Евпропол, британське Національне агентство по боротьбі зі злочинністю (NCA), а також правоохоронні органи Франції, Швеції, Норвегії та Нідерландів офіційно повідомили про ліквідацію платформи для зашифрованих комунікацій Encrochat, якою користувалися більше 60 000 злочинців по всьому світу.
Як це працювало
Як можна побачити на архівній копії сайту компанії, телефони Encrochat гарантували своїм користувачам абсолютну анонімність, так як не мали прив'язки пристрою або SIM-карти до облікового запису клієнта і купувалися в умовах, що гарантують неможливість відстежити їх походження. Також гарантувалася повна конфіденційність: зашифрований інтерфейс був надійно прихований, а сам пристрій модифікований — фізично були відсутні камера, мікрофон, GPS-модуль і USB-порт.
Девайси поставлялися відразу з двома ОС: якщо користувач хотів, щоб пристрій виглядало нешкідливим, він завантажував звичайний Android. Якщо ж потрібно було використовувати секретні чати, користувач переключався на систему Encrochat.
За даними видання Vice Motherboard, телефони Encrochat були побудовані на базі модифікованих BQ Aquaris X2 — Android-смартфонах, випущених в 2018 році іспанською компанією з виробництва електроніки.
Оператори платформи Encrochat встановлювали на телефони власні зашифровані програми для обміну повідомленнями та VoIP-дзвінків, які маршрутизували трафік через власні сервери компанії. Також телефони мали функцію швидкого і повного обнулення пристрою, якщо користувач вводив спеціальний PIN-код.
Компанія продавала телефони за передплатою: шестимісячний контракт коштував близько 1500 фунтів стерлінгів. Хоча на сайті говориться, що у Encrochat є реселлери в Амстердамі, Роттердамі, Мадриді і Дубаї, насправді компанія працювала дуже приховано.
Видання Vice Motherboard, присвятило велику статтю даній операції правоохоронних органів, пише, що хтось, контролюючий адреса електронної пошти компанії Encrochat, заявив журналістам, що Encrochat — працює в рамках закону, компанія з клієнтами в 140 країнах світу.
«Ми — комерційна компанія, що пропонує послуги в області захищеного зв'язку через мобільні пристрої. Ми вирішили створити кращу технологію на ринку, щоб забезпечити надійний і безпечний сервіс для організацій або фізичних осіб, які хочуть захистити свою інформацію », — писав представник компанії.
При цьому, за даними правоохоронців, 90% клієнтів Encrochat — злочинці. У Encrochat було близько 60 000 користувачів по всьому світу, і приблизно 10 000 з них жили в Великобританії.
Журналісти розповідають, що купити пристрій Encrochat було зовсім непросто. Власне джерело видання (колишній користувач Encrochat нині відбуває тюремний термін) повідомив, що придбав свій телефон в звичайному магазині, у його господаря. Однак все відбувалося в провулку позаду будівлі і «виглядало як злочин».
Впровадження в Encrochat
Правоохоронці кажуть, що спільна операція, що отримала назву Venetic, стала однією з найбільших в історії і вже привела до арешту 746 осіб, вилучення 54 000 000 фунтів стерлінгів готівкою (67,4 мільйона доларів), 77 одиниць вогнепальної зброї (автомати, пістолети, чотири гранати і більше 1800 патронів), 55 дорогих автомобілів і більше двох тонн наркотиків.
Наприклад, французькі правоохоронці відмовилися розкривати подробиці своїх розслідувань і їх результати, але голландська влада заявили, що ліквідували 19 лабораторій з виробництва синтетичних наркотиків, заарештували понад 100 підозрюваних, вилучили понад 8000 кілограмів кокаїну, 1200 кілограмів метамфетаміну, десятки пістолетів, люксових автомобілів (включаючи машини з прихованими відсіками) і годинників, а також майже 20 000 000 євро (22,5 мільйона доларів) готівкою.
