OSINT公开资源情报调查:暗网枪支销售+比特币追踪

去年11月份,美国政府问责办公室(GAO)以及酒精、烟草、枪支和炸药局(ATF)共同发布了一份针对互联网非法枪支售卖活动的调查报告。报告中涉及到明网和暗网中的强制购买活动,而在暗网中,总共7次购买活动有2次成功了。基于不同的OSINT(公开资源情报调查)技术,我们尝试想要找出购买枪支的代理商身份,并在可能的情况下追踪他们的交易活动。

我个人强烈建议大家阅读完整的调查报告,而且我从中也学习到了很多非常有意思的新东西。

 

报告链接:

1、 https://www.gao.gov/assets/690/688535.pdf
2、 https://www.gao.gov/products/GAO-18-24

 

调查报告OSINT+暗网概述

根据调查,明网中的72次枪支购买尝试均以失败告终,因为法律方面的原因,没有供应商愿意将非法枪支出售给相关代理机构。接下来,我们一起看看针对暗网的调查能给我们带来哪些有趣的东西。

报告中提到,暗网市场提供了直接售卖和拍卖这两种形式来给用户购买枪支。其中的暗网商店一般都是提供枪支和其他产品(例如毒品和违禁药品等等)的独立商店,但是有很大一部分的暗网站点都是钓鱼诈骗网站。

值得一提的是,在调查人员的七次购买尝试中,只有两次成功了,其余的五次均为网络诈骗。但是目前我们还无法确认,如果我们真的把钱打过去给到供应商的话,他们是否真的会把枪支快递给我们,还是说他们就直接终止交易了。

除了直接在暗网商城购买枪支之外,我们的调查人员还尝试了在线拍卖服务。这就相当于是暗网中的Ebay一样,你可以直接注册,然后成为卖家,接下来你就可以开始参与拍卖活动了。公平的反馈系统可以轻松帮你排除其中的任何诈骗活动。目前最受欢迎的暗网市场是DreamMarket、Tochka和Wall Street。在这三种类型的暗网市场中,你可以直接跟卖家联系,或者是砍价。用户不仅可以根据卖家回复的信息来判断其可信度,而且还可以通过中间商来完成交易。

在此之前,并非每一个暗网市场都允许买卖双方进行枪支交易的,而这一切都是从丝绸之路1.0开始的。在丝绸之路1.0,销售枪支是很正常的,但过了一段时间之后,由于风险太高,而且引起了执法部门的注意,所以网站的管理员决定下架这些枪支。值得一提的是,每一个暗网市场都有自己的条款和规定,其中涉及到了该市场允许交易的内容。

 

拍卖追踪

既然我们已经排除了几个不允许枪支交易的市场了,我们就可以把注意力转移到其他市场上。我们假设还有多个市场会进行枪支交易,而且对于同款枪支每个市场都有不同的报价。不过在调查过程中,我们发现几乎所有的暗网市场都提供了AR-15或UZI这两款枪支。

其中,Berlusconi和Valhalla的型号以及品种最为丰富,从泰瑟枪或手榴弹,再到AK-47,貌似是“应有尽有”。在Empire上,你还可以买到一些关于枪支的使用教程和指南,而且我们也发现了有些市场会拍卖UZI或AR-15。不过研究人员并没有在报告中披露关于枪支购买的任何细节信息,只提到了部分关于UZI的信息,而这些在售的UZI都是以色列制造的。

下面给出的“产品”描述跟ATF声称购买的产品非常相似:

跟ATF的研究人员所购买的产品相比,这个产品描述的不同之处在于它声称该枪支是半自动的,而ATF的报告中描述该枪支为全自动的。值得一提的是,这种类型的枪支的确是来自以色列的军工行业,而且还提供了枪支的产品序列号。在AR-15的产品描述中,报告提到了被删除的序列号信息,但关于UZI的序列号却没有被删除,所以我们假设这些序列号有可能是厂家提前给到商家的,或者直接就是伪造的。但是,相关的供应商是在今年年初才注册的,所以在给定时间戳的情况下,它根本不能出售任何枪支,不过它可以将业务转移到其他暗网市场,不过报告中并没有提及到这方面内容。

因此,我们无法笃定ATF就是从这个供应商那里购买的枪支,或者说ATF购买的枪支与这家供应商有任何的关联,但是通过对枪支来源进行分析后我们发现,这种枪貌似只有这一家供应商在售,而且他们出售的枪支均产自以色列。

 

交易追踪

正如我们之前提到的那样,ATF有两个地方可以直接购买到枪支。首先,第一个就是类似Berlusconi、Empire或Valhalla这样的商城。在这种地方购买东西,一般不会遇到诈骗分子,因为这里大部分受信任的商家都支持中间商托管交易。但是在其他独立的暗网市场中就不一定了,而且ATF在报告中也提到了遇到诈骗的情况。

实际上,暗网市场和暗网网站之间的区别是非常微妙的。“网站”这个词,在我看来,也就是商家想在自己的平台上完成交易而已,而无需通过类似Berlusconi这样的中间商城。而且我对部分网站的页面进行了分析,发现了其中包含所有人可见的比特币钱包地址。除此之外,我觉得他们应该只接受提前转账。我从声称出售枪支的暗网网站中收集了一些比特币钱包地址,并编写了一个扫描脚本来扫描传入的交易信息。

当然了,我只是想看看是不是真的有人会为了购买枪支而真的向厂家支付比特币。当然了,出于多种原因,我无法追踪到ATF的交易。

 

Wallet watcher

我在automatingosint.com上无意中发现了这个脚本,这个脚本非常好用,但并不是我想要的,所以我自己编写了一个小工具,它可以根据时间戳来检测所有传入的事务,它使用了blockback.com和blockonomics.io的API接口。

Wallet watcher:https://github.com/woj-ciech/Wallet-watcher

下图显示的是跟踪到的样本交易:

 

总结

本文的目标是通过分享GAO的调查报告来提高大家对暗网或者明网中枪支销售情况的认知,以及如何处理比特币跟踪以及公开资源情报调查的基础知识。即使我们并没有调查出非常多有价值的信息,但希望能够通过一些简单的信息,来帮助大家对暗网枪支销售有一个基本的了解。

 

使用到的工具

1、 https://bitcoinwhoswho.com
2、 https://www.blockchain.com
3、 https://coindesk.com
4、 https://www.blockonomics.co
5、 https://blockexplorer.com/

(完)