Евпропол, британское Национальное агентство по борьбе с преступностью (NCA), а также правоохранительные органы Франции, Швеции, Норвегии и Нидерландов официально сообщили о ликвидации платформы для зашифрованных коммуникаций Encrochat, которой пользовались более 60 000 преступников по всему миру.
Как это работало
Как можно увидеть на архивной копии сайта компании, телефоны Encrochat гарантировали своим пользователям абсолютную анонимность, так как не имели привязки устройства или SIM-карты к учетной записи клиента и приобретались в условиях, гарантирующих невозможность отследить их происхождение. Также гарантировалась полная конфиденциальность: зашифрованный интерфейс был надежно скрыт, а само устройство модифицировано — физически отсутствовали камера, микрофон, GPS-модуль и USB-порт.
Девайсы поставлялись сразу с двумя ОС: если пользователь хотел, чтобы устройство выглядело безобидным, он загружал обычный Android. Если же нужно было использовать секретные чаты, пользователь переключался на систему Encrochat.
По данным издания Vice Motherboard, телефоны Encrochat были построены на базе модифицированных BQ Aquaris X2 — Android-смартфонах, выпущенных в 2018 году испанской компанией по производству электроники.
Операторы платформы Encrochat устанавливали на телефоны собственные зашифрованные программы для обмена сообщениями и VoIP-звонков, которые маршрутизировали трафик через собственные серверы компании. Также телефоны имели функцию быстрого и полного обнуления устройства, если пользователь вводил специальный PIN-код.
Компания продавала телефоны по подписке: шестимесячный контракт стоил около 1500 фунтов стерлингов. Хотя на сайте говорится, что у Encrochat есть реселлеры в Амстердаме, Роттердаме, Мадриде и Дубае, на самом деле компания работала очень скрытно.
Издание Vice Motherboard, посвятившее огромную статью данной операции правоохранительных органов, пишет, что кто-то, контролирующий адрес электронной почты компании Encrochat, заявил журналистами, что Encrochat — работающая в рамках закона компания с клиентами в 140 странах мира.
«Мы — коммерческая компания, предлагающая услуги в области защищенной связи через мобильные устройства. Мы решили создать лучшую технологию на рынке, чтобы обеспечить надежный и безопасный сервис для организаций или физических лиц, которые хотят защитить свою информацию», — писал представитель компании.
При этом, по данным правоохранителей, 90% клиентов Encrochat – преступники. У Encrochat было порядка 60 000 пользователей по всему миру, и примерно 10 000 из них жили в Великобритании.
Журналисты рассказывают, что купить устройство Encrochat было совсем непросто. Собственный источник издания (бывший пользователь Encrochat ныне отбывающий тюремный срок) сообщил, что приобрел свой телефон в обычном магазине, у его хозяина. Однако все происходило в переулке позади здания и «выглядело как наркосделка».
Внедрение в Encrochat
Правоохранители говорят, что совместная операция, получившая название Venetic, стала одной из крупнейших в истории и уже привела к аресту 746 человек, изъятию 54 000 000 фунтов стерлингов наличными (67,4 миллиона долларов), 77 единиц огнестрельного оружия (автоматы, пистолеты, четыре гранаты и более 1800 патронов), 55 дорогостоящих автомобилей и более двух тонн наркотиков.
К примеру, французские правоохранители отказались раскрывать подробности своих расследований и их результаты, но голландские власти заявили, что ликвидировали 19 лабораторий по производству синтетических наркотиков, арестовали более 100 подозреваемых, изъяли более 8000 килограммов кокаина, 1200 килограммов метамфетамина, десятки пистолетов, люксовых автомобилей (включая машины со скрытыми отсеками) и часов, а также почти 20 000 000 евро (22,5 миллиона долларов) наличными.
Расследование, приведшее к вышеописанным результатам, началось еще в 2017 году во Франции под кодовым названием Emma 95. Затем оно распространилось в Нидерланды, где носило имя Lamont, и в конечном итоге правоохранители объединили усилия, и к делу подключились Великобритания, Швеция и Норвегия.
Следователи рассказывают, что нашли способ взломать Encrochat, не взламывая само шифрование платформы. Вместо этого, несколько месяцев назад, французские правоохранители проникли в сеть Encrochat и внедрили на устройства компании малварь, которая позволила читать сообщения преступников, прежде чем те были отправлены. В итоге европейские полицейские изучили «более ста миллионов зашифрованных сообщений» и стали свидетелями того, как наркоторговцы договаривались об оптовых сделках, преступники обсуждали убийства и отмывание денег.
«Эти сообщения дали представление о беспрецедентно огромном количестве серьезных преступлений, включая данные о крупных международных поставках наркотиков и [местонахождении] нарколабораторий, убийствах, грабежах, вымогательстве, тяжких нападениях и захватах заложников. Совершенно прозрачными стали международные коридоры по поставкам наркотиков и отмыванию денег», — пишут голландские правоохранительные органы.
«То, что обычно возможно только в полицейских триллерах, происходило на наших глазах, —добавляет глава Национального департамента уголовных расследований Нидерландов Энди Крааг — Мы читали сообщения, которые давали нам представление о повседневной жизни криминального мира».
Паника в криминальном мире
Еще в мае текущего года некоторые пользователи Encrochat заметили проблему: функция обнуления на их телефонах не работала. Анонимный сотрудник Encrochat рассказал Vice Motherboard, что тогда в компании сочли, что пользователь, вероятно, просто забыл свой PIN-код, или функция обнуления была некорректно настроена.
