Криминальное чтиво Как взлом защищенной системы связи вывел на чистую воду сотни преступников

Логика вещей проста: пока есть люди, которым нужно скрывать свою переписку, найдутся и те, кто предложит такие услуги. Эта цепочка стала особенно актуальной с распространением интернета и смартфонов, которые дают массу возможностей для перехвата чужих сообщений. Полицейские разных стран активно пользуются таким каналом получения информации, а преступники ищут и применяют все более надежные средства защиты, не жалея средств на оплату самых дорогих и качественных решений.

Большим уважением в этой области пользовались защищенные аппараты, которые создаются умельцами на основе смартфонов BlackBerry, дополненных технологией шифрования PGP. В 2017 году правоохранители Нидерландов закрыли компанию Ennetcom, которая продавала такие «невзламываемые» аппараты с услугой обмена данными через собственные закрытые серверы. В 2018-м отправился за решетку глава канадской Phantom Secure, среди довольных клиентов которой числились даже члены картеля Синалоа. Но свято место пусто не бывает, и в 2019-м году на рынке появился новый лидер.

Не оставляющий следа

Нидерландская компания EncroChat появилась на свет еще в 2016-м и официально позиционировала свои услуги в качестве сервиса «для знаменитостей, которые опасаются за безопасность своих телефонных переговоров». После закрытия нескольких конкурентов и агрессивной рекламной кампании сеть стала быстро расти. К весне 2020-го ею пользовались более 60 тыс. человек, в основном в Европе, но также и на Ближнем Востоке и в некоторых других странах.

Среди них действительно нашлось немало политиков, адвокатов, звезд шоу-бизнеса — ​тех, кому требуется тщательно следить за конфиденциальностью переписки. По некоторым сведениям, к EncroChat были подключены даже некоторые члены британской королевской семьи. Но, конечно, большинство клиентов сети составили преступники «среднего и высшего звена», впоследствии французская жандармерия оценила их долю не менее чем в 90 %.

В самом деле, рядовые граждане вряд ли готовы выложить около 1000 фунтов стерлингов за сам аппарат, а затем еще по 1500 фунтов каждые полгода за подписку. Но те, кто мог себе позволить такие расходы на конфиденциальность, получали по-настоящему надежную защиту. EncroChat стал стандартом приватной связи для международного криминалитета. Разработчики заверяли, что общение через их систему «так же безопасно, как и разговор с глазу на глаз в пустой комнате». Даже приобретение смартфона, по словам одного из бывших пользователей, «было обставлено, словно покупка наркотиков». Оплата принималась биткойнами.

Протокол Фантом

Большинство аппаратов в сети EncroChat были «перепрошитыми» и модифицированными смартфонами Aquaris X2 испанской компании BQ, хотя использовались также некоторые модели Samsung и даже старые BlackBerry. Умельцы отключали их встроенные микрофоны и камеры, датчик GPS и контакты USB-порта. Кроме того, на телефоны устанавливались сразу две операционные системы. Стандартное включение запускало обыкновенный Android, так что даже в работающем виде телефон ничем не выделялся.

При одновременном нажатии кнопок включения и изменения громкости загружался второй, скрытый интерфейс

Но при одновременном нажатии кнопок включения и изменения громкости загружался второй, скрытый интерфейс с собственной операционной системой EncroChat OS. Она не могла похвастаться большим выбором игр и приложений: только мессенджер EncroChat, использующий криптографический протокол OTR* для обмена мгновенными сообщениями, а также приложение для VoIP-телефонии

EncroTalk, защищенное протоколом ZRTP**. Поскольку собственный микрофон аппарата отключен, во время голосового общения пользователи подключали внешние гарнитуры.

* OTR Надежный криптографический протокол для мгновенного обмена сообщениями, рекомендуемый Фондом электронных рубежей — ​некоммерческой организацией, созданной для защиты прав человека на фоне распространения новых информационных технологий.

** ZRTP Протокол шифрования голосовых сообщений в VoIP-телефонии. Разработчики ZRTP предлагают собственный защищенный продукт для переговоров, приложение Zfone, доступное на Mac OS X, Windows и Linux.

Кроме того, в ОС была реализована функция быстрого удаления информации на случай, если смартфон попадет в руки полиции. Для этого требовалось просто нажать на заблокированном экране кнопку «Паника» и ввести секретный ПИН-код. Обмен трафиком шел через собственные серверы EncroChat, располагавшиеся в дата-центрах французской компании OVH. Уверенность пользователей в защите EncroChat была столь высока, что многие из них отказались даже от своего обычного способа общения шифрами и полунамеками, заключая сделки, открыто обсуждая цены на криминальные услуги, напрямую называя имена, расположение тайников и т. п. Когда полицейские, наконец, оказались внутри системы, их ждали целые залежи стопроцентных улик.

Прослушка

Французская жандармерия обратила внимание на подозрительные смартфоны в 2017 году при задержании членов одной из группировок. В 2018-м такие же телефоны были конфискованы полицией Великобритании, где они «засветились» при убийстве одного из местных «авторитетов». Однако многомесячные попытки найти пароль и взломать устройства ни к чему не привели. Операция, получившая во Франции название Emma 95, увенчалась успехом лишь в начале 2020-го, когда местным правоохранителям удалось проникнуть в сеть. Полицейские не разглашают деталей, хотя эксперты предполагают, что во время очередного обновления системы на аппараты удалось загрузить ПО для слежки.

