Как полиция тайно захватила глобальную телефонную сеть для борьбы с организованной преступностью.
Полиция отслеживала сотни миллионов зашифрованных сообщений, отправляемых через Encrochat, сеть, которую профессиональные преступники используют для обсуждения дел по наркотикам, убийствам и вымогательствам.
Что-то пошло не так с самого начала с 2020 года, так как полиция снова и снова арестовывала сообщников «Марка», предполагаемого торговца наркотиками из Великобритании. «Марк» серьезно относился к своей безопасности, поэтому банда использовала кодовые имена для обсуждения бизнеса посредством зашифрованных телефонов, произведенных компанией Encrochat.
Поскольку сообщения были зашифрованы на самих устройствах, полиция не могла прослушивать разговоры или перехватывать сообщения, как это обычно делают власти. Используя продукцию Encrochat преступники открыто говорили и обсуждали свои сделки с подробными деталями, с прайс-листами, именами клиентов и явными отсылками на большое количество наркотиков, которое им необходимо продать.
Возможно, это было совпадение, но в то же время полиция Великобритании и Европы проводила задержание большого количества преступников. В середине июня 2020 года власти задержали предполагаемого члена другой банды наркоторговцев. Через несколько дней правоохранительные органы изъяли в Амстердаме наркотики (запрещенные к обороту на территории государства) на миллионы евро.
«Марк» и десятки тысяч других предполагаемых пользователей Encrochat не были в курсе, что чатиться на этом устройстве небезопасно. Французские силовики проникли в сеть Encrochat и воспользовались доступом для установки вредоносного ПО. Взлом сети позволил получить доступ к устройствам пользователей, и в течение нескольких месяцев сотрудники полиции незаметно читали сообщения пользователей. Затем следователи поделились этими сообщениями с агентствами по всей Европе.
Только сейчас представляется возможным оценить весь масштаб операции: она представляет собой одно из крупнейших проникновений правоохранительных органов в сеть зашифрованной связи, которая преимущественно используется преступниками, ведущими свою деятельность в Европе, Ближнем Востоке и в других странах. Французские, голландские и другие европейские агентства отслеживали и анализировали «более ста миллионов зашифрованных сообщений», отправленных между пользователями Encrochat в режиме реального времени, что привело к арестам в Великобритании, Норвегии, Швеции, Франции и Нидерландах.
Пока наркодилеры планировали сделки, преступники отмывали свои доходы, а наемные убийцы обсуждали свое следующее убийство, полицейские читали их сообщения и ловили с поличным.
Сообщения «пролили свет на беспрецедентно большое количество серьезных преступлений, включая крупные международные поставки и лаборатории по изготовлению наркотиков, убийства, кражи со взломом, вымогательства, грабежи, нападения на людей и захват заложников. Международные коридоры для продажи наркотиков и отмыванию денег стали совершенно прозрачными», - заявили голландские правоохранительные органы.
В отчете от правоохранительных органов содержится информация не только о действия одного предполагаемого торговца наркотиками, но еще и показывает, как сильно власти нарушили личные границы преступных организаций и их членов. Все участники, скрывавшиеся под кодовыми именами, были идентифицированы. В их список вошли лиц отмывающие деньги, поставщики, курьеры и клиенты, которые имели дела с кетамином, амфетамином, каннабисом и героином.
Сообщения дают понять, как банды инструктировали своих участников о способах получения денежных средств от клиентов, как безопасно отмывать полученный доход и где прятать наркотики. Зашифрованные сообщения Encrochat с отметками времени описывают одно предполагаемое преступление за другим.
«Людей замели», - заявил один из криминальных источников. «Разговор об убийствах, покупке килограммов, покупке оружия […] миллиона таблеток», говоря по телефону о крупномасштабной торговле наркотиками и других преступлениях.
«Они просто достают людей из-под земли», - сказал другой источник, близкий к криминальным пользователям Encrochat, когда начались аресты.
Только в Нидерландах «расследование привело к аресту более 100 подозреваемых, изъятию наркотиков (более 8000 кг кокаина и 1200 кг кристаллического метамфетамина), демонтажу 19 лабораторий по синтетическим наркотикам, захвату десятков (автоматического) огнестрельного оружия, дорогих часов и 25 автомобилей, включая автомобили со скрытыми отсеками, и почти 20 миллионов евро наличными», - говорится в сообщении властей.
