eur (zhruba 730 000 korun) za kilogram, zůstává stejná.
Narkobaroni, kteří kokain do Evropy pašují, platí nejvyšší výdaje za dopravu drogy od latinskoamerických farmářů, takzvaných cocaleros, za brány evropských přístavů. Samotní cocaleros a jejich koordinátoři prodeje totiž za kilogram hydrochloridu kokainu dostávají jen přibližně 1 700 dolarů (asi 46 000 korun). A zatímco bezpečnostní kontrola v mnoha latinskoamerických přístavech, odkud kokain do Evropy putuje, zůstává nevalná, evropské přístavy jako Rotterdam, Antverpy nebo Hamburg do zvýšení automatizace a kontrolních opatření každoročně investují miliony eur. Pro dovozce kokainu je to sice problém, jak ale vyplývá z informací, které redakce investigace.cz získala, nejde o problém nepřekonatelný.
Text vychází v rámci mezinárodního novinářského projektu OCCRP NarcoFiles: Nový kriminální řád. Projekt se věnuje globálnímu organizovanému zločinu a inovacím, jež používá. Současně se zabývá i lidmi, kteří proti těmto formám zločinu bojují. Práci novinářů koordinuje Organized Crime and Corruption Reporting Project (OCCRP), jejíž součástí je i investigace.cz. Projekt vznikl ve spolupráci s Centro Latinoamericano de Investigación Periodística (CLIP) a začal únikem e-mailů z kolumbijské prokuratury, které byly sdíleny se serverem investigace.cz a dalšími médii po celém světě.
Šňupací květiny pro Evropu
Celníky v Kostarice čekalo 14. února 2020 pravé valentýnské překvapení. V kontejneru s květinami směřujícími do nizozemského přístavu v Rotterdamu našli téměř čtyři tuny kokainu. O nesmírném úspěchu kostarické policie, jejíž příslušníci ochotně pózovali mezi kilovými balíčky zabaveného kokainu, samozřejmě informovala média.
Pózování je jedna věc. Druhou je případ vyřešit, což se kostarické policii nepodařilo – zadrželi pouze řidiče, který kontejner dovezl do přístavu. Kdo si u něj odvoz objednal, ale muž nevěděl, a kauza tím pádem vyšuměla do ztracena.
O tři měsíce později se však případem začala zabývat policie na druhé straně oceánu, a sice v Nizozemsku. Poté, co se tamním vyšetřovatelům podařilo dostat ke zprávám ze dvou šifrovaných komunikačních platforem, EncroChat a SkyECC, zjistili, že v celé záležitosti hrál zásadní roli jedenačtyřicetiletý Nizozemec, jenž z pohodlí svého pokoje získával klíčové údaje z interních IT systémů antverpského a rotterdamského přístavu.
Dešifrované zprávy odhalily, že oficiálně nezaměstnaný Davy de Valk má jedno velmi dobře placené povolání. Živil se totiž jako „black hat hacker“, což je termín označující lidi, co se nabourávají do počítačových systémů za účelem páchání trestné činnosti.
Davy de Valk se specializoval na pronikání do IT systémů hlavních evropských námořních přístavů a získané informace pak prodával pašerákům kokainu. Na základě soudních spisů, policejních zpráv a kyberbezpečnostní analýzy o této kauze tak reportéři investigace.cz dali dohromady, jak nizozemský hacker a jeho spolupracovníci za pomoci poněkud amatérských metod pronikli do IT systémů dvou nejrušnějších evropských přístavů.
Časy se mění
Ještě před pár lety přitom platila jiná pravidla. Jestliže narkobaroni chtěli pašovat kokain do Evropy, museli podplatit celý řetězec lidí v přístavu – od obsluhy jeřábu přes celníky až po vrátného. Digitalizace a automatizace námořní logistiky jim však otevřela netušené možnosti. Díky informacím od hackerů typu Davyho de Valka překupníci potřebují pouze zkorumpovaného zaměstnance, který nainstaluje do počítače s přístupem do interních přístavních IT systémů malware, a řidiče kamionu, aby náklad vyzvedl a odvezl.
V tomto duchu pracoval i Davy de Valk. Stačilo mu dostat se k jedné zaměstnankyni přístavu, která si vzala jeho USB klíč s malwarem a na jednu minutu jej zapojila do počítače. Za to obdržela odměnu ve výši 10 000 dolarů (přibližně 230 000 korun). Způsob, jakým Nizozemec s daty pracoval, o něm zároveň dost napověděl.
