In February 2016, the BKA shut down several underground forums at once. Across Europe, 69 raids were carried out and the operator Asmir M. was arrested. Our insider explains how that succeeded. He takes us on a little journey through time. It's back to spring 2016, the "good old days" of the underground economy of Comlync.cc, Faking.to and Fato.me.

The following article explains how it came at the time to the bust of the two largest illegal forums and Asmir_Cracker.

Comlync.cc was in its time the second largest forum after the crime network, in the rest of the article called CNW. The Forum Comlync.cc had a loyal member base and a slightly higher level than the CNW.

Relevant persons:

the admins: Asmir_Cracker, Armageddon (deposit bottle) and ProGear
the S-Mod or Mod: Kppd
other important people: Mr.Montanna aka Moldova

The sale of Faking.to was the beginning of the end

Comlync.cc was established as the public board of Asmir_Cracker and Armageddon. It should serve at the beginning to collect new members for the forum Faking.to. Those who proved themselves on Comlync should be included in the "exclusive circle" of Faking.to. Comlync.cc quickly became much more active than Faking.to. Since Asmir M. had money problems, he decided "with a heavy heart" to sell the forum Faking.to.

Asmir started a thread on Faking.to and announced that he wanted to sell Faking.to. He launched a public auction, which should end on day X in 2015. On the said day Asmir told his users that he had found a buyer for the forum and he would leave this for him for 10,000 EUR. But at the request of the new owner, Asmir would forward the forum.

Asmir let himself say 5,000 € in Bitcoin. The remaining 5000 euros, the seller wanted to receive via Western Union via a runner in Bosnia. This approach should later prove to be a grave mistake.

After selling Faking.to: an admin without access

For the first two weeks after handing over the board, the forums routine went off quite normally. You did not notice the transfer. Then Asmir suddenly published a statment. The user who had bought the forum has, despite the agreement just changed the server. Asmir consequently no longer had access to the new web host. Asmir could no longer ensure the safety of users, it said in his post. He and his entire team distanced themselves from Faking.to. One can advise the users only to continue to use this forum, he warned.

A short time later Faking.to was history. No one wanted to be active there without the well-known team under the leadership of Asmir. Asmir did not found his successor Portal Fato.me two weeks later. However, this could not tie in with the success of Faking.to.

Meanwhile, the forums on Comlync.cc continued to run normally, the underground forum has seen a steady increase in new members. There were some very good vendors (dealers) there. The climate was very good there too. Everything went on normally, until Comlync.cc was picked up at the end of February 2016 by the BKA. Of course, once great confusion prevailed. Nobody knew exactly what had happened. To date, very few users have learned how it could come to the raid and arrest. Almost the entire team was convicted of their actions. But what happened?

The bust of Asmir_Cracker:

We remember the sale of Faking.to to an unknown user. It later turned out that the forum was acquired by the Federal Criminal Police Office (BKA). This was to determine the identity of the seller and convict his accomplices. After the purchase, the BKA had full access to all contents of Faking.to including private messages. That was worth the men 5,000 EUR in BTC.

The "runner" who had received the money via Western Union from BKA was unfortunately someone whom Asmir personally knew. It was his cousin. The BKA was on the day of Busts with a team on the ground in Bosnia. The employees initially assumed that the recipient of the half purchase price was Asmir_Cracker himself. A Bosnian special police unit and staff from the BKA carried out the access. Asmir's cousin was arrested. It quickly became clear that it was not Asmir. They needed the real identity of the detainee in a timely manner. So the cousin was interrogated.

Cousin was quick to confess

Wie man sich vor geistigem Auge vorstellen kann, verlaufen derartige Verhöre in Bosnien nicht ganz so „nett“, wie in Deutschland. Sie haben ihm gedroht und ihn geschlagen. Schon nach kurzer Zeit gab er den echten Namen und Wohnort von Asmir preis. Asmir M. (Asmir_Crackers) wohnte im gleichen Dorf wie sein Cousin. Also beschloss das BKA und die bosnischen Einheiten, direkt zuzugreifen, bevor jemand Verdacht schöpfen oder fliehen konnte. Es klopfte an Asmirs Tür, der schon auf sein Geld gewartet hatte. Weil er seinen Cousin erwartete, schaltete er seinen ansonsten verschlüsselten PC nicht aus und öffnete stattdessen die Tür.

In dem Moment als er die Tür öffnete, wurde er sofort von Beamten der bosnischen Speizaleinheit überwältigt und auf dem Boden fixiert. Beamte des BKA sicherten umgehend alle Daten auf Asmirs PC. Die Verschlüsselung half ihm nichts, weil das Gerät angeschaltet war. Somit hatte das BKA auch den kompletten Zugriff auf alle Daten von Comlync.cc und Fato.me.