Розслідування, що призвело до вищеописаним результатами, почалося ще в 2017 році у Франції під кодовою назвою Emma 95. Потім воно поширилося в Нідерланди, де носило ім'я Lamont, і в кінцевому підсумку правоохоронці об'єднали зусилля, і до справи підключилися Великобританія, Швеція і Норвегія.
Слідчі розповідають, що знайшли спосіб зламати Encrochat, не зламуючи саме шифрування платформи. Замість цього, кілька місяців тому, французькі правоохоронці проникли в мережу Encrochat і впровадили на пристрої компанії малваре, яка дозволила читати повідомлення злочинців, перш ніж ті були відправлені. В результаті європейські поліцейські вивчили «понад сто мільйонів зашифрованих повідомлень» і стали свідками того, як наркоторговці домовлялися про оптові угоди, злочинці обговорювали вбивства і відмивання грошей.
«Ці повідомлення дали уявлення про безпрецедентно величезну кількість серйозних злочинів, включаючи дані про великі міжнародні поставки наркотиків і [місцезнаходження] нарколабораторії, вбивства, грабежі, вимагання, тяжкі напади і захоплення заручників. Абсолютно прозорими стали міжнародні коридори з постачання наркотиків і відмивання грошей », — пишуть голландські правоохоронні органи.
«Те, що зазвичай можливо тільки в поліцейських трилерах, відбувалося на наших очах, -додає глава Національного департаменту кримінальних розслідувань Нідерландів Енді Крааг — Ми читали повідомлення, які давали нам уявлення про повсякденне життя кримінального світу».
Паніка в кримінальному світі
Ще в травні поточного року деякі користувачі Encrochat помітили проблему: функція обнулення на їх телефонах не працювала. Анонімний співробітник Encrochat розповів Vice Motherboard, що тоді в компанії визнали, що користувач, ймовірно, просто забув свій PIN-код, або функція обнулення була некоректно налаштована.
Але вже наступного місяця Encrochat вдалося відстежити один з таких «глючних» пристроїв моделі X2. Як виявилося, проблема була не в користувачі і не в настройках: на телефоні знайшли малваре, а пристрій виявився зламаним. Причому шкідлива програма була спеціально створена для моделі X2. Вона не тільки заважала коректній роботі функції очищення девайса, але була розроблена таким чином, щоб приховувати себе від виявлення, записувати пароль блокування екрану і клонувати дані додатків.
Розуміючи, що це атака, протягом наступних днів Encrochat випустила оновлення для своїх пристроїв, щоб відновити їх функціональність і зібрати інформацію про малварі, яка проникла на телефони компанії по всьому світу. Розробники Encrochat стали повідомляти користувачів і стежили за тим, що відбувається віддалено, не маючи можливості отримати фізичний доступ до пристроїв.
Однак майже відразу після релізу цього патча атакуючі знову завдали удару: малваре повернулася, і тепер вона могла ще і змінити пароль для блокування екрана, а не просто записати його.
Оператори Encrochat почали панікувати. Вони розіслали своїм користувачам повідомлення, інформуючи їх про триваючу атаці. Також компанія повідомила про ситуацію свого провайдера SIM-карт, голландську телекомунікаційну компанію KPN, і та заблокувала для малварі з'єднання з серверами атакуючих. Але, судячи з усього, до того моменту KPN вже співпрацювала з владою (представники KPN поки відмовляються від коментарів), тому незабаром компанія видалила брандмауер, що знову дозволило серверам атакуючих обмінюватися даними з телефонами Encrochat.
Тоді в Encrochat вирішили повністю згортати всі операції. «Ми прийняли рішення негайно відключити всі SIM-карти і мережу», — розповідає співробітник компанії. Справа в тому, що до того моменту в компанії вже розуміли, що їм протистоїть не чергова конкуруюча фірма, а уряд.