„[Tyto informace získal – doplněno redakcí] nepříliš dobrý hacker. Použil už čtyři roky staré exploity (malware, který využívá bezpečnostní chyby v původním kódu, pozn. red.), aniž se příliš snažil zakrýt, co dělá, nebo po sobě aspoň uklidil. Jde o takzvaně ‚hlučný‘ útok, který by spustil spoustu výstrah, kdyby antverpské přístavní systémy byly nastaveny tak, aby podobné akce detekovaly,“ okomentoval data z hackerského útoku Davyho de Valka expert na kybernetickou bezpečnost Ken Munro.
Za půl milionu eur pak de Valk nabízel informace o tom, do kterého kontejneru je bezpečné kokain naložit v jednom z latinskoamerických přístavů a jak si drogu z kontejneru s cizí zásilkou posléze vyzvednout. Nizozemec dokonce navrhoval, že k celé akci vytvoří i potřebnou dokumentaci.
Když se kauza dostala před soud, Davy de Valk se hájil tím, že se s pašeráky kokainu spojil jen kvůli vývoji nové počítačové hry o obchodu s drogami, neboť prý potřeboval nasát autentickou atmosféru. Soud jeho vysvětlení považoval za „zcela nevěrohodné“ a de Valka poslal na deset let do vězení.
Jeho právník na naše dotazy ohledně svého klienta a aktuálního stavu případu neodpověděl.
Rekordní zachycení kokainu
Obrovské množství přepravních kontejnerů odbavovaných v hlavních evropských přístavech, jako jsou Antverpy nebo Rotterdam, nabízí obchodníkům s drogami dostatek příležitostí ke zneužití – odhaduje se, že z 98 milionů kontejnerů, jež byly v evropských přístavech odbaveny v roce 2021, bylo zkontrolováno méně než 10 %.
Podle interní zprávy Europolu, kterou získala investigace.cz, bylo jen v roce 2021 v přístavech Rotterdam a Antverpy zabaveno rekordních 160 tun kokainu. To ale podle odborníků představuje méně než třetinu celkového množství této drogy, jež přístavy prošlo.
Jedním z problémů důkladnější kontroly je to, že systémy těchto námořních přístavů byly navrženy tak, aby „dostaly kontejnerový náklad nebo jakýkoli náklad z bodu A do bodu B v co nejkratším čase a za co nejnižší náklady“, řekl redakci investigace.cz Jan Janse, šéf rotterdamské přístavní policie.
Davyho „spoje“
Dešifrované konverzace z dnů a týdnů, jež vyústily v krach de Valkovy kokainové operace, nastiňují, jaké informace a za jakou cenu hacker poskytoval komukoli, kdo byl ochotný za jeho služby zaplatit.
Na základě dlouhodobého sledování kontejnerů neboli toho, které z nich jsou přístavními celníky kontrolovány pravidelně a které ne, dokázal klientům doporučit, kam mají svůj náklad kokainu uložit, aby si jej pravý majitel kontejneru nevšiml.
Potom jim posílal šifrované zprávy ohledně vytipovaných kontejnerů: „Do tohodle to můžeš dát, není plnej… a nepůjde na scan,“ stojí v jedné z nich.
Zákazníci ale nejdříve museli zaplatit: „25k jakmile se do toho dáme, 225k jakmile pošlu tp příkaz (padělaný dokument, takzvaný příkaz k transportu, umožňující kriminálníkům vyzvednout kontejner se zásilkou drog a vyvézt jej z přístavu, „k“ je zkratka pro tisíce, pozn. red.) a 250k pak,“ vysvětloval svůj ceník ve zprávě klientovi.
V momentě, kdy kontejner dorazil do Rotterdamu, Davy de Valk zajistil vhodnou situaci, aby si zákazník mohl svůj kokain bezproblémově vyzvednout. Kvůli tomu musel napřed napsat e-mail reálným majitelům kontejneru a také zrušit jejich objednávku u logistické firmy, jež jim měla kontejner vyzvednout a dopravit. Cílem bylo zabránit situaci, kdy si kontejner i s nákladem drog odveze jeho pravý majitel. Poté na základě údajů, které ukradl z IT systému, padělal dokumenty, jež jejich držitele opravňovaly k vyzvednutí kontejneru. Na scéně se tak mohl objevit řidič mafiánů a ten inkriminovaný kontejner odvezl na bezpečné místo, kde jeho šéfové v klidu a bezpečí přeložili kokain do menších aut určených k další distribuci. Za tuto práci i nabídky spolehlivých přepravních společností, která označoval „moje spoje“, si Davy de Valk účtoval 500 000 eur.
