De ukjente kryptosporene

Publisert: For mindre enn 1 time siden

Nøyaktig det samme passordet dukker opp i trusselbrevet som 31. oktober 2018 ble lagt igjen i Sloraveien 4. I brevet refereres det også til en nettadresse som ektemannen Tom Hagen skal bruke for å lese en hemmelig beskjed.

Dette er ett av flere ukjente særtrekk i planleggingen og gjennomføringen av milliardærkonas forsvinning som politiet nå velger å offentliggjøre:

• En helt ny kryptovaluta som ikke har vært kjent for offentligheten

• Nye datofestede planleggingsskritt

• En ny, ukjent kryptobørs

• Et VPN-program som skjuler spor

• Finansinstitusjoner for rikinger

• Merkelig lave transaksjonsbeløp

Nå går påtaleleder i Lørenskog-saken, politiinspektør Gjermund Hanssen, til det offensive steget og ber publikum om hjelp.

Motparten har en så sammensatt og avansert kunnskap om kryptovaluta, det mørke nettet, vekslingsbørser, anonymisering og transaksjoner at politiet håper noen kan kjenne det igjen. De understreker at disse særtrekkene hver for seg ikke er unike – men at kombinasjonen er svært spesiell.

For hva sier all denne kunnskapen om de som har laget dette opplegget? Hvem var det som kunne få til noe sånt allerede sommeren 2018?

Siden den gang har utviklingen på området vært stor, så politiet ber folk om å skru tiden tre år tilbake – og ikke bare se dette i dagens lys.

– Vi undrer oss over hvem som hadde denne kompetansen i 2018 og hvem som hadde både evne og vilje til å utføre denne handlingen mot Anne-Elisabeth Hagen, sier Hanssen til VG.

Foto: Privat / Politiet

Er det noen som kan hjelpe politiet i retning av personer eller miljøer – basert på informasjonen i denne saken?

Flere spor peker mot Norge.

SOMMEREN 2018 huskes kanskje best for hetebølgen som i månedsvis lå over Norge. Den siste torsdagen i juni strømmer folk til Kontraskjæret i Oslo for å se gruppefinalen mellom England og Belgia i fotball-VM på storskjerm. Det blir målt 28,9 grader på det meste i hovedstaden.

Samme dag – 28. juni – skjer det første kjente planleggingsskrittet i forsvinningssaken.

I løpet av denne dagen går noen inn på nettstedet pasted.co. og oppretter et hemmelig dokument. Der legges det inn to adresser til kryptovalutaene bitcoin og monero - bestående av en unik kode av tall og bokstaver. Pasted-dokumentet kan enten ligge åpent for alle - eller det kan være passordbeskyttet. Motparten velger det siste alternativet.

Det var altså lenken til dokumentet med kryptoadressene som var oppgitt i trusselbrevet. Da etterforskerne tastet inn passordet, fikk de tilgang.

Bitcoin-adressen skulle Hagen bruke for å kommunisere, mens monero-adressen var til å betale løsepenger. Totalt ble det krevd monero for rundt 90 millioner norske kroner.

At det var nettopp «anne» som ble brukt som passord står helt sentralt for politiet i etterforskningen.

– Det er veldig mye som tyder på at disse kontoene, både pasted-kontoen og kommunikasjons- og løsepengekontoene, er opprettet med det formål å begå en straffbar handling mot Anne-Elisabeth Hagen, sier Hanssen.

Foto: Privat

LØRDAG 7. JULI 2018 er fellesferien i gang, og turistene har inntatt Lillehammer. Drøye seks mil lengre nord, på Kvitfjell, ferierer Anne-Elisabeth Hagen og ektemannen på hytta. Den har Tom Hagen eid i årevis, og ekteparet er regelmessig her i helger og ferier.

Samme dag fortsetter planleggingen av hennes forsvinning.

Det starter med at en ung mann fra Sørlandet får stjålet identiteten sin. Hans navn blir brukt for å lage en e-postkonto hos mail.com. Senere skal det komme frem at noen har solgt en kopi av passet hans på det mørke nettet.

Mannen er intetanende om at han blandes inn i en av norgeshistoriens største kriminalsaker – lenge før forbrytelsen finner sted. Han blir senere sjekket ut av saken.

