O miliony dolarů přišli uživatelé sítě X poté, co klikli na zfalšovaný odkaz, který je měl dovést na schůzku v aplikaci Zoom. Podle zjištění bezpečnostních analytiků pocházeli pachatelé phishingového útoku z Ruska a ke svým aktivitám využívali služeb platební platformy Cryptomus. Ta svou benevolentní finanční politikou umožňuje anonymní platby za služby kyberzločinců, obchodování s drogami nebo převody peněz do sankcionovaného Ruska. Na první pohled Cryptomus vypadá jako kanadská firma, zakladatele má však v Uzbekistánu a práva na značku vlastní ruská společnost z ruského Tatarstánu. Investigace.cz pátrala po tom, kdo za platformou stojí.
V září roku 2023 oznámila kryptoměnová burza Binance, že odchází z ruského finančního trhu, čímž od svých služeb odřízla ruské banky a jejich uživatele. O necelý měsíc později vyplnila toto vakuum nově vzniklá kryptoměnová burza Cryptomus. Platforma svůj vznik oznámila na telegramovém kanálu tím, že spustila reklamní kampaně zaměřené na postsovětské země včetně Běloruska. Na rozdíl od Binance, která se rozhodla kvůli válce z trhu stáhnout, Cryptomus svou otevřenost vůči ruským zákazníkům vyzdvihovala. „Zatímco ostatní burzy ruší možnost používat ruské bankovní karty, my tento způsob platby našim uživatelům nadále poskytujeme,“ napsala firma ve svém telegramovém kanálu v listopadu stejného roku.
Další předností platformy byla zvýšená anonymita – k registraci na této burze není nutné absolvovat proces ověření totožnosti, takzvaný KYC (Know Your Customer), stačí uvést e-mail nebo telefonní číslo. „Měsíční limit pro výběr bez KYC je 100 tisíc dolarů (v přepočtu 2,3 miliony korun),“ uvádí platforma na svých stránkách. Pro každou transakci se uživatelům zakládá nová peněženka, trasování toku peněz a tedy i vyšetřování jejich praní je tak díky této funkci mnohem složitější.
Platforma pro krypto podvody?
Kvůli těmto možnostem se z Cryptomusu stala nejpopulárnější burza v prostředí kyberzločinu. Kanadský blockchainový analytik Richard Sanders zmapoval desítky služeb v oblasti kybernetické kriminality i platebních platforem využívaných k placení těchto služeb. Výsledky jeho pátrání zveřejnil investigativní novinář v oblasti blockchainu a digitálních témat Brian Krebs.
Sandersem prozkoumaných 122 webových stránek nabízejících reklamu na bulletproof hostingy, prodej odcizených osobních údajů, založení falešných účtů a profilů na sociálních sítích a další služby, jež napomáhají kyberzločinu, podporovalo podle jeho zjištění platby prostřednictvím platformy Cryptomus.
Navíc přinejmenším padesát šest krytpoměnových směnáren včetně casher.su, flymoney.biz, obama.ru nebo swop.is používá podle Sanderse služeb Cryptomusu pro zpracování svých transakcí. Zmíněné platformy jsou určeny hlavně rusky mluvícím uživatelům a poskytují možnost anonymně směnit jednu formy kryptoměny za jinou. V nabídce mají i převod peněz ze Západu do ruských bank s možností vybrat hotovost v místních pobočkách – téměř na všechny pobočky uvalily Spojené státy a další západní země v současnosti sankce.
Podle Sanderse používá pro zpracování svých transakcí služeb Cryptomusu minimálně padesát šest krytpoměnových směnáren včetně casher.su, flymoney.biz, obama.ru nebo swop.is. Zdroj: Flymoney„Porušují svou vlastní politiku AML (Anti Money Laundering), protože na webu uvádějí země, s jejichž občany nebudou obchodovat a kterým nebudou otevírat účty, včetně Ukrajiny a Ruské federace. Přesto mají desítky směnárenských partnerů věnujících se zpracování transakcí pro občany těchto dvou zemí,“ komentuje jeden z uživatelů služeb Cryptomusu na diskuzním fóru určeném pro hostingovou komunitu.
Toto tvrzení dokládají i poznatky odborníků z Chainalysis, americké společnosti, jež se zabývá analýzami blockchainu. „Pozorujeme, jak kyberzločinci v oblasti ransomwaru (škodlivého softwaru, který slouží k vydírání), obchodování s drogami, darknetových trhů, obchodování se sankcionovanými subjekty a jurisdikcemi či hacktivismu provádějí prostřednictvím Cryptomusu transakce a využívají platformu k praní špinavých peněz,“ uvedla společnost ve svém prohlášení.
Mezi příklady je třeba služba Kopěječka, která nabízí k pronájmu e-mailové adresy využívané pro spam či hromadné zakládání účtů, anebo moldavský bulletproof hosting PQ Hosting, jenž podle zjištění německé investigativní redakce Corectiv poskytoval hosting prokremelským dezinformačním klonům evropských zpravodajských webů, takzvané doppelgangery.
Cryptomus je partnerem i ruské hostingové firmy Aéza, která rovněž poskytla infrastrukturu pro doppelgangery. Zdroj: YoutubePodle zjištění investigace.cz je Cryptomus partnerem i ruské hostingové firmy Aéza, která rovněž poskytla infrastrukturu pro doppelgangery. Aéza opakovaně doporučovala Cryptomus jako bezpečný platební způsob, zatímco Cryptomus Aézu označil za „nejbezpečnější a inovativní web hosting“. „Cryptomus je naším partnerem a poskytuje legální nástroje pro finanční transakce. Nejsme si vědomi žádného porušení zákona z jejich strany. Obvinění, která zazněla v západních médiích, se v tuto chvíli zdají být nepotvrzená, protože jakákoli nezákonná činnost finančních platforem by nevyhnutelně přitáhla pozornost regulačních orgánů,“ okomentoval zjištění Arsenij Penzev, spoluzakladatel Aézy. Dodal, že v případě poskytnutí důkazů o nelegální činnosti Cryptomusu je firma připravena případ vyšetřit.
