Διαβάστε την σημερινή αποκάλυψη του Τάσου Τέλλογλου και της Ελίζας Τριανταφύλλου.
Ένα πλέγμα δεκάδων domains που μέρα με τη μέρα αυξάνονται και υπερβαίνουν τα 43, που είχε ήδη εντοπίσει η META (facebook), αποκαλύπτει η έρευνα του inside story με τη βοήθεια δύο εξειδικευμένων τεχνικών. Πρόκειται για έναν ιστό που στήθηκε με σκοπό να μολύνει κινητά τηλέφωνα υποψήφιων στόχων με ένα σύγχρονο λογισμικό κατασκοπίας με την ονομασία Predator (αρπακτικό), όπως έγινε στην περίπτωση του δημοσιογράφου Θανάση Κουκάκη. Στο μεταξύ η εταιρεία που εμπορεύεται το λογισμικό κατασκοπίας, Intellexa, συνεχίζει να λειτουργεί στο Ελληνικό.
Τι δείχνει η έρευνα
Τον Ιούλιο του 2020 (τέσσερις μήνες μετά την εγκατάσταση της Intellexa στην Ελλάδα, που έγινε τον Μάρτιο του 2020), αγοράζονται τα πρώτα δύο domain-παγίδα με σκοπό να αποσταλούν από αγνώστους σε υποψήφιους στόχους παρακολούθησης, συνοδευόμενα από ένα προσωποποιημένο μήνυμα προκειμένου να τους παρακινήσουν να πατήσουν πάνω στο ψευδεπίγραφο link και να μολύνουν εν αγνοία τους το κινητό τους. Ένα από αυτά ήταν μία παραλλαγή του ενημερωτικού site του Μιχάλη Ιγνατίου, hellasjournal (hellasjournal[.]company), που εστιάζει στις ελληνοαμερικανικές σχέσεις με απήχηση στην ομογένεια το οποίο διαθέτει και αγγλική έκδοση. Η συγκεκριμένη ειδησεογραφική σελίδα στην πορεία παραλλάχθηκε άλλες δύο φορές (hellasjournal[.]website, heiiasjournai[.]com). Το δεύτερο site που αγοράστηκε τον Ιούλιο του 2020 ήταν το altsantiri[.]news.
Σύμφωνα με την έρευνα των εξειδικευμένων τεχνικών για λογαριασμό του inside story, τα μέχρι σήμερα γνωστά domains-παγίδες που έχουν αγοραστεί ανέρχονται στα 50, επτά περισσότερα από τα 43 που μάθαμε στις 16 Δεκεμβρίου όταν δημοσιοποίηθηκε η έρευνα της META. Αποτελούν μέρος από τα συνολικά 310 sites που εντόπισε η μητρική εταιρεία του facebook – πρόκειται για ποσοστό επί του συνόλου σχεδόν 15%, που φαίνεται ότι στήθηκε για ελληνόφωνους στόχους.
Εκτός από το blogspot.edolio5.com, που μόλυνε το κινητό του δημοσιογράφου Θανάση Κουκάκη (και δεν ήταν στη λίστα της ΜΕΤΑ), αποκαλύπτουμε σήμερα ακόμη έξι ιστοσελίδες που μοιάζουν με γνωστές ελληνικές και καταχωρήθηκαν επίσης για να παγιδεύσουν κινητά ανυποψίαστων:
Στη λίστα των ψεύτικων domain, πρώτη θέση με διαφορά έχουν παραλλαγές γνωστών ειδησεογραφικών ιστοσελίδων όπως kathimerini.news, protothema.live, efsyn.online, tovima.live (περισσότερα από τα μισά σε σύνολο 50 ιστοσελίδων). Ως δόλωμα χρησιμοποιήθηκαν επίσης αρκετά domains που μοιάζουν με αυτά κατασκευαστών οχημάτων π.χ. nissan.gr[.]com, bmw.gr[.]com και suzuki.gr[.]com. Στον κατάλογο εμφανίζονται και κάποιες ιστοσελίδες πιο εστιασμένες γεωγραφικά, όπως το orchomenos.news, το politika[.]bid (μοιάζει με το politikalesvos[.]gr) και stonisi[.]news.