Kde se stala chyba?
Pro pašování kokainu zachyceného v Kostarice navrhl kontejner používaný společností Vinkaplant, která z Jižní a Střední Ameriky dováží do Evropy tropické rostliny. Tento způsob zneužívání legální společnosti se obvykle provádí bez jejího vědomí. To platí i pro Vinkaplant. V kostarickém případě nebyla společnost obviněna z žádného protiprávního jednání.
„V kontejneru jsou kytky. Snadno se nakládá. Není přeplněnej,“ napsal nizozemský hacker svému klientovi, jehož totožnost soud nezjistil.
Jenže tentokrát de Valkův „spoj“ selhal. Při rutinní kontrole si kostarická policie všimla nesrovnalosti – hmotnost kontejneru totiž neodpovídala údajům uvedeným v papírech. Po otevření policie zjistila, že kromě okrasných rostlin se uvnitř nacházelo i 5 048 černých balíčků, z nichž většina obsahovala čistý kokain.
Přestože jedna z největších kokainových operací zachycených v Kostarice roku 2020 skončila pro pašeráky fiaskem, Davy de Valkovi to nezabránilo v tom, aby se záležitostí pochlubil: „Byl to jeden z mých spojů, což dokazuje, že se vyznám, jinak by to tam ti lidi nenaložili,“ sdělil v šifrované zprávě klientovi.
Podvod s kontejnerovým PIN kódem
Jak už bylo řečeno, klíč k de Valkově úspěšné hackerské činnosti spočíval v možnosti dostat se k PIN kódům přepravních kontejnerů, které získal tím, že pronikl do přístavního IT systému.
PIN kód každého kontejneru je jedinečné referenční číslo, přidělené před připlutím lodi do cílového přístavu. Aby si dopravci, najatí majiteli kontejneru, mohli přepravované komodity v přístavu vyzvednout, musí zadat správný PIN kód.
„V roce 2018 dostávaly orgány činné v trestním řízení v rotterdamském přístavu stále častěji hlášení o krádežích kontejnerů, jejich zmizení, doručení na nesprávné adresy či o jejich nálezech na neočekávaných místech,“ uvádí interní zpráva Europolu. Policie si tehdy uvědomila, že zločinecké sítě objevily nový modus operandi pro pašování drog, který Europol nazval „podvody s PIN kódy“.
Překupníci totiž zjistili, že PIN kódy kontejnerů jim kromě vyzvednutí zásilky umožní i sledování stavu kontejneru, včetně toho, kdy je připraven k vydání. Bez těchto kódů se pašeráci museli v minulosti uchylovat k mnohem riskantnějším metodám, například vloupat se do kontejnerů přímo v přístavišti a následně se svým zbožím nepozorovaně zmizet.
Poměrně snadné podvody s PIN kódy znamenají, že tyto kódy mají vysokou cenu: podle interní zprávy Europolu šifrované chaty ukazují, že zločinci za takové kódy běžně platí od 20 000 do 300 000 eur (mezi půl milionem a sedmi miliony korun).
„Zatím je poměrně snadné najít někoho, kdo má přístup ke kódu, a zaplatit mu za informaci peníze,“ řekl redakci investigace.cz šéf rotterdamské přístavní policie Jan Janse. „Pokud ten někdo napoprvé neřekne ano, lidé z organizovaného zločinu ho budou pronásledovat dál. Třeba až bude nakupovat v obchodě, hodí mu do košíku balík peněz, možná se pokusí nabídnout peníze i po třetí. Existují samozřejmě i mnohem drsnější možnosti, kdy pracovníkům přístavu ukazují fotky jejich dětí a prohlašují: ‚Víme, kam chodí vaše děti do školy‘.“
USB Hack
Jakmile se provalilo kostarické fiasko, de Valk potřeboval najít nového klienta. Nabídl proto své služby dalšímu Nizozemci, Bobu Zwaneveldovi.
