Kiedy zeszłego lata francuska żandarmeria, holenderska policja i brytyjska National Crime Agency (NCA) zinfiltrowały szyfrowaną sieć telefoniczną EncroChat, zorganizowane grupy przestępcze na całym świecie zdecydowały się na zmianę dostawcy telefonów.
Ten dostawca był Sky ETC, obecnie największy dostawca komunikacji kryptograficznej na świecie, z 70 000 klientów.
Sky ECC przedstawia się jako „najbezpieczniejsza platforma komunikacyjna, jaką można kupić” i jest tak pewna nie do zdobycia swoich systemów, że oferuje przystojną nagrodę każdemu, kto może złamać szyfrowanie jednego z jego telefonów.
Jednak w powtórzeniu zeszłorocznej francusko-holenderskiej operacji przeciwko zaszyfrowanej sieci telefonicznej EncroChat, belgijska i holenderska policja była w stanie zinfiltrować platformę i zebrać setki tysięcy rzekomo niemożliwych do złamania wiadomości.
Udostępnili przechwycony materiał „dużej liczbie” zagranicznych służb śledczych po odczytaniu zaszyfrowanego ruchu „na żywo”.
NCA, który odegrał kluczową rolę w zakłócaniu współpracy EncroChat z holenderską policją i francuską żandarmerią, nie skomentował jeszcze, czy skorzystał na danych wywiadowczych z operacji Sky.
Sky ECC powiedział w a komunikat zeszłej nocy, że zarzuty, że władze belgijskie i holenderskie złamały oprogramowanie komunikacyjne firmy, były „fałszywe” i że usługa została przywrócona po przerwie w dostawie prądu.
Firma podała, że jej dystrybutorzy zaalarmowali ją, że fałszywa aplikacja phishingowa pod marką Sky Ecc została załadowana do niezabezpieczonych telefonów i sprzedana nieautoryzowanymi kanałami.
„Sky ECC nie autoryzowało ani nie współpracowało z organami śledczymi ani osobami zaangażowanymi w dystrybucję fałszywej aplikacji phishingowej” – powiedziała firma.
Użytkownicy telefonów wpadają w panikę po nalotach policji
Wiadomość o ataku pojawiła się wczoraj, wywołując panikę wśród zaszyfrowanych użytkowników telefonów na całym świecie, gdy holenderska policja zdemontowała i przejęła serwer Sky ECC.
Ponad 1600 belgijskich funkcjonariuszy policji, w niektórych przypadkach w towarzystwie belgijskich sił specjalnych, uczestniczyło wczoraj w równoczesnych nalotach między 5:00 a 11:00 na 200 domów, zatrzymując 48 podejrzanych.
Wśród zatrzymanych było trzech prawników z Antwerpii, którzy używali kryptofonów Sky ECC Holenderski nadawca HLN.
Holenderska policja przeprowadziła nalot na 75 domów i aresztowała ponad 30 osób, odzyskując co najmniej 28 sztuk broni palnej z nalotów na podejrzanych handlarzy narkotyków w Rotterdamie.
Przewóz obejmował 1,2 mln euro w gotówce, a także diamenty i biżuterię, osiem luksusowych pojazdów, 14 broni, trzy bankomaty i mundury policyjne.
Belgijscy prokuratorzy początkowo odmówili potwierdzenia lub zaprzeczenia, że doszło do naruszenia Sky ECC, ale potwierdzili wczoraj na konferencji prasowej, że policja złamała szyfrowanie sieci.
Sprzedawcy Sky ECC powiedzieli klientom, że sieć nie została naruszona, twierdząc, że ludzie rozpowszechniali fałszywą wersję oprogramowania Sky na nieautoryzowanych telefonach – narażając niektórych użytkowników na ryzyko.
„Niewiele osób uważa, że ta wiadomość wydaje się wygodna jako wymówka ”- powiedział Computer Weekly jedno ze źródeł. „Dla ich firmy wygląda na to za późno, ponieważ wiele z tych telefonów od samego rana spłynie w błoto”.