Υπάρχουν και άλλες ιστοσελίδες πιο ειδικού ενδιαφέροντος, όπως π.χ. το paok-24[.]com (η μοναδική αθλητική ομάδα του καταλόγου), το hempower[.]shop που μοιάζει με κατάστημα προϊόντων κάνναβης με ηλεκτρονικό κατάστημα και έδρα έξω από την Κόρινθο, το itcgr[.]live, παραπλήσιο με την ιστοσελίδα γνωστής εταιρείας που αναλαμβάνει τεχνικοοικονομικές μελέτες σε θέματα προηγμένης τεχνολογίας και το sepenet[.]gr[.]com, που μιμείται την ιστοσελίδα ενός δημόσιου οργανισμού, του Σώματος Επιθεώρησης Εργασίας, ενδεχομένως με στόχο κάποιον κρατικό λειτουργό. Μια ακόμη ανησυχητική ένδειξη για το ποιοι μπορεί να έχουν στοχοποιηθεί με αυτό το λογισμικό κατασκοπίας είναι το γεγονός πως ένα από τα site που παραποιήθηκαν για να ξεγελάσουν τους εν δυνάμει στόχους είναι και το kranosgr.com (που το έκαναν kranos.gr[.]com), μια ενημερωτική ιστοσελίδα που απευθύνεται κατά βάση σε στελέχη των ελληνικών ενόπλων δυνάμεων και σωμάτων ασφαλείας.
Στο πλέγμα των ψεύτικων domains υπάρχουν και αρκετά που παραπέμπουν σε πολύ γνωστούς παρόχους υπηρεσιών, όπως για παράδειγμα η Viva (viva[.]gr[.]com), η Cosmote (ebill[.]cosmote[.]center ), η Uber (ube[.]gr[.]com) και το youtube (youtube[.]gr[.]live).
Είμαστε σε θέση να γνωρίζουμε ότι το κάθε ψεύτικο domain δεν χρησιμοποιείται για να παγιδεύει έναν μόνο άνθρωπο. Για παράδειγμα το blogspot.edolio5[.]com, που μόλυνε το κινητό του δημοσιογράφου στις 12 Ιουλίου 2021 και για τουλάχιστον δέκα εβδομάδες επέτρεψε σε αγνώστους να ακούνε και να βλέπουν τα πάντα στο κινητό τηλέφωνό του, αγοράστηκε αρκετούς μήνες πριν αποσταλεί στον συγκεκριμένο παραλήπτη (στις 9 Μαρτίου 2021). Επίσης στο στόχαστρο δεν έχει βρεθεί μόνο ο Κουκάκης, αλλά και πολίτες που δεν έχουν καμία σχέση με τη δημοσιογραφία. Κρίνοντας από το μέγεθος του δικτύου των domains που αγοράστηκαν, θα μπορούσε κανείς να συμπεράνει ότι οι στόχοι ανέρχονται ακόμη και σε εκατοντάδες.
Με βάση την ανάλυση του εξειδικευμένου τεχνικού, υπάρχουν κάποιοι κομβικοί μήνες στην οικοδόμηση αυτού του πλέγματος από domains. Τα περισσότερα (συνολικά 11) στήθηκαν τον Σεπτέμβριο του 2020, επτά τον Οκτώβριο της ίδιας χρονιάς και από πέντε τον Ιανουάριο, τον Μάρτιο και τον Οκτώβριο του 2021. Αυτή είναι και η τελευταία ημερομηνία που έχουμε για τις μέχρι τώρα γνωστές σε εμάς απατηλές ιστοσελίδες που καταχωρήθηκαν με στόχο να χρησιμοποιηθούν για τη μόλυνση κινητών τηλεφώνων με το λογισμικό κατασκοπίας Predator. Η ημερομηνία «στησίματος» του κάθε domain –που έγινε σύμφωνα με πληροφορίες του inside story από μία μικρή πόλη της Τσεχίας, όπου εργάζεται ένας ισραηλινής καταγωγής «μηχανικός» για τη δουλειά αυτή– προκύπτει από το πότε κατοχυρώθηκε το κάθε domain ή εναλλακτικά από το πότε εκδόθηκε το πιστοποιητικό του (domain certificate).