Men hvem brukte identiteten hans?

I opprettelsen av mail.com-kontoen skjuler motparten sine spor ved å bruke et VPN-program.

De bruker det mest kjente på markedet: NordVPN. De reklamerer med full anonymitet og har kontorer i Panama – et land hvor slike selskaper trives på grunn av manglende lovverk.

Programmet sørger for å kryptere datatrafikk, endre IP-adresse og gjøre avsenderen anonym.

Et eksempel på VPN-bruk er hvis du befinner deg i utlandet og vil se norsk TV som i utgangspunktet er blokkert utenfor landegrensene. Da kan du bruke et VPN-program som gjør at datamaskinen din tror at du er i Norge.

Mail.com-kontoen fremstår som opprettet fra en IP-adresse i Oslo, men siden det er brukt en VPN-tjeneste, trenger altså ikke dette å være riktig.

– Stedangivelse er noe brukeren selv kan styre, påpeker Hanssen.

7. JULI 2018 brukes epost-kontoen med den stjålne identiteten for å opprette brukerkontoer hos to børser for kryptovaluta, KuCoin og Binance. Slike børser er nettsteder hvor man kan kjøpe, selge eller veksle kryptovaluta.

To dager senere, 9. juli, opprettes en konto hos en tredje kryptobørs, Huobi, med den stjålne identiteten. Huobi er i likhet med de to andre opprinnelig kinesisk, men selskapet er registrert på Seychellene.

Men hvorfor opprettet motparten kontoer tre steder?

I utgangspunktet var det unødvendig å opprette konto hos mer enn én kryptobørs. De ender senere opp med bare å bruke Huobi.

Politiet vet ikke hvorfor. De lurer på om det kan ha å gjøre med at børsene stiller ulike krav til identifisering og hvor mye personlig informasjon man må oppgi for å bruke dem.

– Vi stiller oss spørsmål om det kan ha noe med gjerningspersonenes kunnskap og kompetanse å gjøre, eller om det er ment som et ledd i å villede oss, sier Hanssen.

DAGEN ETTER opprettelsen av Huobi-kontoen, 10. juli, tar motparten nok et grep som virkelig skal få etterforskerne til å klø seg i hodet:

Nå kommer den relativt ukjente og usporbare kryptovalutaen dash inn i bildet. Tidligere har det for offentligheten kun vært kjent at det er kryptovalutene monero og bitcoin som er brukt i saken. Dash, som ble lansert i 2014, er laget med utgangspunkt i bitcoin og har mange av de samme kvalitetene. Samtidig har den også egenskaper som ligner monero.

Kort fortalt skjer følgende:

Motparten har på forhånd skaffet seg dash. En sum av denne kryptovalutaen blir overført til Huobi-kontoen. Hos Huobi blir summen vekslet til den kjente og sporbare kryptovalutaen bitcoin. Disse bitcoinene kommer senere til å bli brukt til å sende kodede meldinger til familien Hagen.

Noe av det særegne med dash er funksjonen som heter PrivateSend. Den sørger for at transaksjoner blir anonyme og umulige å spore - slik som monero.

– Motparten har brukt PrivateSend, bekrefter Hanssen. Han konstaterer at dette er nok et grep motparten har tatt for å skjule sine spor.

Ifølge politiet var bruk av dash lite utbredt blant nordmenn i 2018.

– Det var selvfølgelig i bruk, men betydelig mindre enn for eksempel bitcoin. Vi mener at det samlet sett kan bidra til å snevre inn antallet som kan stå bak. Om det er 10, 100 eller 1000 er ikke så viktig, sier Hanssen.

– Hva tenker dere om at det er brukt noe som er så uvanlig?

– Det er de tingene vi ser på. Hva kan det si om de som har laget dette kryptooppsettet og som har forberedt denne handlingen.

Men hvor peker egentlig sporene?

TRUSSELBREVET ble skrevet på gebrokkent norsk med innslag av engelske ord. Tidligere i år kom det en rapport fra språkeksperter som har analysert brevet. Konklusjonen var at brevet mest sannsynlig er forfattet av en eller flere personer med norsk som førstespråk.

Etter det VG kjenner til er det en sentral polititeori at nordmenn kan være involvert i kryptovaluta-oppsettet.