«Сьогодні наш домен незаконно захопили державні структури. Вони використовували наш домен для запуску атаки. Через рівень складності атаки і шкідливого коду ми більше не можемо гарантувати безпеку вашого пристрою. Радимо вам негайно відключити і фізично знищити пристрій », — таке повідомлення оператори Encrochat відправили всім своїм користувачам 13 червня 2020 року.
Після цього повідомлення від Encrochat багато користувачів запанікували. Згідно скриншотам, які опинилися в розпорядженні Vice Motherboard, деякі користувачі навіть намагалися визначити, чи була порушена атакою їх конкретна модель телефону.
Але було вже занадто пізно. До цього часу європейські правоохоронні органи вже давно витягли безліч даних з пристроїв Encrochat по всьому світу, і перед ними постали багатомільйонні наркоімперіі і злочинні синдикати в вигляді текстових повідомлень і фотографій. У поліції було буквально все: фотографії величезних стопок наркотиків, що лежать на терезах; кілограмові брикети кокаїну; сумки, доверху забиті екстазі. Повідомлення про заплановані угоди і постачання. Фотографії членів сімей передбачуваних злочинців і обговорення їх особистих справ.
Після цього правоохоронці почали діяти: пішли конфіскації вантажів, рейди на торговців наркотиками, масові арешти. І спільним знаменником, що відбувається була компанія Encrochat.
Журналісти відзначають, що, за словами джерела, близького до користувачів Encrochat, кримінальний світ в сум'ятті, так як втратив одного з основних способів зв'язку. Багато клієнтів Encrochat зараз намагаються перетнути кордони і уникнути затримання. Також джерело зазначило, що купувати наркотики оптом стало набагато складніше.
Не перший випадок
Ліквідація EncroChat і арешти користувачів — далеко не безпрецедентний випадок. Наприклад, в 2018 році був заарештований виконавчий директор компанії Phantom Secure, яка виробляла «незламні» телефони для злочинців.
Phantom Secure розміщувала свої сервери в Панамі і Гонконзі і використовувала віртуальні проксі, щоб приховувати їх фізичне місце розташування. Також платформа допомагала віддалено знищувати дані на пристроях, вже вилучених правоохоронними органами.
Підписка на сервіс Phantom Secure коштувала близько 2-3 тисяч доларів за півроку. Для захисту анонімності клієнтів і діяльності самої Phantom Secure, угоди проводилися в цифрових валютах, в тому числі в біткоінах. За ці гроші людина отримувала пристрій, де і софт і залізо були модифіковані таким чином, щоб забезпечити анонімність і шифрування всіх комунікацій. GPS-навігація, мікрофон, камера, доступ в інтернет і месенджер, і навіть технологія передачі голосу, все було зроблено з урахуванням особливих потреб клієнтів.
Телефони Phantom користувалися великою популярністю в злочинному світі, в тому числі у самої верхівки транснаціональних злочинних угруповань. Зокрема, члени відомого наркокартелю Сіналоа в Мексиці були клієнтами компанії Phantom Secure.
Інша подібна компанія, MPC, була створена і управлялася організованою злочинною групою з Шотландії, пов'язаної з наркоторгівлею.
Журналісти Vice Motherboard відзначають, що конкуренція в цій області велика. Так, компанії регулярно поширюють чутки про небезпеку пристроїв один одного і завантажують на YouTube відео, що дискредитують конкурентів. Або, наприклад, Encrochat раніше взагалі блокувала домени інших фірм.
Інші компанії, що пропонують послуги захищеного зв'язку, вже намагаються заповнити пробіл, що утворився після зникнення Encrochat. Наприклад, компанія Omerta вже націлила свою рекламу на колишніх клієнтів Encrochat.
«Encrochat зламаний, користувачів спалили і заарештовують. КОРОРЛЬ ПОМЕР! Ви дивом уникли недавнього «масового вимирання»? Святкуйте зі знижкою 10%. Приєднуйтесь до сім'ї Omerta і спілкуйтеся безкарно », — говориться у рекламі Omerta.
Представники Omerta повідомили журналістам, що останнім часом у них дійсно спостерігається приріст трафіку.