Европейские спецслужбы взломали платформу для зашифрованных коммуникаций EncroСhat, благодаря чему получили доступ к более чем 100 млн зашифрованных сообщений предполагаемых преступников. Рассказываем, как правоохранителям удалось обойти систему защиты и как они воспользовались полученной информацией.
"Сегодня наш домен незаконно захватили госструктуры. Они использовали его для запуска атаки... Из-за серьезности инцидента мы больше не можем гарантировать безопасность вашего устройства. Советуем немедленно отключить его и физически уничтожить". Такое сообщение 13 июня 2020 года получили клиенты голландской компании EncroChat — поставщика телефонов с системой шифрования, обещавшего своим абонентам полную анонимность и защиту от взломов. "Это как электронный эквивалент частной беседы в пустой комнате", — описывала фирма свои услуги.
На самом же деле речь скорее шла о "WhatsApp для преступников" — так платформу часто называют в прессе, так как, согласно заявлениям полиции, EncroChat активно использовали представители криминальных кругов. По оценкам французских властей, более 90% клиентов этой компании во Франции "занимаются преступной деятельностью". Именно поэтому, когда клиенты платформы читали сообщение о взломе, европейская полиция уже активно изучала "более 100 млн зашифрованных сообщений", в которых пользователи EncroChat обсуждали криминальные сделки, убийства, наркоторговлю и даже обменивались семейными фотографиями.
Эти сообщения "дали представление о беспрецедентно большом количестве серьезных преступлений, включая крупные международные поставки наркотиков… убийства, разбойные нападения, вымогательства, грабежи... и захват заложников", — рассказали голландские правоохранители.
Мафиозная соцсеть
"Мы поставили перед собой задачу найти лучшую технологию на рынке для предоставления надежных и безопасных услуг любой организации или частному лицу, которые хотят защитить свою информацию", — говорилось на одном из связанных с компанией сайтов, который в настоящий момент недоступен.
Изначально система EncroChat была разработана для знаменитостей, опасавшихся утечки персональных данных. Однако эти сервисы больше пригодились представителям криминального мира, которые начали использовать их как мафиозную соцсеть.
Телефоны EncroChat представляют собой модифицированные устройства на базе смартфона BQ Aquaris X2, но с возможностью отключения камеры, микрофона, GPS-модуля и USB-порта.
В обычном режиме телефоны работали на ОС Android, но с помощью специальной комбинации клавиш переключались на EncroChat, где были доступны VoIP-звонки и сообщения в секретных чатах, которые компания шифровала через свои серверы во Франции. Кроме того, на всех телефонах имелась функция мгновенного уничтожения содержимого, которая запускалась через персональный PIN-код или удаленно, с помощью оператора.
Стоимость одного такого устройства составляла €1 тыс., а его клиентское обслуживание обходилось примерно в €1,5 тыс. за полгода. За эту цену владелец получал круглосуточную техподдержку, бесплатные минуты для звонков, а также безлимитные возможности обмена зашифрованными сообщениями.
Сама компания позиционировала себя как законопослушную и прозрачную фирму с посредниками в Амстердаме, Роттердаме, Мадриде и Дубае, а также с клиентами в 140 странах мира. При этом, как рассказал владевший таким телефоном собеседник Vice Motherboard, купить аппарат EncroChat без нужных знакомств и рекомендаций было практически невозможно.
Покупку своего телефона он описал как "сделку с наркоторговцем", так как ему заранее приходилось согласовывать с продавцом место встречи и покупать аппарат с рук в переулке, а не в магазине.
По оценкам британского Национального агентства по борьбе с преступностью (NCA), число пользователей EncroChat в мире достигает 60 тыс. человек, 10 тыс. из них находятся в Великобритании. По мнению правоохранителей, большинство пользователей сети так или иначе имеют отношение к организованной преступности.
Массовые аресты
Именно в Великобритании прошли самые многочисленные аресты, связанные с EncroChat. В результате международной операции Venetic, в которой участвовали все полицейские подразделения страны и их европейские коллеги, силовикам удалось задержать почти 750 предполагаемых преступников среднего и высшего звена, предотвратить около 200 возможных убийств. В общей сложности полицейские изъяли более £54 млн наличными, две тонны наркотиков (полторы из них — кокаин), около 80 единиц огнестрельного оружия, патроны, гранаты, 55 дорогостоящих автомобилей и 73 пары люксовых часов.
Как заявили в британской полиции, благодаря проведенным рейдам властям удалось задержать "некоторых из самых давних и опасных преступников Лондона". Среди них оказались весьма известные и уважаемые бизнесмены. Правоохранители также отметили, что взлом EncroChat помог собрать достаточно доказательств для преследования "преступников, которые считали себя "неприкасаемыми" и до сих пор оставались вне досягаемости".
Одна из таких группировок занималась распространением кокаина и продажей оружия на территории Великобритании, Европы и Объединенных Арабских Эмиратов. Согласно заявлению полиции, эта ОПГ "защищала и продвигала свои интересы посредством активного применения насилия на улицах Лондона".
Как говорится в сообщении Скотленд-Ярда, в рамках операции Venetic в британской столице был задержан 171 человек по подозрению в подготовке убийств, хранении оружия и наркотиков, отмывании денег.