Planowanie zaczęło się ponad dwa lata temu
Eric Van Duyse, rzecznik belgijskiej Prokuratury Federalnej, opisał operację – nadzorowaną przez sędziego śledczego w mieście Menchlen – jako największe dochodzenie policyjne, jakie kiedykolwiek podjęto w kraju.
Belgijska policja powiedziała, że podjęła działania po tym, jak coraz więcej kryptofonów były wykorzystywane przez grupy przestępcze.
Około 185 zaszyfrowanych telefonów zostało odzyskanych podczas operacji policyjnych w całym kraju, z których wiele było wyposażonych w oprogramowanie szyfrujące Sky ECC.
Operacja przeciwko Sky ECC została zatwierdzona przez belgijskich prokuratorów w zeszłym roku, po dwóch i pół roku planowania.
Atak był odzwierciedleniem francuskiej i holenderskiej infiltracji EncroChat w zeszłym roku, przeprowadzając dwuetapowy atak na sieć.
W pierwszej fazie policja przechwyciła i przechowała zaszyfrowaną komunikację z sieci Sky ECC, podczas gdy eksperci pracowali nad sposobem ich odszyfrowania.
W drugiej fazie, która trwała trzy tygodnie, policja była w stanie odczytać „na żywo” dane przesyłane przez sieć Sky ECC.
Współpraca międzynarodowa
Odszyfrowanie wiadomości wymagało międzynarodowej współpracy poprzez badania i współpracę między ekspertami od szyfrowania, powiedział wczoraj belgijski prokurator federalny Frédéric Van Leeuw.
Przy ponad trzech milionach wiadomości wysyłanych każdego dnia na całym świecie przez Sky ECC, badacze stwierdzili, że muszą ustalić priorytety: „Najwyższym priorytetem były wiadomości, które wskazywały na możliwe zagrożenie życia” – powiedział Van Leeuw.
Belgijska federalna policja sądowa utworzyła stanowiska dowodzenia w Brukseli i Antwerpii, aby szybko reagować, jeśli odszyfrowane wiadomości ujawnią pilne zagrożenie życia.
Śledczy podjęli również próbę identyfikacji wybranych użytkowników i zidentyfikowania działań przestępczych poprzez analizę treści ich wiadomości.
Policja przechowała i przeanalizowała „setki milionów” wiadomości z telefonów Sky ECC w hurtowni danych w ramach operacji antynarkotykowej.
„Oczekuje się, że uzyskane informacje będą miały wpływ na przestępczość zorganizowaną w najbliższej przyszłości” – powiedziała policja. „Informacje są również udostępniane wielu zagranicznym służbom śledczym”.
Według belgijskich prokuratorów na całym świecie jest ponad 70 000 aktywnych urządzeń Sky ECC, głównie w Europie, Ameryce Północnej i Środkowej, a zwłaszcza w Kolumbii i na Bliskim Wschodzie.
Van Leeuw powiedział, że godne uwagi jest to, że około 25% aktywnych użytkowników tych urządzeń ma siedzibę w Belgii, która ma 6 000 użytkowników, oraz w Holandii, która ma ponad 11 000 użytkowników.
Telefony są najczęściej używane w porcie w Antwerpii – ważnym miejscu docelowym przestępstw związanych z narkotykami.
Telefony Sky były uważane za najbezpieczniejsze z dostępnych
Sky ETC, który działa w Kanadzie i USA, określa się mianem „najbezpieczniejszej platformy przesyłania wiadomości, jaką można kupić”.
Firma jest tak pewna swojego bezkonkurencyjnego bezpieczeństwa, że zaoferowała Nagroda w wysokości 5 milionów dolarów dla każdego, kto mógłby zhakować jeden z jego telefonów w ciągu 90 dni.
Jej witryna internetowa przedstawia serię studiów przypadku promujących wartość zaszyfrowanego telefonu prawnikom, uniwersytetom, organizacjom medycznym, kierownictwu firm i dziennikarzom jako narzędziu do ochrony poufnych źródeł.