На веб-сайте Encrochat заявляли, что это «решение для сквозного шифрования», которое может «гарантировать анонимность», и что обмен сообщениями с помощью Encrochat является «электронным эквивалентом обычного разговора между двумя людьми в пустой комнате» для «спокойной связи». В нем говорилось, что «наши серверы, расположенные за пределами нашего центра обработки данных, никогда не создают, не хранят и не расшифровывают ключи, разговоры, сообщения или пользовательские данные». Есть много типов людей, которым может потребоваться безопасная связь, в том числе специалисты по безопасности или юристы. На сайте указано, что у Encrochat есть реселлеры в Амстердаме, Роттердаме, Мадриде и Дубае, но эта фирма очень секретна и не работает как обычная технологическая компания.
Encrochat позиционирует себя как законную фирму с клиентами в 140 странах, но источники из криминала говорят об обратном и сообщают, что многие клиенты Encrochat являются преступниками. Французские власти заявили, что, по их оценкам, более 90 процентов французских клиентов компании «занимались преступной деятельностью».
«Мы коммерческая компания, предлагающая услуги по безопасной связи через мобильные устройства», - говорится в заявлении. «Мы поставили перед собой цель найти лучшую технологию на рынке, чтобы обеспечить надежную и безопасную услугу для любой организации или отдельного лица, которые хотят защитить свою информацию».
Купить устройство Encrochat не так просто, как зайти в магазин. Один нынешний заключенный, который заявил, что ранее использовал устройства Encrochat, рассказал, как они купили телефон у конкретного рекомендованного им контакта.
«У него есть законный магазин, но я не встречал его там. Я встретил его в переулке, и это было похоже на сделку по продаже наркотиков», - сказал заключенный о том, как он получил телефон. «Я поговорил с ним по телефону, поехал в его город и встретился с ним».
Согласно просочившимся документам, телефоны Encrochat — это, по сути, модифицированные устройства Android, причем в некоторых моделях используется «BQ Aquaris X2» - телефон Android, выпущенный в 2018 году испанской компанией-производителем электроники. Encrochat взял базовый блок, установил свои собственные программы для обмена зашифрованными сообщениями, которые маршрутизируют сообщения через собственные серверы компании, и даже физически удалил из телефона функции GPS, камеры и микрофона. В телефонах Encrochat также была функция, которая быстро стирала данные с устройства, если пользователь вводил PIN-код, и запускала две операционные системы одновременно. Если пользователь хотел, чтобы устройство выглядело безобидным, он загружался в обычный Android. Если они хотели вернуться в свои конфиденциальные чаты, они переходили на систему Encrochat. Компания продавала телефоны по подписке, по цене тысячи долларов в год за устройство.
Encrochat - не единственная компания, предлагающая телефоны такого типа. Компании так называемых «защищенных телефонов» часто не имеют руководителей, которые работают с общественностью. Вместо этого они скрывают свою собственность, и некоторые из них были уличены в сговоре с преступниками. Компания MPC, управлялась напрямую организованными преступниками. Винсент Рамос, основатель другой защищенной телефонной компании Phantom Secure, которая начинала как законная фирма, в настоящее время находится в тюрьме за то, что сказал тайным агентам, что он создал устройство, которое помогает в незаконном обороте наркотиков. Эти компании регулярно нанимают дистрибьюторов из разных стран или городов, которые затем помогают продавать телефоны компаний напрямую клиентам. По имеющимся сведениям, в Encrochat телефоны преступникам продавали бывшие военные.
В отрасли высокая конкуренция, компании постоянно распространяют слухи о безопасности устройств друг друга и загружают видео на YouTube, чтобы дискредитировать своих конкурентов. Encrochat ранее блокировал веб-домены, которые использовались устройствами других фирм, по сути сегментируя их клиентскую базу от всех остальных. Это означает, что дилерам часто нужен такой же телефон, как и всем остальным партнерам по бизнесу, с которыми они работают, если только они не хотят пропустить важные переговоры.
«Нужен чертов телефон», - гласит одно из входящих сообщений Encrochat, отправленных на предполагаемое устройство «Марка» и полученное правоохранительными органами. «У какого наркодилера нет телефона».
Продавцы Encrochat также рекламируют свои продукты на сайтах, посвященных преступности, продвигая свои товары напрямую к определенному типу читателей. Как Мартин Кок, преступник, ставший блоггером, написал на своем сайте Butterfly Crime в 2015 году: «Я вижу на различных сайтах, посвященных преступлениям, эти вещи [зашифрованные телефоны] предлагаются для продажи, потому что многие из их будущих клиентов также являются преступниками. Реклама на сайте, где продаются велосипеды, не имеет смысла для такого типа компаний».