Но уже следующем месяце Encrochat удалось отследить одно таких «глючных» устройств модели X2. Как оказалось, проблема была не в пользователе и не в настройках: на телефоне нашли малварь, а устройство оказалось взломано. Причем вредоносная программа была специально создана для модели X2. Она не только мешала корректной работе функции очистки девайса, но была разработана таким образом, чтобы скрывать себя от обнаружения, записывать пароль блокировки экрана и клонировать данные приложений.
Понимая, что это атака, в течение следующих дней Encrochat выпустила обновление для своих устройств, чтобы восстановить их функциональность и собрать информацию о малвари, которая проникла на телефоны компании по всему миру. Разработчики Encrochat стали уведомлять пользователей и следили за происходящим удаленно, не имея возможности получить физический доступ к устройствам.
Однако почти сразу после релиза этого патча атакующие снова нанесли удар: малварь вернулась, и теперь она могла еще и изменить пароль для блокировки экрана, а не просто записать его.
Операторы Encrochat начали паниковать. Они разослали своим пользователям сообщение, информируя их о продолжающейся атаке. Также компания уведомила о ситуации своего провайдера SIM-карт, голландскую телекоммуникационную компанию KPN, и та заблокировала для малвари соединения с серверами атакующих. Но, судя по всему, к тому моменту KPN уже сотрудничала с властями (представители KPN пока отказываются от комментариев), поэтому вскоре компания удалила брандмауэр, что вновь позволило серверам атакующих обмениваться данными с телефонами Encrochat.
Тогда в Encrochat решили полностью сворачивать все операции. «Мы приняли решение немедленно отключить все SIM-карты и сеть», — рассказывает сотрудник компании. Дело в том, что к тому моменту в компании уже понимали, что им противостоит не очередная конкурирующая фирма, а правительство.
«Сегодня наш домен незаконно захватили государственные структуры. Они использовали наш домен для запуска атаки. <…> Из-за уровня сложности атаки и вредоносного кода мы больше не можем гарантировать безопасность вашего устройства. Советуем вам немедленно отключить и физически уничтожить устройство», — такое сообщение операторы Encrochat отправили всем своим пользователям 13 июня 2020 года.
После этого сообщения от Encrochat многие пользователи запаниковали. Согласно скриншотам, оказавшимся в распоряжении Vice Motherboard, некоторые пользователи даже пытались определить, была ли затронута атакой их конкретная модель телефона.
Но было уже слишком поздно. К этому времени европейские правоохранительные органы уже давно извлекли множество данных с устройств Encrochat по всему миру, и перед ними предстали многомиллионные наркоимперии и преступные синдикаты в виде текстовых сообщений и фотографий. У полиции было буквально все: фотографии огромных стопок наркотиков, лежащих на весах; килограммовые брикеты кокаина; сумки, доверху забитые экстази. Сообщения о запланированных сделках и поставках. Фотографии членов семей предполагаемых преступников и обсуждения их личных дел.
После этого правоохранители начали действовать: последовали конфискации грузов, рейды на торговцев наркотиками, массовые аресты. И общим знаменателем происходящего была компания Encrochat.
Журналисты отмечают, что, по словам источника, близкого к пользователям Encrochat, криминальный мир в смятении, так как лишился одного из основных способов связи. Многие клиенты Encrochat сейчас пытаются пересечь границы и избежать задержания. Также источник отметил, что покупать наркотики оптом стало намного сложнее.
Не первый случай
Ликвидация EncroChat и аресты пользователей – далеко не беспрецедентный случай. К примеру, в 2018 году был арестован исполнительный директор компании Phantom Secure, которая производила «невзламываемые» телефоны для преступников.
Phantom Secure размещала свои серверы в Панаме и Гонконге и использовала виртуальные прокси, чтобы скрывать их физическое местоположение. Также платформа помогала удаленно уничтожать данные на устройствах, уже изъятых правоохранительными органами.
Подписка на сервис Phantom Secure стоила около 2-3 тысяч долларов за полгода. Для защиты анонимности клиентов и деятельности самой Phantom Secure, сделки производились в цифровых валютах, в том числе в биткоинах. За эти деньги человек получал устройство, где и софт и железо были модифицированы таким образом, чтобы обеспечить анонимность и шифрование всех коммуникаций. GPS-навигация, микрофон, камера, доступ в интернет и мессенджер, и даже технология передачи голоса, все было сделано с учетом особых нужд клиентов.
Телефоны Phantom пользовались большой популярностью в преступном мире, в том числе у самой верхушки транснациональных преступных группировок. В частности, члены известного наркокартеля Синалоа в Мексике были клиентами компании Phantom Secure.
Другая подобная компания, MPC, была создана и управлялась организованной преступной группой из Шотландии, связанной с наркоторговлей.
Журналисты Vice Motherboard отмечают, что конкуренция в этой области велика. Так, компании регулярно распространяют слухи о небезопасности устройств друг друга и загружают на YouTube видео, дискредитирующие конкурентов. Или, к примеру, Encrochat ранее вообще блокировала домены других фирм.
Другие компании, предлагающие услуги защищенной связи, уже пытаются заполнить пробел, образовавшийся после исчезновения Encrochat. К примеру, компания Omerta уже нацелила свою рекламу на бывших клиентов Encrochat.
«Encrochat взломан, пользователей спалили и арестовывают. КОРОРЛЬ УМЕР! Вы чудом избежали недавнего “массового вымирания”? Празднуйте со скидкой 10%. Присоединяйтесь к семье Omerta и общайтесь безнаказанно», — гласит реклама Omerta.
Представители Omerta сообщили журналистам, что в последнее время у них действительно наблюдается прирост трафика.
