Эвона ч0... Итак, в предыдущей заметке (https://vk.com/catx2?w=wall-162479647_405941) мы остановились на самоликвидации отраслевого стандарта «бандитской связи» — сервиса EncroChat. Сотрудники компании выяснили, что их сервера были как минимум дважды взломаны, а телефоны половины их абонентов заражены трояном, который скачивался с серверов как обновление безопасности. Причем судя по искусно проведенному взлому и качеству кода трояна, причиной проблем были не конкуренты, а государственные правоохранительные органы. Поэтому EncroChat предупредила всех пользователей о взломе, посоветовала им немедленно физически устранить свои устройства и исчезла.
После этого лидером на рынке стала канадская компания Sky Global. Провайдер защищенной связи с очень интересной локализацией клиентской базы: четверть из 71 тысячи абонентов компании проживали в районе Роттердама и Антверпена, а еще четверть — в Колумбии 16.
Главным сервисом Sky Global был доступ по подписке к мессенджеру SkyECC, который имел версии для Android, iOS и Blackberry OS. Сами телефоны можно было купить и у провайдера, тогда в них отключали камеры, микрофоны, GPS-модуль; встраивали возможность удаленного форматирования памяти телефона. Главной особенностью мессенджера было шифрование по алгоритму ECC — эллиптическая криптография (как звучит, а!?). Sky Global был настолько уверен в надежности алгоритмов и качестве кода мессенджера, что даже объявил конкурс на взлом своего сервиса, причем с немаленьким призовым фондом в 3,2 млн. евро 16.
Судя по всему, победителем хакатона опять стал Европол. Сначала, 9 февраля 2021 года, «берут» 1,5 тонны героина в порту Роттердама 17. Потом, 12 февраля, изымают 16,1 тонну кокаина в Гамбурге, а 24 февраля — 7,2 тонны в Антверпене. Причем по накладным, адрес конечной доставки «бельгийского» кокаина совпадал с адресом отправления «немецкого» — склад в деревушке Блескенграаф в провинции Южная Голландия. Итого, 23,3 тонны кокаина розничной стоимостью в 600 млн. евро (да, шестьсот миллионов евро, я не опечатался) 18.
Но и это еще не все: наступает вторник 9 марта 2021 года, и в Бельгии 1600 полицейских проводят 200 рейдов по всей стране. В итоге арестовано 48 человек, включая адвокатов, участников байкерской банды Hells Angels, действующих сотрудников полиции, гражданского сотрудника бельгийской прокуратуры, чиновников городских администраций, сотрудников налоговых органов и врачей. Конфискуется 1,2 млн. евро наличности и 17 тонн кокаина — это еще 430 млн. евро в порошковой форме 19. В ходе пресс-конференции представитель бельгийской полиции напрямую обратился к руководству Sky Global с предложением выслать им номер банковского счета Федерального министерства внутренних дел, куда надо перевести те самые 3,2 млн. евро 16. В Нидерландах в этот же день арестовывают 30 человек, изымают 28 «стволов» и отдельный сервер мессенджера SkyECC 19.
Самое интересное, это реакция Sky Global: они заявляют, что все изъятые в ходе рейдов телефоны — реплики, мессенджер на них — подделка, а абонентам их сервиса бояться нечего. Но как бы там ни было, 12 марта 2021 Большое жюри федерального суда США выдает ордер на арест генерального директора Sky Global 20. А сайт компании начинает выглядеть таким вот образом.
{ФОТО 3}
Так выглядит сайт Sky Global с 12 марта 2021 года.
О способах «взлома» SkyECC информации мало, но учитывая, что Европол упоминает в своем коммюнике полицию Франциии, и что им удалось получить доступ к сообщениям с телефонов «в реальном времени» 21, скорее всего способ был такой же, как и с EncroChat — установка трояна на устройства через сервера компании, что дает возможность получить доступ к сообщениям еще до того, как они зашифрованы (до отправки).
Кстати, причина почему во всех этих историях постоянно замешена или страна тюльпанов, или шоколада, крайне банальна — порт Роттердама и порт Антверпена соответственно. Два самых больших морских транспортных хаба Европы, а следовательно, самые удобные места оптового контрабандного ввоза «веществ», откуда они уже развозятся по розничным адресатам. Так что когда вы видите очередную шутку про Питер и мефедрон — тут не о чем смеяться, это, к сожалению, судьба города, предопределенная географическим положением и наличием большого морского порта.
Что произошло после всех этих событий? Правильно, наркоторговцы тяжело вздохнули, записали вложения в эти партии товаров в графу “Sunk Сost” своей финансовой отчетности и продолжили работать дальше. Но работать в межконтинентальной «торговле» без надежной связи невозможно, поэтому у другого провайдера услуг зашифрованной связи, американской компании AN0M, всего за неделю после закрытия Sky Global количество пользователей увеличивается с 200 до 6000. И число абонентов продолжает расти экспоненциально 22.