Majitelka v Praze? Nejsou pro to důkazy
Oficiálně se Cryptomus prezentuje jako kanadská firma Xeltox Enterprises LTD se sídlem ve Vancouveru. Podle zjištění kanadských novinářů z Investigative Journalism Foundation však jde o virtuální adresu, kterou v minulosti využívaly desítky společností zapojených do praní peněz. Dřívější název firmy byl až do dubna 2024 Certa Payments Ltd.
Platforma Cryptomus tvrdí, že sídlí v Kanadě. Zdroj:FacebookSpolečnost se stejným názvem byla podle zjištění Briana Krebse zapsaná do britského obchodního rejstříku přesně před rokem, v prosinci 2023. Jednatelkou a majitelkou 75procentního podílu britské firmy je pětadvacetiletá Vira Kryčka, která žije v Praze a má české i ukrajinské občanství. Naší redakci se mezi kanadskou firmou provozující Cryptomus a britskou firmou Viry Kryčky nepodařilo najít potvrzení vazeb. Kryčka nám rovněž řekla, že s kanadskou firmou a platformou Cryptomus nemá nic společného. „Informace, které byly popsány v nedávných článcích a týkají se mé osoby a podnikání, nejsou pravdivé,“ dodala a odkázala redakci na právní podporu platformy Cryptomus. Firma však na dotazy redakce neodpověděla.
Kazaňská stopa
Práva na užití značky Cryptomus.com získala v červnu 2022 ruská firma Inovacionyje sistemy se sídlem v Kazani. Firma vlastní práva i na další značku finančních služeb, Enot.io, což je agregátor plateb, jenž sídlí ve stejné budově jako samotné Inovacionnyje sistemy. Na svých stránkách platforma uvádí, že nabízí jednu z možností, jak převádět peníze ze zahraničí do Ruska.
Enot.io má desítky negativních hodnocení na Yandexu – ruští uživatelé si hlavně stěžují na problémy s vybráním peněz. Mezi zaměstnanci platformy Enot.ie a také platformy Cryptomus se vyskytují bývalí studenti ruské Kazaňské státní univerzity. Firma na dotaz redakce ohledně propojení mezi pltaformou Enot.io a Cryptomusem neodpověděla.
Budova v Kazani, kde sídlí enot.io. Zdroj: enot.ioZakladatelem Cryptomusu je podle profilu na platformě LinkedIn uživatel jménem Sanjar Berdijev původem z uzbeckého Taškentu. Podle výpisu z kanadského rejstříku, který má investagace.cz k dispozici, založila kanadskou firmu občanka Uzbekistánu Sabina Salimovna Berdijeva z uzbecké Buchary.
Žena s tímto jménem působila několik let na antimonopolním úřadě v Buchaře. V letech 2016 až 2022 také studovala na Kazaňské státní univerzitě. Dnes pracuje v několika vzdělávacích institucích v Taškentu. Jejím spolužákem během magisterských studií byl Sanžar Salimovič Berdijev. Ten má v Uzbekistánu registrovanou firmu Quick Payments Solution, která má licenci na provoz finančních služeb.
Redakce Berdijevu oslovila s otázkou, zda je majitelkou kanadské společnosti. Berdijeva odepsala, že se ohledně své odpovědi poradí se svým právníkem. Následně svůj profil z LinkedInu, kde komunikace probíhala, smazala.
Majitel firmy Innovacionnyje sistemy Ildar Nasibullin, rovněž z ruského města Kazaň, se věnuje hokeji a podniká ve výrobě kovového nábytku. Na žádost redakce o komentář také neodpověděl.
„Bitcoin nejde zastavit“
Ještě před několika lety avizovala ruská vláda úplný zákaz kryptotrhu. Během Investičního fóra, jež se konalo v prosinci uplynulého roku v Moskvě, prezident Putin prohlásil, že Bitcoin je „nezastavitelný“ a „nejde jen tak zakázat“. Kryptotrh na Putinovu podporu reagoval okamžitě – během 24 hodin po jeho vyjádření vzrostla cena Bitcoinu o 2,88 %.
Týden před začátkem konference začal v Rusku platit zákon, který legalizoval těžbu a obchodování s kryptoměnami na ruských burzách, uznal kryptoměny za majetek a osvobodil je od DPH. Nové zákony umožnily ruským podnikům zapojit se do mezinárodního obchodu s využitím kryptoměn a schváleným subjektům povolit těžbu digitálních měn.
Podle názorů odborníků z Chainanalysis spočívá náhlá změna postojů ruského státu ve snaze legalizovat obcházení západních sankcí vůči Rusku prostřednictvím kryptoměn. Ruský klient si tak může nechat poslat peníze ze zahraničí a vybrat si je v hotovosti v Rusku nebo převést peníze z ruské banky na Západ. V centru Moskvy již nějakou dobu fungují směnárny, které vyměňují kryptoměny za hotovost. Identitu svých zákazníků neověřují.
Investigace.cz v minulosti identifikovala provozavatele jedné z telgramových směnáren se sídlem v Česku. Jednalo se o českou realitní firmu Villa Flora, jež dodnes nabízí ruským zákazníkům prodej českých bytů a zprostředkování převodu peněz do Ruska.
Autorka textu: Kristina Vejnbender
The post Cryptomus: Platební nástroj pro kyberzločince, nebo nová kryptozbraň Rusů proti sankcím? appeared first on investigace.cz.