Die Busts von Armageddon, kppd & Moldova

Die Busts dieser drei User stehen in einem sehr engen Zusammenhang zur Festnahme. Sie wurden warscheinlich durch Asmirs stümperhaftes Verhalten ermöglicht. Moldova spielt dabei aber den wichtigsten Part. Moldova war früher in mehreren Untergrund-Foren auch als Mr. Montanna bekannt. Er verdiente sein Geld durch den Verkauf von geklauten Kreditkarten und Accounts wie z.B von Paypal, Amazon oder Zalando. Da er weder phishen, Spam-Mails verschicken oder hacken konnte, musste er die Ware auf einem anderen Weg bekommen.

Die Amazon-, Kreditkarten- und PayPal-Accounts verkaufte er weiter, nachdem er sie vom User Armageddon gekauft hatte. Dieser gab ihm die Accounts im Voraus und erhielt nach erfolgtem Verkauf des Accounts 80% des Geldes. Den gleichen Deal hatte er mit Kppd für Zalando-Accounts etc.

Persönliche Freundschaften sind gefährlich

In dieser Zeit baute er mit den beiden Händlern eine Freundschaft auf. Bald schon unterhielten sie sich über Threema und Co. auch über private Dinge. Nachdem Mr.Montanna aufgrund seiner Tätigkeiten Probleme mit dem Staat bekam, zog er sich erstmal eine Zeitlang zurück. Kurze Zeit später tauchte er aber wieder als der User Moldova auf. Anstatt Kreditkarten oder geklaute Accounts zu verkaufen, bot er seinen Kunden diesmal Drogen an.

Über das Forum lernte Mr.Montanna, jetzt als Moldova aktiv, einen anderen Nutzer kennen. Sie verstanden sich auf Anhieb gut. Schon nach nicht allzulanger Zeit trafen sich die beiden im echten Leben. Dies passierte rund um den

BKA wollte den Lieferanten kriegen

Bei dem User mit dem sich Moldova traf, handelte es sich jedoch um einen V-Mann des LKA. Nachdem dieser das Vertrauen von Moldova erlangt hatte, tätigte der V-Mann im Auftrag des LKA Drogenkäufe bei Moldova. Erst waren es kleine Mengen. Der Plan des LKA war aber, über ihn an seinen Lieferanten zu kommen. Deswegen fragte sein „Freund“ nach einer großen Menge Drogen ( insgesamt 20 KG Amphetamin und 500 Gramm Kokain). Moldova organisiere also ein Treffen mit seinem Händler, wo der Kauf der Drogen stattfinden sollte. Als die Übergabe stattfinden sollte, fand dann der Zugriff des LKA/BKA statt. Moldova wurde mit auf das Revier genommen und machte ein „Lebensgeständnis„. Er sagte gegen seinen Lieferanten aus und auch gegen Armageddon und kppd.

Mit den Informationen von Moldova und den gesammelten Daten des Servers von Faking.to und Comlync.cc hatte das BKA genügend Beweise gesammelt, um auch Armageddon und Kppd zu verhaften. Auch Kppd hat später eine vollumfängliche Aussage gemacht und zur Strafmilderung seine Mitstreiter verraten.

ProGear

Progear hatte neben der Administration von Faking.to, Fato.me und Comlync.cc auch noch sein eigenes Projekt. Er betrieb das Pay-TV Portal iStreams.to, welches zur gleichen Zeit wie Comlync.cc und Fato.me abgeschaltet wurde. Sein Bust wurde durch die Ermittlungen gegen iStreams.to einfacher. Am 05.02.2019 wurden die vier Betreiber des Pay-TV-Anbieters iStreams.to wegen bandenmäßigem Computerbetrug verurteilt. Zu den strafrechtlichen Konsequenzen mussten sie an Sky Deutschland eine Schadensersatzsumme in Höhe von 150.000 Euro leisten. Rund 7.400 Kunden des illegalen Anbieters hatten dort über 20.000 einzelne Streaming-Pakete gebucht, um sich die hohen Gebühren der legalen Pay-TV-Anbieter zu sparen.

Fazit

Eines sollte den Beteiligten derart illegaler Machenschaften klar sein. Man hat dort keine Freunde! Jeder ist sich selbst der nächste. Außerdem sollte man niemals aus Gier irgendwelche Vorsichtsmaßnahmen vernachlässigen. Wer weiß schon was passiert wäre, hätte Asmir_Cracker Faking.to nicht verkauft. Das gleiche gilt für Moldova. Hätte es kein Treffen mit dem V-Mann gegeben, wäre auch er und andere Beteiligte bis heute möglicherweise unbehelligt geblieben.

The consequences have hit her hard. The perpetrators had to expect imprisonment of one to five years. However, the sentence may exceed that if, for example, the perpetrator has fulfilled several offenses or a particularly serious case exists. The exact penalty always depends on the individual case. Not everyone is fortunate enough to be summoned to a youth chamber due to their age, as do the creators of iStreams.to. The sentence for adult offenders looks quite different again.