Сам Кок был убит в 2016 в Нидерландах, когда сидел в своем Volkswagen Polo после отдыха в клубе. Человек в капюшоне выскочила из густого кустарника на парковку и выстрелил несколько раз в окно, убив Кока.
Encrochat занял лидирующие позиции, взяв под контроль значительную часть коммуникационной инфраструктуры для организованной преступности в Европе и некоторых других странах. В то время как высокопоставленная шотландская организация по незаконному обороту наркотиков создала MPC, а клиентами Phantom Secure были члены наркокартеля Синалоа, Encrochat был особенно популярен среди гангстеров по всей Европе.
Британский дуэт, убивший лидера преступного мира и совершивший вооруженное ограбление, где один из них выполнял заказ на убийство, а другой стоял на стреме, использовали телефоны Encrochat. Оружием для убийств послужил пистолет-пулемет. Жестокие наркобанды по всей стране также использовали данные телефоны.
«Они [стали] отраслевым стандартом», - сказал нынешний заключенный.
В мае некоторые пользователи Encrochat заметили проблему: хваленая функция очистки на их телефонах не работала. Сотрудник Encrochat сообщил, что в то время они считали, что, возможно, либо пользователь забыл свой PIN-код сброса, либо функция очистки была настроена неправильно. Не о чем беспокоиться; пользователи делают ошибки. Они объяснили, что в следующем месяце Encrochat удалось отследить одно из своих конкретных устройств модели X2, у которого была проблема с экстренной очисткой.
Однако проблема с удалением информации не была ошибкой пользователя. Они обнаружили на устройстве вредоносное ПО. Телефон был взломан.
Компании, использующие шифрование телефонной связи, и раньше сталкивались с уязвимостью данных. В 2017 году кто-то создал веб-сайт и загрузил данные, принадлежащие пользователям Ciphr, другой фирмы в этой области, включая адреса электронной почты и уникальные коды IMEI, связанные с телефонами. Однако этот случай с Encrochat был другим. Это было вредоносное ПО на самом устройстве Encrochat, что означало, что оно потенциально могло читать сообщения, написанные и сохраненные на устройстве, прежде чем они были зашифрованы и отправлены через интернет, что ставило под сомнение высокие стандартны безопасности данной компании, основной задачей которой является защита содержимого сообщений для их клиентов.
Сотрудник сообщил, что вредоносная программа была создана специально для модели X2. Помимо нарушения функции очистки, вредоносная программа также была разработана для маскировки от обнаружения, записи пароля блокировки экрана и клонирования данных приложения.
Понимая, что это была атака, в течение следующих двух дней Encrochat выпустила обновление для своих моделей X2, чтобы восстановить функции телефона и собрать информацию о вредоносном ПО, установленном на его устройствах по всему миру, сказал сотрудник.
«Это было сделано для предотвращения дальнейшего ущерба, пока мы информировали пострадавших пользователей», - добавили они. Encrochat установил мониторинг, чтобы иметь возможность следить за своими устройствами, не держа их в руках.
Но почти сразу после патча нападающие нанесли еще один удар, на этот раз еще сильнее. Вредоносная программа вернулась, и теперь она могла изменять пароль экрана блокировки, а не просто записывать его.
Перейдя в полноценный аварийный режим, Encrochat отправил своим пользователям сообщение, информирующее их о продолжающейся атаке. Компания также проинформировала своего поставщика SIM-карт, голландскую телекоммуникационную фирму KPN, которая затем заблокировала подключения к вредоносным серверам, как утверждает сотрудник. Encrochat отключили собственный сервис с SIM-картами. У них было запланировано обновление для телефонов, но они не могли гарантировать, что это обновление не будет содержать вредоносное ПО. Также появилась опасения, что, возможно, KPN работает с властями, говорится в заявлении Encrochat (KPN при этом отказалась от комментариев). Вскоре после того, как Encrochat восстановила службу SIM, KPN удалила брандмауэр, что позволило серверам хакеров снова обмениваться данными с телефонами. Encrochat оказался в ловушке.
Encrochat решил полностью закрыться.
«Затем мы приняли решение немедленно отключить SIM-карты и сеть», - написал сотрудник.
Encrochat подозревал, что это не конкурирующая компания, пытающаяся испортить ее инфраструктуру. Скорее всего это было правительство.
«Из-за уровня сложности атаки и вредоносного кода мы больше не можем гарантировать безопасность вашего устройства», - говорится в сообщении Encrochat, отправленном своим пользователям. «Вам советуют немедленно выключить питание и физически утилизировать ваше устройство», - добавил он.
