Vastaamo-jutussa iso paljastus: KRP jäljitti "jäljittämättömänä" pidettyä kryptovaluuttaa

Vastaamon tietomurtoa ja kiristyksiä koskevassa suuressa oikeudenkäynnissä pudotettiin maanantaina uutispommi.

Aluesyyttäjä Pasi Vainio paljasti, että KRP on selvittänyt Vastaamon kiristäjän virtuaalivaluuttasiirtoja ja kykenee osoittamaan, että kiristäjälle lähetettyjä lunnasrahoja päätyi Julius Aleksanteri Kivimäen henkilökohtaiselle pankkitilille. 

Asia selvisi lisätutkinnassa, jota syyttäjä pyysi KRP:ltä viime marraskuussa. Tutkimukset valmistuivat noin kaksi viikkoa sitten. KRP oli selvittänyt asiaa kaikessa hiljaisuudessa.

Syyttäjä kuvaili lisätutkintaa merkittäväksi näytöksi Julius Aleksanteri Kivimäkeä vastaan. Syyttäjien mukaan tämä on taas yksi uusi todiste siitä, että lukuisista rikoksista syytetty Kivimäki todella on Vastaamon kiristäjä.

Kivimäen puolustus on luonnollisesti eri mieltä. KRP:n raportin sisältö on kiistetty jyrkästi. Rahojen liikkeitä ei puolustuksen mukaan ole pystytty selvittämään poliisin väittämällä tavalla. Kivimäki on ylipäätään kiistänyt kaikki rikossyytteet.

Mitä KRP tarkalleen sai selville ja miten? MTV Uutiset tutustui KRP:n laatimaan lisätutkintapöytäkirjaan. 

Lue myös: Julius Kivimäki avautui elämästään ja nuoruudestaan oikeudessa – MTV Uutiset seurasi oikeudenkäyntiä

Vanha kikka

Vaikka syyttäjä pyysi lisätutkintaa virtuaalivaluutoista vasta kesken oikeudenkäynnin, asiaa oli selvitelty KRP:ssä jo aivan Vastaamo-jutun esitutkinnan alkumetreillä.

Lokakuussa 2020, kun suuri tietomurto ei ollut vielä paljastunut julkisuudessa, KRP päätti hyödyntää vanhaa kikkaa löytääkseen henkilön, joka yritti kiristää Vastaamolta suurta rahasummaa asiakkaiden tietojen julkaisun uhalla. Tehtiin valeosto.

KRP lähetti 0,1 Bitcoinia virtuaaliseen osoitteeseen, johon kiristäjä oli pyytänyt lunnasrahoja.

Kiristyksestä syytetyn Julius Aleksanteri Kivimäen jäljille päästiin lopulta muilla keinoin, eikä valeostoa edes mainita jutun varsinaisessa esitutkintapöytäkirjassa.

Viime marraskuussa alkaneessa lisätutkinnassa tempusta oli sen sijaan merkittävää hyötyä.

Lue myös: Syyttäjä: KRP maksoi salaa Vastaamon kiristäjälle, rahat päätyivät mutkan kautta Julius Kivimäelle

Rahat siirrettiin heti eteenpäin

Lisätutkinnassa KRP jäljitti bc1q-alkuiseen Bitcoin-osoitteeseen siirrettyä summaa virtuaalivaluutta-analyysin keinoin. Tarkoituksena oli siis seurailla digitaalisia jälkiä ja selvittää, minne tai kenelle rahat olivat päätyneet.

Tutkinnassa saatiin selville, että pian KRP:n valeoston jälkeen kiristäjä oli siirtänyt rahat Bitcoin-lompakosta eteenpäin.

Tämän selvittäminen oli poliisille todennäköisesti helppoa, sillä Bitcoin-virtuaalivaluutta perustuu avoimuuteen. Kaikki lohkoketjussa tehdyt siirrot ovat julkisia ja niistä jää jälki. Kuka tahansa voi selailla siirtoja erilaisissa nettipalveluissa. 

Jälki vei virtuaalivaluuttojen vaihtopalveluun, jonne KRP lähetti tietopyynnön. Kyseinen palvelu ei vaadi asiakkailtaan rekisteröitymistä, eikä kerää esimerkiksi henkilötietoja. 

Ratkaisevaa johtolankaa ei siis ollut tarjolla, mutta johtolanka kuitenkin.

Monero-haaste

Palvelusta vastattiin, että rahojen lähettäjä oli vaihtanut Bitcoin-varat Monero-virtuaalivaluutaksi ja sen jälkeen lähettänyt ne edelleen yksityiseen Monero-lompakkoon.