Устройства AN0M напоминали телефоны EncroChat: специальная версия Android (ArcaneOS), из телефонов убирались микрофоны и GPS-модуль (вот молодцы, не то, что Apple, которая челку с iPhone третий год убрать не может), естественно «код паники» и удаленное форматирование памяти, из нового — «PIN scrambling». В общем, не зря EncroChat был «отраслевым стандартом». Единственным работающим приложением на телефоне был мессенджер AN0M, который передавал зашифрованные сообщения через сервера компании 23.
{ФОТО 4}
Экран блокировки телефона AN0M, на первый взгляд ничего необычного… Но внимательный читатель заметит PIN-scrambling в действии.
Знаете, есть одно старое русское слово, не матерное — совсем нет. Но иногда им маты подменяют, и в таких случаях лично мне оно кажется каким-то особо грубым и циничным, может даже более экспрессивным, чем слова вместо которых его употребляют. Но для этой ситуации я так и не нашел более емкого, описательного и точного глагола.
С компанией AN0M господ преступников и наркоторговцев вот прямо нахлобучили. Причем группой лиц по предварительному сговору с особой жестокостью — компания AN0M была создана по инициативе ФБР и австралийской полиции, потом к проекту присоединился и Европол. Только программера для подготовки спецверсии Андроид и специального «защищенного» мессенджера они взяли по аутсорсу — какого-то хакера из ближайшей тюрьмы 24.
Правильно, это значит, что все сообщения, фотографии и видео из «защищенного» мессенджера шли напрямую на сервера полиции, вместе с ключом шифрования, идентификационным номером устройства и приблизительной локацией (GPS был на самом деле отключен, поэтому использовалась триангуляция по вышкам сотовой связи) 25. Таким образом за 18 месяцев работы AN0M было получено 27 млн. сообщений на нескольких языках 26. Для их обработки, анализа и перевода полиция Нидерландов написала специальный программный код, которым поделилась с другими участниками операции “Trojan Shield” 27. Кстати, все это объясняет, почему ФБР неожиданно «вписалось» в разборки между Европолом и Sky Global — надо было «подтолкнуть» организованную преступность к переходу на AN0M.
Завершение операции было впечатляющим: 8 июня 2021 года одновременно на территории 18 стран было арестовано около 1000 человек, изъято 8 тонн кокаина, 22 тонны марихуаны, 2 тонны синтетических наркотиков и 6 тонн прекурсоров для них, 250 единиц оружия, 55 автомобилей и 48 млн. долларов наличными и криптовалютой. В тот же день Европол заявил, что данная операция «нанесла тяжелейший удар по организованной преступности». Что ж, похоже на правду.
Интересно, на услуги какой компании зашифрованной связи «пересели» с AN0M преступники и наркоторговцы? Надеюсь, узнаем уже в наступившем году из полицейских коммюнике.
Что я могу добавить в заключение своего рассказа про борьбу полицейского троян-снаряда с преступной крипто-броней? Во-первых, хорошо, что снаряды побеждают. Добро должно побеждать зло. Во-вторых, не становитесь преступниками и наркоторговцами. Их часто нахлобучивают. В-третьих, единственный способ сохранить тайну — никому о ней не рассказывать. Тем более через электронные средства коммуникации.
Источники
16 — https://www.wikiwand.com/en/Sky_Global
17 — https://nltimes.nl/2021/02/24/1500-kg-heroin-found-rotterdam-port-biggest-bust-ever
18 — https://nltimes.nl/2021/02/24/eu600-million-cocaine-headed-one-dutch-address-caught-busts
19 — https://nltimes.nl/2021/03/09/dutch-cops-take-encrypted-chat-service-skyecc-thirty-arrests
20 — https://www.computerweekly.com/news/252497791/Arrest-warrants-for-Candians-behind-Sky-ECC-cryptophone-networks-used-by-organised-crime
21 — https://www.europol.europa.eu/media-press/newsroom/news/new-major-interventions-to-block-encrypted-communications-of-criminal-networks
22 — https://www.computerweekly.com/news/252509539/Cryptophone-supplier-Sky-Global-takes-legal-action-over-US-government-website-seizures
23 — https://www.vice.com/en/article/n7b4gg/anom-phone-arcaneos-fbi-backdoor
24 — https://www.theregister.com/2021/06/08/fbi_trojan_shield/
25 — https://www.wikiwand.com/en/ANOM
26 — https://border-security-report.com/operation-trojan-shield-otf-greenlight-delivers-biggest-ever-law-enforcement-operation-success/
27 — https://nltimes.nl/2021/06/08/49-nl-arrests-international-encrypted-phones-operation
#Щебетов@catx2
#Заметка@catx2