Все это произошло слишком поздно. Правоохранительные органы уже извлекли кэш данные с устройств Encrochat. Многомиллионные империи наркоторговцев лежали раскрытыми в стопках текстовых сообщений и фотографий. В опубликованном пресс-релизе французские правоохранительные органы, возглавившие расследование, не вдавались в подробности о том, что повлекла за собой сама операция, но заявили, что «расследование позволило собрать сведения о техническом функционировании решения. [Encrochat], что привело к созданию технического устройства, с помощью которого пользователи могли получать незашифрованные сообщения ".
Французские власти также указали на правовой механизм, который позволяет захватывать компьютерные данные с помощью такого инструмента «без согласия заинтересованных сторон, получать доступ в любых местах к компьютерным данным, записывать, хранить и передавать их.»
У властей было все. Изображения крупных объемов наркотиков, лежащих на весах. Килограммовые блоки кокаина. Пакеты, набитые экстази. Горсти каннабиса. Сообщения о планируемом производстве наркотиков и крупных сделках. Фотографии членов семей предполагаемых преступников и обсуждения их других дел.
Правоохранительные органы и раньше действовали против компаний, использующих шифрование телефонной связи. В 2018 году ФБР арестовало владельца Phantom Secure. ФБР пыталось убедить владельца установить бэкдор в систему связи - он отказался - перед тем, как отключить саму сеть.
Но здесь властям удалось ворваться и подслушать не только то, что говорят преступники, но и прислушаться, когда преступники почувствовали себя в большей безопасности.
«Зарядить его по 33 500 каждый?» гласит одно из сообщений, извлеченных с устройства Encrochat, предположительно принадлежащего «Марку». «Возьми 4,5, получи 6к», - продолжается переписка, в которой поэтапно обсуждаются конкретные крупные сделки с наркотиками. В других документах упоминаются поставки наркотиков в Европу. Сообщения тянулись несколько месяцев, некоторые из них были в документах, датированных апрелем, за несколько месяцев до того, как Encrochat обнаружил вредоносное ПО.
В одном сообщении Encrochat , полученном следователями по иронии судьбы, один из предполагаемых членов банды сообщал другому, что iPhone небезопасен и может его выдать при полицейской проверке.
После сообщения Encrochat пользователи сети начали паниковать. Несколько человек пытались определить, затронула ли их конкретная модель телефона Encrochat.
Тихий переворот правоохранительных органов закончился. В течение следующих нескольких дней части головоломки начали складываться на свои места: захваченные партии, рейды на торговцев наркотиками, растущие аресты. Общей нитью для всех был продукт для безопасного обмена информации.
Источник в индустрии зашифрованных телефонов заявлял, что после этого эпизода реселлеры Encrochat не могли войти на свой портал, используемый для управления продажами, из-за чего им не хватало средств.
Прямо сейчас криминальный мир в замешательстве, их основной способ общения сломан. Параноики, некоторые люди уходят в офлайн, не зная, каким устройствам доверять. По словам источника, близкого к криминальным пользователям Encrochat, другие пытаются пересечь границу до задержания. Источник сообщил, что покупать наркотики оптом стало намного сложнее.
Они добавили: «Все залягут на дно».
В пресс-релизе французские власти написали: «Несмотря на данные о преступном использовании терминалов [телефонов] Encrochat», они надеются, что «пользователи, утверждающие, что действуют добросовестно и желают, чтобы их личные данные были удалены из судебного разбирательства, могут отправить свои запрос в следственный отдел». Они также предложили администраторам или менеджерам самой Encrochat связаться с ними, если они захотят обсудить законность использования правоохранительными органами технического инструмента для чтения личных сообщений.
Другие компании, работающие с зашифрованными телефонными связями, уже пытаются заполнить пустоту, оставленную Encrochat. Компания под названием Omerta провела рекламную компанию напрямую старым клиентам Encrochat. «ENCROCHAT ВЗЛОМАН, ПОЛЬЗОВАТЕЛИ РАСКРЫТЫ И АРЕСТОВАНЫ - КОРОЛЬ УМЕР», - говорится в сообщении на их сайте. Omerta сообщает, что в последнее время наблюдается рост трафика на их ресурс.
Всех уцелевших наркоторговцев, мошенников и убийц ранее заманивало сообщение с выгодным предложением на сайте:
«Вы чудом избежали недавнего события массового казни? Празднуйте со скидкой в 10 процентов. Присоединяйтесь к семье Omerta и общайтесь безнаказанно».