"Большое число подозреваемых было арестовано в ряде стран, которые не участвовали в операции совместной следственной группы, но также пострадали от незаконного использования телефонов членами организованных преступных групп на территории Великобритании, Швеции и Норвегии", — говорится в сообщении Европола. Аресты прошли и в других странах, в том числе в Ирландии, Франции и даже Турции. Как сообщают правоохранители, многие из задержаний "связаны с международным наркотрафиком и насильственными преступлениями".
Пока рано оценивать масштабы проделанной работы, аресты продолжаются до сих пор, но уже сейчас очевидно, что взлом систем EncroChat стал одним из самых серьезных в истории ударов по организованной преступности.
Только в Нидерландах благодаря доступу к перепискам было арестовано более 100 подозреваемых, изъято 8 тонн кокаина и 1 тонна метамфетамина, €20 млн наличными, десятки единиц огнестрельного оружия (в том числе автоматического), дорогих часов и 25 автомобилей (некоторые с оборудованными тайниками), а также ликвидировано 19 лабораторий по производству синтетических наркотиков. Кроме того, недалеко от бельгийской границы правоохранители задержали семь морских контейнеров, которые были переоборудованы в самодельную тюрьму и "камеру пыток" — с креслом дантиста, наручниками, плоскогубцами и скальпелями.
По словам нидерландских властей, полиции удалось обнаружить "комнату для процедур" до того, как ее успели использовать по назначению. В рамках этой операции были задержаны шесть человек.
Взлом системы
Первые попытки внедриться в сервис Национальное агентство по борьбе с преступностью предпринимало еще в 2016 году. В 2017 году власти Франции начали в отношении EncroChat официальное расследование. Жандармерия и судебные органы страны обратили внимание, что такие аппараты регулярно изымались у представителей организованных преступных групп. Несколько месяцев назад специалисты из Франции и Нидерландов смогли внедрить в систему шпионскую программу, которая позволила силовикам не взламывать каждый девайс по отдельности, а читать все исходящие с устройств сообщения.
Первые аресты, связанные с полученными из EncroChat переписками, начались в апреле 2020 года, после того как Евроюст создал совместную франко-нидерландскую следственную группу при участии Европола и Европейского полицейского колледжа (CEPOL).
Эта группа в режиме реального времени отслеживала миллионы сообщений и данных из EncroChat и передавала всю необходимую информацию заинтересованным странам.
В мае один из пользователей EncroСhat заметил, что на его телефоне перестала работать функция уничтожения информации. Сотрудники EncroСhat решили, что, возможно, пользователь забыл PIN-код либо неправильно настроил функцию. Однако в следующем месяце компания сделала вывод, что устройство взломали. Вредоносная программа была защищена от обнаружения, блокировала заводскую перезагрузку телефона, сохраняла пароль блокировки экрана и копировала данные из приложений.
Операторы попыталась выпустить обновление системы, но столкнулись с еще более агрессивной атакой, на этот раз хакеры смогли не просто заблокировать функцию "самоуничтожения", но и поменять привязанный к ней PIN-код.
Полиция продолжала отслеживать сообщения в сети вплоть до 13 июня, пока EncroChat не предупредила абонентов о взломе со стороны госорганов. У правоохранителей до сих пор остаются значительные объемы добытых материалов, которые, скорее всего, приведут к новым крупным арестам.
В одном из своих пресс-релизов французские спецслужбы заявили, что "несмотря на выводы о преступном использовании терминалов [телефонов] EncroСhat", они надеются, что "добросовестные абоненты, которые желают, чтобы их личные данные были удалены из материалов дела, могут направить свой запрос в следственный отдел". Они также предложили администраторам или менеджерам самой EncroСhat связаться с ними, если те хотят обсудить правовые аспекты взлома системы.
Франция пока не делится другими деталями связанного с EncroСhat расследования до получения более конкретных результатов.
Конкурентная индустрия
Судя по всему, представители EncroСhat вряд ли будут предъявлять полиции претензии. Как передает Vice, после взлома платформы и массовых арестов ее пользователей в редакцию издания пришло письмо с адреса компании, в котором говорится, что она приостанавливает свою работу.
"Мы были вынуждены принять трудное решение о закрытии нашего сервиса и нашего бизнеса навсегда", — приводит Vice текст полученного сообщения, отмечая при этом, что не может подтвердить его подлинность.
Разгром EncroСhat — далеко не окончательная победа спецслужб над такими сервисами. Так называемые защищенные телефоны предлагают множество других компаний. Некоторые из них скрывают имена сотрудников и свое местоположение, другие — напрямую связаны с преступными группировками.
К примеру, основатель подобной компании Phantom Secure Винсент Рамос в настоящее время находится в тюрьме отчасти за то, что рассказал агентам под прикрытием, что он специально создал устройство для содействия наркотрафику.
Другие компании, предлагающие услуги защищенной связи, уже пытаются переманить клиентов ушедшей с рынка EncroСhat. Например, компания Omerta предлагает вновь прибывшим пользователям EncroСhat скидку в 10%.
Дмитрий Беляев