На этой неделе Европол и сотрудники правоохранительных органов из девяти стран (США, Канады, Франции, Италии, Ирландии, Австралии, Швеции и Нидерландов) сообщили об успешном уничтожении платформы для зашифрованных коммуникаций Ghost.
Сообщается, что эту платформу, подобно Encrochat, Sky ECC, Phantom Secure и Anom, использовали организованные преступные группы, в основном занимавшиеся наркоторговлей и отмыванием денег.
Ghost существовал с 2015 года и предлагал своим пользователям продвинутую систему безопасности и анонимизации, позволял оплачивать подписку криптовалютой, имел три уровня шифрования и систему самоуничтожения сообщений, которая стирала все улики как на устройстве отправителя, так и получателя.
По информации властей, тысячи людей по всему миру использовали Ghost для обмена примерно 1000 сообщений ежедневно, а обширная глобальная сеть реселлеров продвигала платформу среди потенциальных клиентов.
Стоимость подписки на Ghost составляла 2350 долларов США за полгода. В это сумму входило само модифицированное устройство (как правило, в таких случаях используются модифицированные смартфоны, в которых физически отсутствуют камера, микрофон, GPS-модуль, USB-порт и так далее), а также услуги технической поддержки.
Расследование в отношении платформы, возглавляемое Европолом, началось еще в марте 2022 года при участии правоохранителей из США, Канады, Франции, Италии, Ирландии, Австралии, Швеции и Нидерландов.
Как рассказали представители Национального департамента киберкомандования при Министерстве внутренних дел Франции, в течение нескольких лет они предоставляли оперативной группе технические ресурсы, которые помогали расшифровать сообщения Ghost. Так, австралийские полицейские смогли модифицировать обновления ПО, которые регулярно выпускали администраторы.
«По сути, мы заразили устройства Ghost, что позволило нам получить доступ к контенту на устройствах в Австралии», — рассказывает заместитель комиссара федеральной полиции Австралии Ян Маккартни (Ian McCartney).
В результате специалистам удалось обнаружить серверы Ghost во Франции и Исландии, отыскать владельцев платформы в Австралии, а активы, связанные с Ghost, проследить до США.
Изучение всех собранных за эти годы улик позволило властям организовать скоординированные рейды в разных странах, в результате которых был арестован 51 человек: 38 в Австралии, 11 в Ирландии, один в Канаде и один в Италии (утверждается, что этот человек играл «большую роль» в группировке Sacra Corona Unita). При этом в ближайшие дни ожидаются дополнительные аресты в Австралии и других странах.
Также сообщается, что в ходе обысков власти ликвидировали нарколабораторию и изъяли оружие, запрещенные вещества и более одного миллиона евро наличными.
Основным операторам и руководителям платформы уже предъявлены обвинения по пяти пунктам.
Главой Ghost называют 32-летнего Джея Чже Юн Чжона (Jay Je Yoon Jung), который был арестован в Сиднее. По информации ABC, австралийские власти знали о Ghost на протяжении семи лет, однако до 2021 года им не было известно, что предполагаемый администратор платформы — австралиец.
Если обвиняемых признают виновными, им может грозить до 26 лет лишения свободы.
Представители Австралийской федеральной полиции дали этой операции название «Кракен» (Kraken) и утверждают, что Ghost использовался в Австралии и за рубежом для импорта запрещенных наркотиков и заказа убийств.
«Ghost пользовались сотни преступников, включая итальянскую организованную преступность, членов байкерских банд, организованную преступность на Ближнем Востоке и в Корее», — пишут правоохранители.
Австралийская полиция сообщает, что в стране было активно 376 смартфонов Ghost. В результате отслеживания 125 000 сообщений и 120 видеозвонков с марта текущего года удалось предотвратить распространение более 200 кг запрещенных наркотических веществ, а также убийства, похищения или причинение вреда здоровью 50 человек. Также в результате ликвидации платформы было изъято 25 единиц незаконного огнестрельного оружия.
Как отмечает издание 404 Media, на официальном сайте Ghost описывался как «безопасный зашифрованный сервис связи будущего».
«Будьте спокойны и защитите конфиденциальную деловую информацию от посторонних глаз. Ghost предлагает ведущие в отрасли инструменты, которые обеспечивают уверенное общение, где бы вы ни находились», — гласила реклама якобы легальной платформы.
Интересно, что сами представители Европола отмечают, что ликвидация Ghost и аналогичных сервисов в прошлом (Sky ECC, EncroChat и Exlu) в итоге приводит к фрагментации ландшафта зашифрованных коммуникаций, а это затрудняет проведение расследований и выявление преступлений.
«В ответ на [наши] действия преступники стали использовать различные менее распространенные или разработанные на заказ средства связи, которые обеспечивают различную степень безопасности и анонимности, — поясняет Европол. — Такая стратегия помогает злоумышленникам не раскрывать все свои преступные операции и сети в рамках одной платформы, тем самым снижая риск перехвата».
Эти слова правоохранителей подтверждают и журналисты 404 Media. По их данным, в настоящее время единственным крупным игроком на рынке защищенных коммуникаций для преступников, похоже, остается No. 1 Business Communication (No. 1 BC), который активно используется итальянской мафией.
При этом распространители защищенных телефонов сообщили изданию на условиях анонимности, что в последнее время их клиенты переходят на использование Signal и защищенной операционной системы GrapheneOS.
Изменения на ландшафте зашифрованных коммуникаций были отмечены и в отчете (PDF) Комиссии по предотвращению преступности Нового Южного Уэльса, опубликованном в октябре 2023 года.
Этот документ гласит, что в период с 2022 по 2023 год рынок зашифрованных коммуникаций для преступников в Австралии «менялся беспрецедентными темпами». Так, серьезные организованные преступные группировки в основном перестали использовать традиционные шифрованные платформы из-за проблем с их безопасностью, доступностью и стабильностью.
Вместо этого преступники все чаще используют «приложения для обмена зашифрованными сообщениями, такие как Threema, Signal и Wickr, которые устанавливаются на „усиленные“ (hardened) телефоны с VPN, защищенными ОС и серыми SIM-картами».
Также в отчете отмечалось, что австралийская организованная преступность «инвестирует в разработку специальных приложений для обмена зашифрованными сообщениями как для собственного использования, так и для продажи другим синдикатам».
