STUDIUM PRZYPADKU // ŚLEDZTWO INFRASTRUKTURY
27-częściowa pasywna inwigilacja OSINT, która zmapowała infrastrukturę strumieniowania wielu krajów, zidentyfikowała operatora poprzez 37+ połączonych kont i wygenerowała kompletny raport wywiadowczy z 186 krokami dowodowymi.
Operacja nielegalnego strumieniowania dystrybuująca tysiące kanałów piratowskich na rynkach europejskich została zbadana przy użyciu wyłącznie pasywnych technik OSINT. W trakcie wielofazowego śledztwa obejmującego 27 sesji analitycznych, operator został w pełni zidentyfikowany, cała infrastruktura serwerów została zmapowana, model finansowy został odtworzony, a przygotowano dokumentację gotową do przekazania organom ścigania.
Śledztwo rozpoczęto od jednego punktu danych — URL panelu strumieniowego — a dzięki systematycznej korelacji wielu źródeł informacji rozszerzono je, ujawniając tożsamość operatora, lokalizację domową, powiązania rodzinne, relację z dostawcą usług internetowych, architekturę serwerów obejmującą 5 węzłów w 3 krajach oraz oszacowanie operacji generującej €84 000–€420 000 przychodów w całym cyklu życia.
Docelowa infrastruktura była zasłonięta wielowarstwowo: przez dostawców hostingu odpornego na ataki, ochronę Cloudflare, DNS z dziedziną dziką oraz rozdzielne role infrastruktury (kodowanie, zarządzanie panelem, dostarczanie CDN, dystrybucja na krawędzi). Operator utrzymywał zero zarejestrowanych jednostek gospodarczych — brak danych korporacyjnych, brak rejestracji podatkowej pod ich imieniem powiązanej z operacją.
Celem było odpowiedzi na trzy pytania wyłącznie za pomocą metod pasywnych: Kto prowadzi tę infrastrukturę? Jak jest zorganizowana operacja technicznie i finansowo? Jakie dowody istnieją, aby wesprzeć działania egzekucyjne?
Analiza wzorców nazw użytkowników, korelacja adresów e-mail, wyliczanie platform. Zidentyfikowano 37+ kont na platformach deweloperskich, mediach społecznościowych, usługach gier i forumach podziemnych – wszystkie połączone spójnymi wzorcami nazw użytkowników i adresami e-mail.
Analiza DNS, korelacja certyfikatów, skanowanie portów, identyfikacja usług. Zmapowano 5 węzłów serwerowych w 3 krajach o różnych rolach: źródło kodowania, zarządzanie panelem, dostawa CDN, europejski krawędź i przekaźnik pocztowy. Zidentyfikowano infrastrukturę bulletproof hostingu, NAS oraz wzorce dostępu do VPN.
Wyliczanie interfejsów API, inwentaryzacja kanałów, kategoryzacja treści. Dokumentacja pełnego zakresu: tysiące strumieni w czasie rzeczywistym, tysiące tytułów VOD, setki seriali telewizyjnych – w tym setki premium kanałów z 11+ właścicieli praw w 5+ jurysdykcjach.
Identyfikacja kanałów płatności, szacowanie przychodów, mapowanie dostawców upstream. Zidentyfikowano model płatności tylko w gotówce za pomocą wykrytych platform płatności, oszacowano bazę subskrybentów i przychody oraz śledzono łańcuch dostawy treści od źródła satelitarnego przez kodowanie do dystrybucji.
Krosowanie wszystkich strumieni informacji. Rzeczywista tożsamość operatora została potwierdzona poprzez zbieżność niezależnych łańcuchów dowodów: zatwierdzenia w repozytorium kodu, profile mediów społecznościowych, rejestry publiczne, posty na forach i ślady infrastruktury.
Architektura pięciu węzłów została zmapowana za pomocą pasywnego DNS, przeźroczystości certyfikatów i odcisków palców usług:
Węzeł 1 (Pochodzenie/Encoder): Połączenie ISP typu domowego z nośnikiem kodującym (NAS + encoder sprzętowy). Obsługiwany z fizycznej lokalizacji operatora z wystawionymi usługami FTP, SMTP, RTSP, RTMP i VPN. Najbardziej narażony węzeł pod względem OPSEC.
Węzeł 2 (Panel): Hosting niezawodny z oprogramowaniem panelu strumieniowego z wystawionymi portami bazy danych (MariaDB) i cache (Redis) dostępnych z internetu — choć zabezpieczonych białą listą IP.
Węzeł 3 (CDN): Ten sam hosting niezawodny, obsługujący dostarczanie strumieni i hosting VOD. Uruchomiono na oprogramowaniu serwera sieciowego zakończonym wsparciem znanymi lukami z CVE.
Węzeł 4 (Krawędź): Europejski węzeł dostawy krawędziowej na innym dostawcy hostingu.
Węzeł 5 (Poczta): Chmurowy relay poczty obsługujący komunikację domenową.
Kompletny pakiet informacji – w tym identyfikacja operatora, topologia infrastruktury, analiza finansowa, inwentaryzacja treści oraz ocena wpływu na posiadaczy praw – została zebrana w strukturalny raport odpowiedni do przekazania organom ścigania. Dokumentacja zidentyfikowała odpowiednie ramy prawne w 5+ jurysdykcjach i zaproponowała konkretne kroki śledcze wymagające uprawnień prawnych do wykonania (dostęp do bazy danych, rekordy transakcji, informacje o abonentach ISP).
Cała 27-częściowa śledztwo przeprowadzono wykorzystując wyłącznie pasywne techniki OSINT. Źródła informacji obejmowały: odpowiedzi publicznych API, rekordy DNS, logi przejrzystości certyfikatów, analizę repozytoriów kodu, profile mediów społecznościowych, wyszukiwania w publicznych rejestrach, pasywne odciski palców usług oraz analizę postów na forach. Żaden system nie został zaakcesowany bez autoryzacji, nie testowano poświadczeń, a nie przeprowadzono aktywnego wykorzystania.
Czy to sieci oszustw, eksploatacja marki, czy infrastruktura konkurencji — mapujemy to, co inni przeoczą.