– Noen spor peker mot Norge, men det er sånn at den virksomheten som er på internett, og i kryptovaluta – den peker egentlig mot hele verden per definisjon, svarer Hanssen.

– Vil du si at noen spor peker mot nordmenn?

– Jeg ønsker ikke å gå inn i detalj på hvor disse sporene peker og hvilke potensielle enkeltpersoner og miljøer vi har på blokken. Det er naturligvis en del av etterforskningen.

I TO SOMMERUKER ble det gjort mye planlegging. Så ble det stille – helt frem til 31. oktober 2018.

Politiet mener en telefonsamtale med sønnen klokken 09.14 er det siste livstegnet fra Anne-Elisabeth Hagen. I løpet av formiddagen er det noen som utsetter 68-åringen for en grov forbrytelse og fjerner henne fra hjemmet.

Klokken 14.08 melder Tom Hagen kona kidnappet. Ektemannen, som senere blir drapssiktet, forklarer at han fant trusselbrevet på en rød stol i gangen, og at han satte seg ned i en lenestol i stuen for å lese det.

I brevet finnes det en detaljert oppskrift på hvordan Tom Hagen skal klare å skaffe monero til en verdi av nærmere 90 millioner kroner. Her er et utdrag:

De nevnte navnene, Cumberland og DV Trading, er finansielle institusjoner. De er mest kjent blant rikinger, og kan på forespørsel skaffe store mengder kryptovaluta.

At akkurat disse relativt ukjente finansinstitusjonene blir nevnt, mener politiet kan tyde på at motparten hadde inngående kunnskap om hvordan man kunne skaffe store mengder monero allerede i 2018.

Politiet har også lagt merke til motpartens bruk av fagspråk innen finans og kryptovaluta. I trusselbrevet referer de til både «over-the-counter» og «KYC».

Enkelt forklart betyr «over-the-counter» handel med aksjer som ikke utføres på en formell børs, men gjennom et nettverk av forhandlere.

«KYC» er forkortelsen for «know your customer». På norsk er dette «kjenn-din-kunde»-prinsippet, som er det hvitvaskingsregelverket som finansforetakene plikter å følge for å forebygge og avdekke hvitvasking og terrorfinansiering.

– Disse begrepene var ikke særlig vanlig blant kryptovalutabrukere i 2018, men er betydelig mer vanlig i dag. Vi mener derfor dette også kan være med på å si noe om motpartens kompetanse på området, særlig når man ser det i sammenheng med de øvrige opplysningene i saken. For eksempel valg av tjenestetilbydere, vekslingsbørser, kryptovalutaer og lignende, sier Hanssen.

I trusselbrevet er det også en detaljert oppskrift for hvordan Tom Hagen skal kommunisere med motparten ved hjelp av kodede bitcoin-meldinger.

I brevet er det angitt tolv ulike bitcoin-beløp, som har tolv ulike betydninger.

FREDAG 2. NOVEMBER 2018, tre dager etter forsvinningen, overfører politiet for første gang bitcoin til motparten. De overfører et beløp som ligner koden til denne beskjeden:

Denne dagen sitter Tom Hagen i samtale med en av Kripos’ fremste eksperter på kryptovaluta. Hagen og familien holdes i skjul på Thon Hotel Arena i Lillestrøm, mens politiet etterforsker det de tror er en kidnapping.

Hagen får spørsmål om hvordan han ville gått frem for å kommunisere med motparten, uten å involvere politiet, slik det ble stilt krav om i trusselbrevet. Han svarer at det ville han ikke klart, og betegner seg selv som teknisk tilbakestående.

Åtte dager senere, 10. november, svarer motparten med følgende beskjed:

Kommunikasjonen er i gang.

I etterkant analyserer etterforskerne motpartens transaksjoner og oppdager noe merkelig.

Når man skal overføre kryptovaluta, som bitcoin, må man betale en transaksjonsavgift.

Dersom man velger å betale en forhåndsbestemt høy avgift, kommer forsendelsen raskere frem. Ved en lav avgift, tar det lengre tid og man risikerer at transaksjonen ikke kommer frem.

Motparten velger ved flere anledninger å betale en svært lav transaksjonsavgift når de skal kommunisere med Hagen etter forsvinningen. De er altså villige til å risikere at meldingene ikke når frem og at den bare er synlig en kort periode i blokkjeden før den returneres til avsender.