Monero perustuu pitkälti samoihin periaatteisiin kuin Bitcoin. Myös se on lohkoketjuun perustuva niin sanottu kryptovaluutta, jota voidaan käyttää vaihdannan välineenä.

Mutta merkittäviä erojakin on. 

Moneron lohkoketjussa tapahtuvat varojen siirrot eivät ole samalla tavalla julkisia kuin Bitcoinissa. Lohkoketjuun on myös rakennettu ominaisuuksia, joiden on tarkoitus tehdä siirroista mahdollisimman vaikeita jäljittää.

Moneron puitteissa rahavirtojen seurailu on siis huomattavasti Bitcoinia vaikeampaa. Mainospuheissa Moneroa pidetään jopa ”mahdottomana jäljittää”.

Nyt KRP väittää onnistuneensa juuri siinä. 

Lisätutkintapöytäkirjasta on salattu kaikki kohdat, joissa KRP avaa menetelmiään. Monero-liikenteen analyysistä ei haluta paljastaa mitään. 

Tutkinnanjohtaja Marko Leposen mukaan tiedot ovat salaisia, sillä kyse on poliisin teknisistä menetelmistä.

Suomeksi kyse on siitä, että poliisi ei halua kertoa rikollisille tai kenellekään muulle, miten anonyyminä pidettyä kryptovaluuttaa olisi pystytty jäljittämään. Toimivista jäljityskeinoista kun voisi olla KRP:lle merkittävää apua myös muissa käynnissä olevissa tai tulevissa rikostutkinnoissa. 

Moneroa on tiettävästi suosittu esimerkiksi kyberrikollisten keskuudessa sen ominaisuuksien takia. 

Helppoa Monero-liikenteen selvittely ei Leposen mukaan silti ollut. 

KRP:n raportissa Monero-analyysiä kuvaillaan heuristiseksi, eli tarkoituksena on lähinnä selvittää todennäköisin tai paras vaihtoehto maksun vastaanottajaksi. Joskus päätelmät ovat hyvinkin varmoja, joskus eivät.

Virossa asuva mies puhutettu

KRP:n salaaman selvityksen perusteella voidaan pitää ”erittäin todennäköisenä”, että vaihtopalvelusta yksityiseen Monero-lompakkoon lähetetyt rahat päätyivät seuraavaksi toiseen virtuaalivaluuttojen vaihtopalveluun. Kyse on Binancesta, joka on yksi kansainvälisesti tunnetuimmista ja suurimmista virtuaalivaluuttapalveluita tarjoavista yrityksistä. 

Samalla siirrolla tuli yllättäen moninkertainen, useita tuhansia euroja suurempi summa virtuaalivaluutta kuin KRP:n alun perin lähettämä 0,1 Bitcoinia. 

KRP:n tutkimuksissa ei selvitetty, mistä muut rahat olivat peräisin. 

Sen sijaan KRP yritti jälleen saada vastaanottajan henkilöllisyyttä selville tietopyynnöllä, mutta tiliin ei taaskaan ollut liitetty mitään tunnistettavia henkilötietoja sähköpostiosoitteen lisäksi. 

Binancen mukaan tilille tulleet varat vaihdettiin Moneroista takaisin Bitcoineiksi. KRP:n selvityksen mukaan suurin osa niistä siirrettiin jälleen eteenpäin, tällä kertaa kahteen eri suuntaan. 

Lue myös:Lisätutkinta: Vastaamon kiristäjälle lähetettyjä rahoja siirtyi syytetyn Aleksanteri Kivimäen lisäksi Virossa asuvalle miehelle 

Toista polkua KRP seurasi Virossa asuvan miehen tilille. Kyse on oikeasta henkilöstä, joka on myös tavoitettu. Tutkinnanjohtaja Leposen mukaan Viron poliisi on puhuttanut miestä.

– Henkilöstä on pyydetty selvitystä Viron poliisilta, Leponen kommentoi.

KRP ei tällä hetkellä epäile miestä mistään rikoksesta, mutta rahojen vastaanottamista ja samalla miehen osuutta asioihin asiaan selvitellään. Leponen on näiltä osin vähäsanainen.

KRP:n lisätutkintaraportin mukaan miehen osuus on toistaiseksi epäselvä.

Rahamuulit

Toinen KRP:n seuraamista poluista johti poliisin Binancesta erääseen verkossa toimivaan palveluun, joka lupaa vaihtaa virtuaalivaluuttaa rahaksi välittömästi. 