Dostarcza telefony, które oferują wiadomości autodestrukcyjne, bezpieczne wiadomości audio, bezpieczny zaszyfrowany skarbiec oraz aplikację, która w „trybie ukrycia” może zamaskować się jako kalkulator.
Zmodyfikowane telefony, które są dostępne w systemach Android, Blackberry i iOS, można kupić online lub u „autoryzowanych partnerów” w cenie od 900 do 2000 euro, w zależności od modelu.
Firma twierdzi, że przechowuje aplikację Sky ECC w bezpiecznym kontenerze w telefonie, który chroni ją przed złośliwym oprogramowaniem, takim jak keyloggery lub narzędzia szpiegujące, takie jak szeroko używane oprogramowanie szpiegujące Pegasus dostarczane przez izraelską firmę NSO Group.
Wszystkie wiadomości są szyfrowane przy użyciu 512-bitowej kryptografii krzywej eliptycznej, a połączenia sieciowe są zabezpieczone 2048-bitowym szyfrowaniem SSL.
Jednym z punktów sprzedaży firmy jest to, że nie przechowuje zaszyfrowanych wiadomości na swoich serwerach.
Mówi: „Jeśli Twój kontakt jest nieosiągalny (na przykład jeśli jego urządzenie jest wyłączone), przechowujemy zaszyfrowaną wiadomość do 48 godzin, a następnie usuwamy. Jeśli nie przeczytają go w tym czasie, nie będzie można pobrać wiadomości ”.
Sky ECC zostało założone w 2008 roku i wymienia swojego dyrektora generalnego i założyciela jako Jean-François Eap. Oprócz oferowania bezpiecznych telefonów komórkowych firma promuje Moola, bezpieczną aplikację, która umożliwia kupowanie, przechowywanie i zapisywanie kart podarunkowych
Sky ECC: „Zabraniamy działalności przestępczej”
Firma podała w komunikat zeszłej nocy, że stanowczo zaprzecza wszelkim zarzutom, że jest „platformą z wyboru dla przestępców” i ma ścisłą politykę zerowej tolerancji, która zabrania wszelkiej działalności przestępczej na swoich platformach. „Wszelkie konta wykorzystywane do działalności przestępczej są natychmiast dezaktywowane” – powiedział.
Sky ECC oświadczyło, że „aktywnie prowadzi dochodzenie i podejmuje kroki prawne przeciwko przestępcom w związku z podszywaniem się pod inne osoby, fałszywym oświetleniem, naruszeniem znaku towarowego, krzywdzącym fałszem, zniesławieniem i oszustwem”.
Firma podała, że jej usługa doświadczyła tymczasowych przerw w związku z jej serwerami w dniu 8 marca 2021 r. Od 4 rano do 12 w południe czasu GMT, ale usługi wróciły do normy.
Podobieństwa z EncroChat
Operacja policyjna przeciwko Sky ECC ma silne analogie ze wspólną operacją francuskiej i holenderskiej policji przeciwko zaszyfrowanej sieci telefonicznej EncroChat w zeszłym roku.
Brytyjski NCA wykorzystuje europejski nakaz dochodzeniowy do współpracy ze wspólnym zespołem śledczym prowadzonym przez policję francuską i holenderską.
Francuska żandarmeria, która prowadziła dochodzenie, przekazała Europolowi pakiety wiadomości pobranych z telefonów EncroChat, które zebrała w pakiety specyficzne dla Wielkiej Brytanii i przekazała NCA.
NCA skorzystał ze wsparcia 10 regionalnych i zorganizowanych jednostek przestępczych oraz policji miejskiej, aby dokonać ponad 1000 aresztowań, przejąć 55 milionów funtów w gotówce, broń palną i dwie tony narkotyków.