Před svým zatčením v roce 2021 šestapadesátiletý Zwaneveld žil sedm let v karavanu a kromě příležitostných stavebních prací byl oficiálně nezaměstnaný. Neoficiálně ale čile obchodoval s kokainem a zbraněmi, což v roce 2022 vedlo k jeho odsouzení na 12 let vězení.
Právník Boba Zwanevelda na naše dotazy neodpověděl.
Zwaneveld na nabídku spolupráce s de Valkem kývl. Představa, že by se mohl dostat k PIN kódům kontejnerů, se mu líbila. Navíc znal prostředníka, u soudu identifikovaného pouze číslem SkyECC z účtu 7MIOBC, který dvojici poskytl klíčový kontakt: zkorumpovanou úřednici.
Ta po svém zatčení vypověděla, že jí někdo nabídl 10 000 amerických dolarů (okolo 230 000 korun) za vložení USB klíče do svého pracovního počítače. Jakmile souhlasila, dostala telefon SKY – zabezpečené zařízení s aplikací pro šifrované zprávy –, aby mohla komunikovat se 7MIOBC, který její dotazy posléze sdílel ve skupinovém chatu s de Valkem a Zwaneveldem.
Jak Davy získal admin údaje?
Když uživatelé vytvářejí hesla v operačním systému Microsoft Windows pro uživatelské účty, samotné heslo se obvykle neukládá; místo toho se hashuje, což znamená zašifrování do řetězce, a tento hash se umístí do úložiště v počítači.
V síti pracovních stanic se systémem Windows se obvykle ukládají hashe pro více uživatelů, které lze použít k přihlášení do počítače. Hash správce domény však pravděpodobně nebude k dispozici. Davyho malware, fyzicky nasazený pomocí USB klíče, mu pravděpodobně umožnil nakonec získat hash doménového řadiče. Davy zmapoval síť a zřejmě se přesouval od počítače k počítači, dokud nenašel takový, který měl v paměti účet správce domény. Tato technika je známá jako „pass-the-hash“.
Mám to pod kontrolou
De Valk všechny ujišťoval, že nic neriskují, neboť po svém hacku vymaže všechny stopy.
„Neboj, dělám to už fakt dlouho,“ napsal ostatním.
„Stačí aktivovat program na USB, dvakrát klikni a počkej 15 vteřin, pak ho (USB, pozn. red.) můžeš vytáhnout,“ poslal 18. září 2020 instrukce zaměstnankyni přístavu.
Během několika minut tak spustili celou operaci.
„Jo, mám to!“ napsal do skupinového chatu a poslal snímek obrazovky dokazující jeho přístup k počítači zaměstnance, na němž bylo výrazně zobrazeno slovo „uživatel“ následované fotografií složek a disků. Uživatel 7MIOBC odpověděl fotografií USB připojeného k počítači v přístavní kanceláři v Antverpách.
Všechno ale neprobíhalo tak hladce, jak si Davy de Valk představoval: „Hej, jsem se právě dostal přes detekci narušení systému, byla to dost osina v prdeli. Jak dlouho může zůstat (zaměstnankyně přístavu, pozn. red.) připojená? Potřebuju ještě nejmíň dvě hodiny,“ sděluje uživateli 7MIOBC a dodává, „teď musím rozjet SSH, abych se dostal přes firewall, a teprve pak můžu zmapovat síť.“
SSH
SSH je síťový protokol často využívaný black hat hackery, který uživateli umožňuje přístup k počítači přes aplikaci „secure shell“ pomocí serveru, na němž probíhá relace. Poskytuje zabezpečený tunel do jiného klientského systému, vzdálený přístup k počítači nebo k součásti sítě a její ovládání, dokáže rovněž vydávat i příkazy a manipulovat s důležitými součástmi systému. Tyto operace jsou kritické pro správu infrastruktury, ale mohou být také zneužity hackerem ke škodlivým účelům.
„Dne 21. září se Davy de Valk naboural do přístavního softwaru Solvo. Ten je používaný ke správě umístění kontejnerů. Logy z tohoto kybernetického útoku ukazují, jak si de Valk ve čtyři hodiny ráno otevřel uživatelskou příručku Solva, pravděpodobně proto, aby prozkoumal, jaké údaje může prostřednictvím programu Solvo získat (například jak vyhledat umístění kontejnerů),“ píše ve své zprávě společnost Northwave zabývající se kybernetickou bezpečností.