Τα δε links που αποστέλλονται, με βάση πληροφορίες του inside story στήνονται σε συνεργασία με τον άνθρωπο στην Τσεχία και έχοντας κατά νου τον στόχο και τι θα του τραβήξει περισσότερο το ενδιαφέρον, ενώ τα γραπτά μηνύματα που τα συνοδεύουν έχουν προσφώνηση (όπως στην περίπτωση του Κουκάκη «Θανάση γνωρίζεις για το θέμα;» και link που παρέπεμπε σε επιχειρηματική είδηση) και κάποιες φορές αναφορά σε προσωπικές πληροφορίες του στόχου. Επίσης δεν αποκλείονται και οι πολλαπλές μολύνσεις ή απόπειρες μόλυνσης ενός στόχου.
Από την κοινή αρχιτεκτονική των σάιτ αλλά και τη διαφήμιση των μολύνσεων στο δημόσια προσβάσιμο υλικό της εταιρείας, προκύπτει ότι η δημιουργία του λογισμικού και η διείσδυση στη συσκευή (μόλυνση) πωλούνται ως ενιαία υπηρεσία.
Σύμφωνα με την τρισέλιδη έκθεση του Citizen Lab, που συντάχθηκε μετά την τεχνική ανάλυση αρχείου που εξήχθη από το κινητό του δημοσιογράφου (sysdiagnose) και απεστάλη στο καναδικό εργαστήριο για έλεγχο, η τηλεφωνική συσκευή του Θανάση Κουκάκη, τουλάχιστον κατά το διάστημα 12 Ιουλίου με 24 Σεπτεμβρίου 2021, είχε μολυνθεί με το spyware Predator. Όπως διευκρινίζει το Citizen Lab, «αυτό δεν αποκλείει το ενδεχόμενο και άλλων μολύνσεων».
Το τι μπορεί να κάνει το συγκεκριμένο spyware απαντιέται με δύο λέξεις: τα πάντα, αφού μετατρέπει το κινητό σε εξελιγμένη συσκευή παρακολούθησης. «Το Predator είναι ένα εργαλείο παρακολούθησης που προσφέρει στον χειριστή του πλήρη και διαρκή πρόσβαση στην κινητή [τηλεφωνική] συσκευή του στόχου. Το Predator επιτρέπει στον χειριστή να κάνει εξαγωγή μυστικών κωδικών [passwords], αρχείων, φωτογραφιών, ιστορικού περιήγησης στο διαδίκτυο, επαφών καθώς επίσης και δεδομένων ταυτότητας (όπως πληροφορίες για την κινητή συσκευή)» διαβάζουμε στο ίδιο έγγραφο του Citizen Lab.
«Το Predator μπορεί να τραβήξει στιγμιότυπα οθόνης [screen captures], να καταγράφει τις καταχωρήσεις του χρήστη [στο κινητό του], καθώς επίσης μπορεί να ενεργοποιεί το μικρόφωνο και την κάμερα της συσκευής. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να παρακολουθούν οποιαδήποτε ενέργεια πραγματοποιείται μέσω συσκευής ή κοντά σε αυτήν, όπως τις συνομιλίες που γίνονται μέσα σε ένα δωμάτιο.
Το Predator επιτρέπει επίσης στον χειριστή του να καταγράφει γραπτά μηνύματα που αποστέλλονται ή λαμβάνονται (συμπεριλαμβανομένων αυτών που στέλνονται μέσω “κρυπτογραφημένων εφαρμογών”, ή εφαρμογών που επιτρέπουν την εξαφάνιση των μηνυμάτων, όπως είναι το WhatsApp ή το Telegram) καθώς επίσης απλών και VoIP τηλεφωνικών κλήσεων (συμπεριλαμβανομένων τηλεφωνικών συνομιλιών μέσω “κρυπτογραφημένων” εφαρμογών)».
Με άλλα λόγια, αυτοί που έχουν μολύνει το κινητό ενός στόχου μπορούν να παρακολουθούν από προσωπικές στιγμές του ατόμου με την οικογένεια και τους κοντινούς του ανθρώπους, μέχρι εμπιστευτικές επαγγελματικές συνομιλίες.