Некоторые образцы содержимого защищенных аппаратов были представлены публике: фотографии забитых деньгами сумок, брикеты расфасованных для продажи наркотиков, договоренности о сделках, портреты верных членов банд…

«EncroChat создавался силами небольшой компании, у которой вряд ли имелись серьезные бюджеты на разработку. Поэтому сотрудники полиции, заполучив аппараты, могли обнаружить в них уязвимости, которые впоследствии успешно использовали, — ​рассказал „Цифровому океану“ эксперт по безопасности из отдела расследований компании Group-IB. — ​Также возможно, что вмешательство в систему производилось непосредственно на серверах EncroChat. Если клиентами хостинга интересуется полиция, ни OVH, ни другие компании, как правило, не отказывают ей в содействии». Программный код позволил обойтись без взлома системы шифрования, фиксируя все сообщения еще до того, как они будут отправлены. Насколько известно, слежка началась в марте, а в апреле к работе присоединились следователи из Нидерландов, Норвегии, Швеции, Великобритании, координируя деятельность через Европол.

Представители британского Национального агентства по борьбе с преступностью (NCA) сравнили операцию со взломом германских шифров ENIGMA, который во многом повлиял на ход Второй мировой войны. За пару месяцев полицейские перехватили более 100 млн сообщений пользователей EncroChat. «То, что обычно случается только в полицейских триллерах, происходило прямо у нас на глазах, — ​сказал глава Национального департамента уголовных расследований Нидерландов Энди Крааг. — ​Мы читали сообщения, которые показывали повседневную жизнь криминального мира. Теперь мы знаем, кто эти люди и как они работают».

После прочтения сжечь

Первые странности пользователи EncroChat заметили в мае, когда у некоторых из них перестала работать функция быстрого удаления данных. Разработчики сочли это багом системы, однако, начав его поиски, обнаружили на одном из устройств шпионскую программу, которая клонировала данные приложений, сохраняла пароли, препятствовала «обнулению» аппарата и даже делала записи экрана. Компания выпустила обновление, но уже вскоре на телефонах нашелся новый чужой код, который к тому же приобрел новые функции вплоть до изменения пароля блокировки. Стало ясно: дела плохи.

13 июня 2020 года компания выпустила официальное уведомление: «Мы больше не можем гарантировать безопасность вашего устройства. Советуем немедленно отключить и физически уничтожить его», — ​говорилось в сообщении. Пользователи запаниковали, принялись массово избавляться от аппаратов, и на несколько недель все действительно стихло. Но было поздно: правоохранители уже собрали нужную информацию, и с конца июля начались аресты. «Это была самая значительная операция, когда-либо проведенная Службой столичной полиции в отношении организованной преступности», — ​заявил Скотленд-Ярд.

Только в Лондоне, где насчитывалось около 1400 пользователей EncroChat, правоохранители конфисковали 13,4 миллиона фунтов наличными, 16 огнестрельных стволов и сотни зарядов к ним, 620 кг наркотиков. В городе было проведено более 170 арестов, за решеткой оказались многие преступники, которых не удавалось поймать годами. Одновременно задержания прошли в других городах и странах. В Нидерландах было изъято 8 тонн кокаина, 1,2 тонны метамфетамина и 20 млн евро, закрылось 19 подпольных лабораторий, где производили наркотики.

Враг государства

Некоторые образцы содержимого защищенных аппаратов были представлены публике: фотографии забитых деньгами сумок, брикеты расфасованных для продажи наркотиков, договоренности о сделках, портреты верных членов банд… Тем не менее правоохранители признают, что привлекать разработчиков самой системы толком не за что, и EncroChat продолжает настаивать на полной законности своей работы. Анонимный представитель, отвечающий на запросы, которые поступают на официальный почтовый адрес EncroChat, заявил журналистам в одном из писем: «Мы являемся ​коммерческой компанией, предлагающаей услуги защищенной связи через мобильные устройства. И точка».

Впрочем, в настоящий момент работа EncroChat парализована, и будущее компании остается крайне сомнительным. Но свято место пусто не бывает, и в соответствующих кругах активно продвигается новая защищенная система связи Omerta, уже откровенно названная в честь мафиозного кодекса чести, омерты. Король умер, и на его место спешат следующие претенденты. «EncroChat взломан, пользователей запалили, идут массовые аресты, — ​зазывает реклама сети. — ​Вы чудом избежали этого „массового вымирания“? Празднуйте со скидкой 10 %! Присоединяйтесь к семье Omerta и общайтесь безнаказанно».

Анонимный специалист, работник отдела расследований компании Group-IB

Подобные сервисы периодически возникают и у нас в стране, хотя особой популярностью не пользуются: в них нет столь острой необходимости. Российские преступники используют общедоступные зарубежные средства коммуникации, что само по себе колоссально осложняет получение информации нашими правоохранительными органами. Здесь важна политическая ситуация, которая прекрасно известна и учитывается преступниками. Например, атакуя граждан и организации в России, они используют серверы в США, а атакуя американцев — ​в России или Иране. Злоумышленникам приходится учитывать риски, связанные с делегированием вопросов своей безопасности третьим лицам. Организаторы системы могут быть задержаны, завербованы в рамках любого стороннего расследования, и тогда последствия наступят для всех клиентов сервиса. Собственно, это прекрасно иллюстрирует история EncroChat. При этом организованной группе не так уж и сложно создать собственную инфраструктуру для безопасной связи. Большая часть хостингов предоставляет ресурсы по договору публичной оферты и принимает оплату в криптовалюте, а необходимые программные средства доступны в любом формате: от бесплатных с открытым кодом до вполне официально приобретенных решений.

История компании EncroChat объединила сюжеты пяти культовых фильмов про шпионаж и «цифровую» преступность. Столько насчитали мы. Может, у вас получится продолжить список?