– Vi fremhever dette som et av flere momenter som vi mener, samlet sett, kan si noe om motpartens kompetanse og handlemåte, sier Hanssen og spør seg:

Hvorfor gjør de dette? Hvorfor risikere at beløpet med den kodede meldingen ikke når frem til Hagen, som er helt avgjørende for forhandlinger og få utbetalt løsepengene?

I TI UKER holder politiet forsvinningssaken hemmelig for offentligheten. Om morgenen 9. januar 2019 skriver norske medier for første gang om saken.

Nøyaktig én uke senere, 16. januar, mottar Tom Hagens advokat, Svein Holden, en e-post. Etter å ha kommunisert via kodede bitcoin-meldinger i flere uker, bytter motparten plutselig plattform.

Heller ikke denne gang kommer politiet nærmere hvem som er avsender. E-posten er sendt via anonymiseringsverktøyet Tor. Slike e-poster er kryptert, sendt fra det mørke nettet og ikke sporbare.

Men hvorfor brukte de ikke Tor-epost fra starten? Da hadde det vært mulig å skrive frie setninger og sendt livsbevis i form av bilder. I stedet valgte de en komplisert dialog ved hjelp av koder.

– Det er et spørsmål vi har stilt oss, sier Hanssen og fortsetter:

– Hvorfor har de valgt å bruke denne kommunikasjonsformen og manglende mulighet for forhandling om løsepenger? Men vi har ingen konklusjoner på det.

Dialogen med motparten ender i ingenting i løpet av 2019.

Den siste meldingen – også den en Tor-epost – kommer 8. juli. Da skriver motparten at det vil være en tabbe for Tom Hagen «å fucke dem». De krever en delbetaling av det opprinnelige beløpet på nærmere 90 millioner kroner.

Dagen etter betaler Tom Hagen monero verdt 1,35 millioner euro med politiets hjelp. Det tilsvarer cirka 13 millioner kroner.

Etter det blir det helt stille. Motparten ser ut til å forsvinne fra alle plattformer.

Hvor ble det av dem?

OM EN DRØY MÅNED er det tre år siden motparten tastet inn «anne» i et passordfelt på internett. I løpet av to sommeruker gjorde motparten en rekke digitale forberedelser til den forestående forsvinningen.

I tillegg ble det tatt mange grep for å skjule spor som har gjort etterforskningen krevende for politiet.

Mange av dem er nevnt i denne artikkelen, men Hanssen legger ikke skjul på at politiet sitter på flere spor som de foreløpig ikke vil være åpne om.

Nå ber de om publikums hjelp. Er det noen der ute som vet noe? Noen som kjenner til personer eller miljøer som satt på denne kunnskapen i 2018?

Med et politi som ber om hjelp utenfra; har de nok kompetanse til å løse saken selv?

Gjermund Hanssen er tydelig på at fagmiljøene på Kripos har høy kompetanse og det samarbeides tett med andre fagmiljøer både i Norge og i utlandet.

– Det pågår på mange måter et kontinuerlig våpenkappløp mellom politiet og kriminelle aktører, og arbeidet preges dermed av løpende metodeutvikling og kompetansebygging, også i politiet, sier Hanssen og fortsetter:

– Samarbeid og informasjon fra publikum er en viktig del av de fleste store etterforskninger. Vi ønsker å utnytte det samme potensialet her, selv om innholdet kanskje fremstår fremmed og komplisert for mange. Enkelt sagt, er det jo de som ikke synes dette høres komplisert ut, og som kanskje kjenner igjen modus eller særtrekk, som vi nettopp ønsker å komme i kontakt med.

– Hvor sannsynlig er det at dere vinner kappløpet?

– Tiden vil vise i hvilken grad vi lykkes, men vi er i hvert fall klare på at vi skal gjøre det vi kan for å finne svar på hva som har hendt med Anne-Elisabeth Hagen og stille de som er ansvarlige for hennes forsvinning til ansvar.

* Tom Hagen og en mann i 30-årene er fremdeles siktet i saken. Begge nekter straffskyld. Politiet ønsker ikke å gå inn på mistankegrunnlaget mot noen av dem.