Brytyjska strona operacji EncroChat o kryptonimie Venetic okazała się kontrowersyjna ze względu na brytyjskie przepisy, które w wyjątkowy sposób zapobiegają wykorzystywaniu dowodów przechwytywania w postępowaniu karnym.
Jednak 6 lutego trzech sędziów Sądu Apelacyjnego stwierdzili, że wiadomości zebrane przez francuskich i holenderskich śledczych i przekazane do NCA były legalnie uzyskiwane poprzez „ingerencję w sprzęt”, gdy były przechowywane w pamięci telefonu, a nie poprzez „przechwytywanie” wiadomości podczas ich przesyłania.
Holenderska policja poinformowała we wczorajszym oświadczeniu, że po jej operacji przeciwko Encrochat – kryptonimowi Lemont – śledczy byli w stanie odczytać „na żywo” komunikaty dużej liczby przestępców korzystających z telefonów EncroChat.
„Wielu użytkowników EncroChat przeszło na Sky ECC w zeszłym roku” – powiedziała policja. „Firma jest obecnie największym na świecie dostawcą komunikacji kryptograficznej z 70 000 użytkowników”.
Celem było zdemontowanie Sky ECC
Belgijscy śledczy powiedzieli, że ich głównym celem było zniszczenie infrastruktury Sky ECC, rozmontowanie jej i konfiskata dochodów pochodzących z przestępstwa od sprzedawców Sky EEC.
„W najbliższych tygodniach i miesiącach zostanie otwartych kilka nowych spraw lub wniesione zostaną nowe zarzuty do istniejących spraw” – poinformowali wczoraj prokuratorzy.
„W wiadomościach czatu w telefonach Sky ECC odkryto kilka nowych przestępstw”.
Van Leeuw powiedział, że śledczy przechwycili około miliona zaszyfrowanych wiadomości, z których połowa została odszyfrowana.
Odszyfrowane wiadomości pozwoliły „znacznie lepiej zrozumieć wewnętrzne funkcjonowanie organizacji przestępczych, ich globalny charakter, nieograniczone środki finansowe, ich brak skrupułów i ich agresywność” – powiedział.
Sprawa rozpoczęła się w belgijskim federalnym wydziale sprawiedliwości w Antwerpii, ale ze względu na złożoność śledztwa wniesiono inne wydziały sądowe, w tym belgijskie centrum cyberbezpieczeństwa.
Śledczy próbowali wykazać, że telefony Sky ECC były używane wyłącznie do komunikacji kryminalnej i że Sky ECC było tego świadome.
Belgijski zespół śledczy wystosował pilny apel do każdego, kto posiada telefon Sky ECC i kto używa go do celów prawnych, o jak najszybsze zgłoszenie tego do federalnego wymiaru sprawiedliwości w Antwerpii.
Holenderscy śledczy powiedzieli, że kilkuset funkcjonariuszy policji, którzy pozostawali w gotowości w ostatnich miesiącach, zostało wysłanych do śledzenia przechwyconych wiadomości.
Duże zbiory danych były kluczem do dochodzenia
Eric Snoeck, dyrektor generalny federalnej policji sądowej z siedzibą w Brukseli, powiedział, że policja położyła kres działalności firmy telekomunikacyjnej podejrzewanej o udział w światowym handlu narkotykami.
„Międzynarodowe organizacje przestępcze, z którymi na co dzień walczymy, wykorzystują niezwykle złożone procesy cyfrowe ”- powiedział. „Są to dla nas wielkie wyzwania techniczne i technologiczne. Duże zbiory danych, które są generowane przez nowe technologie, wymagają większej wiedzy w zakresie zarządzania danymi i inteligencji ”.
Yve Driesen, dyrektor sądowy federalnej policji sądowej, powiedział, że dochodzenie dostarczyło wglądu w równoległą ekonomię przestępczą.
„W świecie przestępczym w Antwerpii widzieliśmy przestępców, którzy jednocześnie zarządzają wieloma transportami narkotyków – ton kokainy na raz” – powiedział.
Tłumaczenia z holenderskiego na angielski: Edda Killian