Z dešifrovaných zpráv také vyplývá, že se de Valk pokoušel naklonovat identifikační průkazy zaměstnanců přístavu. Do skupinového chatu SkyECC poslal fotku, na níž byl počítačový monitor s textem „badge“ a „alpha pass“, což odkazuje na plastové karty, jež zaměstnanci přístavu používají pro přístup do různých pracovních sektorů.
Není jasné, zda se de Valkovi nakonec podařilo tyto vstupní průkazy vyrobit. Data, jež analyzovala společnost Northwave, ale ukazují, že využíval bezpečnostní díry v antverpském přístavním systému minimálně až do dubna 2021.
Davy vyděrač
Davy de Valk však nebyl jen hackerem. Jednoho dne se rozhodl, že za slíbenou odměnu 20 kilogramů kokainu vyřeší dlouholetý spor mezi Bobem Zwaneveldem a člověkem označovaným jako Strýc. Spor se týkal sta kilogramů čistého kokainu, o který Strýc připravil Zwanevelda.
„Tak ať jde do prdele… stejně jsem to měl v plánu udělat (…) už mě štvou lidi jako strejda, co mě serou už několik měsíců, brácho (…) fakt ho ulovíme se vším, co máme, brácho,“ napsal zoufalý Zwaneveld v šifrované komunikaci uživateli Sky ECC 301226.
V dalších zprávách mluví o de Valkovi jako o Hackovi. „Právě jsem dostal strejdu na telefon, brácho, řekl jsem mu do soukromého telefonu, že pokud nebude mít zítra v 10 hodin cihly, tak končíme. (…) Hack mu řekl, že teď jedeme k jeho dceři a že tam má jet a vyřešíme to.“
To se však nestalo a 14. února proto Hack požádal Boba, ať mu pošle fotografie „strýcovy dcery a jejích osobních údajů, jako je datum narození“.
„Uvidíme, jak moc měl své dcery rád,“ odpověděl Zwaneveld.
Dne 29. ledna 2020 ohlásila mladá žena na policii, že k ní domů přišel muž a řekl jí, že její otec dluží 1,2 milionu eur. Když mu odpověděla, že netuší, kde se otec nachází, a že by měl odejít, muž se choval hrubě a prohlásil, že se příští den vrátí s dvaceti dalšími chlapy. Jakmile policie později mladé ženě ukázala fotografii Davyho de Valka, okamžitě ho poznala.
Hacker vyděrač se nakonec přiznal, že to byl on, ale popřel, že by ženě jakkoli vyhrožoval. Soud jeho vysvětlení nepřijal a uznal ho vinným i z pokusu o vydírání.
„Černý přístav“
Když belgická policie začala vyšetřovat zachycené diskuse na platformě SkyECC, doufala, že se jí podaří uzavřít takzvaný „černý přístav“.
„Policie tak pojmenovala řetězce zkorumpovaných zaměstnanců přístavů, řidičů náklaďáků a dalších osob, které umožnily pašování více než 200 tun kokainu do Evropy,“ uvedl pro server investigace.cz Kurt Boudry, belgický protidrogový vyšetřovatel. „Netušili jsme, že to bude tak rozsáhlé,“ dodal.
Podle zprávy Europolu z roku 2023 jsou podvody s PIN kódy v Rotterdamu a Antverpách značně podhodnocené a dochází k nim i v dalších evropských přístavech.
Jak se uvádí ve zprávě, v některých případech řidiči dopravních prostředků, kteří spolupracují s překupníky drog, pokračují po vyložení kontrabandu až k oficiálnímu dovozci a majiteli kontejneru, což znamená, že takové případy nejsou nikdy odhaleny ani nahlášeny.
Šéf policie rotterdamského přístavu Jan Janse prohlásil, že největší problém boje proti překupníkům spočívá v jejich schopnosti korumpovat zaměstnance přístavu pomocí peněz a zastrašování.
Dodal, že přístavní úřady a lodní společnosti experimentují se způsoby, jak zpřísnit bezpečnost, mimo jiné i tím, že nabízejí zaměstnancům školení, jak se bránit korupci, a omezují počty lidí, kteří mají přístup k údajům, jež mohou být zneužity překupníky.
„Neříkám, že tuto válku vyhrajeme, ale říkám, že jsme ji schopni vést lépe,“ řekl redaktorům investigace.cz Janse.