KRP:n mukaan palvelun ideana on, että asiakas lähettää palveluun virtuaalivaluuttaa, ja palvelun "rahamuuleina" toimivat yksityishenkilöt siirtävät sitten vastaavan määrän euroja tilisiirtona asiakkaan ilmoittamalle pankkitilille.

Useita rahamuuleiksi epäiltyjen henkilöiden tekemiä tilisiirtoja löydettiin Julius Aleksanteri Kivimäen henkilökohtaiselta tililtä. 

Poliisi päätteli tilisiirtojen takana olevat henkilöt rahamuuleiksi, sillä kyseisten henkilöiden nimillä oli myyty kryptovaluuttoja eräässä toisessa palvelussa. Kuiteissa mainostettiin palvelua, jota Kivimäen epäillään käyttäneen.

Siirtojen ajankohdat myös menivät täydellisesti yksiin KRP:n jäljittämien maksujen kanssa.

KRP:n raportin mukaan ei voi olla sattumaa, että jäljet veivät juuri Kivimäen tilille.

Muitakin selvityksiä

Valeoston lisäksi KRP:n lisätutkinnassa tutkittiin eräältä Vastaamon rikosvyyhtiin liittyvältä, Tuusulassa sijainneelta palvelimelta takavarikoitua kryptovaluuttalompakkoa.

Lompakosta oli lähetetty suuri määrä virtuaalivaluuttaa eräälle toiselle tutkinnassa esiin nousseelle Binance-tilille. Yhteensä kyse on kymmenistä tuhansista euroista.  

Myöskään tuolle Binance-tilille ei ollut ilmoitettu virallisia henkilötietoja. KRP sai kuitenkin selville, että tilille oli aiemmin yritetty syöttää erään henkilön henkilötunnuksia. Papereita ei ollut syystä tai toisesta hyväksytty.

Samoilla vääriksi epäillyillä henkilötunnuksilla oli onnistuttu luomaan tili erääseen toiseen suureen kryptovaluuttapörssiin. Tuolle tilille oli ilmoitettu sähköpostiosoite, jonka sähköpostipalvelinta hallinnoi KRP:n selvityksen mukaan Julius Aleksanteri Kivimäki.

KRP:n tutkimuksissa saatiin selville myös, että tuolta Binance-tililtä varat oli lähetetty eteenpäin yksityiseen Monero-lompakkoon. Salaisen Monero-analyysin perusteella varoja päätyi sieltä jälleen samalle Binance-tilille, jonne myös valeosto oli KRP:n mukaan kotiutettu.

Lue myös: Näin Vastaamo-kiristäjä sortui emämunaukseen – "Jos tätä ei olisi tapahtunut, me ei luultavasti oltaisi tässä"

KRP: Virheen mahdollisuus olematon

KRP:n mukaan näiden kahden Binance-tilin välillä tapahtui yhteensä liki 30 siirtoa. KRP:n raportin mukaan on todennäköistä, että Kivimäki hallitsee molempia tilejä ja käyttää niitä rahan pesemiseen.

– Johtopäätöksestä tekee erittäin todennäköisen myös se, että varat kulkeutuvat selkeää reittiä pitkin rikoksesta epäillyn käyttöön, raportissa todetaan.

Jos vaikeassa Monero-jäljityksessä olisi erehdytty, olisi KRP:n mukaan "käytännössä mahdotonta", että tutkimuksissa olisi silti päädytty sattumalta juuri alkuperäisestä rikoksesta epäillyn henkilön, eli Kivimäen, tilille.

KRP:n mukaan virheen mahdollisuus on "olematon". 

KRP:n uusien löydösten merkitys nähdään Länsi-Uudenmaan käräjäoikeudessa käynnissä olevassa oikeudenkäynnissä myöhemmin.

Julius Aleksanteri Kivimäkeä syytetään käräjillä paitsi psykoterapiakeskus Vastaamon tietomurrosta, myös yritykseen sekä sen asiakkaisiin kohdistuneista kiristyksen yrityksistä ja onnistuneista kiristyksistä. Syyttäjät vaativat seitsemän vuoden vankeutta. 

Kivimäki on kiistänyt kaikki rikokset jyrkästi. Hän on kritisoinut viranomaisia siitä, että asian tutkinta olisi tehty puutteellisesti. 

KRP jatkaa parhaillaan paitsi Virossa asuvan miehen osuuden selvittämistä, myös Vastaamon kiristäjälle maksettujen oikeiden lunnasrahojen jäljittämistä.