June 11, 2021

Как спецслужбы создали шифрованный мессенджер и годами прослушивали преступников

ФБР, Евро­пол и спец­служ­бы дру­гих стран отчи­тались об ито­гах мас­штаб­ной опе­рации Trojan Shield (она же Greenlight и Ironside), в резуль­тате которой про­веде­но уже более 800 арес­тов. Пра­воох­раните­ли соз­дали и нес­коль­ко лет под­держи­вали собс­твен­ную плат­форму для зашиф­рован­ных ком­муника­ций Anom, подоб­ную Encrochat и Phantom Secure, и сле­дили за всей перепис­кой прес­тупни­ков.

TROJAN SHIELD

Пра­воох­ранитель­ные орга­ны поч­ти двад­цати стран мира, вклю­чая ФБР и Ев­ропол, отчи­тались об ито­гах мас­штаб­ной спе­цопе­рации Trojan Shield (в дру­гих ведомс­твах опе­рация носила наз­вания Greenlight и Ironside).

По дан­ным Евро­пола, в опе­рации при­нима­ли учас­тие Авс­тра­лия, Авс­трия, Великоб­ритания, Вен­грия, Гер­мания, Дания, Канада, Лит­ва, Нидер­ланды, Новая Зелан­дия, Нор­вегия, США, Фин­ляндия, Шве­ция, Шот­ландия и Эсто­ния. При этом в сво­ем заяв­лении полиция Авс­тра­лии поб­лагода­рила за учас­тие в опе­рации кол­лег из восем­надца­ти стран, но не кон­кре­тизи­рова­ла, из каких имен­но.

Как ока­залось, пра­воох­раните­ли соз­дали и нес­коль­ко лет под­держи­вали собс­твен­ную плат­форму для зашиф­рован­ных ком­муника­ций Anom (она же An0m или Anøm — в отче­тах раз­ных ведомств наз­вание «зву­чит» по‑раз­ному), подоб­ную Encrochat и Phantom Secure. Это средс­тво свя­зи обре­ло огромную популяр­ность сре­ди прес­тупни­ков во всем мире, бла­года­ря чему пра­воох­раните­ли получи­ли воз­можность сле­дить за все­ми их ком­муника­циями.

ПРЕДЫСТОРИЯ

Мы не раз рас­ска­зыва­ли о подоб­ных защищен­ных плат­формах для ком­муника­ции, которые исполь­зуют­ся в кри­миналь­ной сре­де и законо­мер­но прив­лека­ют к себе вни­мание пра­воох­ранитель­ных орга­нов. Так, в 2020 году евро­пей­ские пра­воох­раните­ли лик­видиро­вали плат­форму для зашиф­рован­ных ком­муника­ций Encrochat, которой поль­зовались более 60 тысяч прес­тупни­ков по все­му миру.

Те­лефо­ны Encrochat гаран­тирова­ли сво­им поль­зовате­лям абсо­лют­ную ано­ним­ность, так как не име­ли при­вяз­ки устрой­ства или SIM-кар­ты к учет­ной записи кли­ента и при­обре­тались в усло­виях, гаран­тиру­ющих, что отсле­дить их про­исхожде­ние невоз­можно. Так­же гаран­тирова­лась пол­ная кон­фиден­циаль­ность: зашиф­рован­ный интерфейс был надеж­но скрыт, а само устрой­ство модифи­циро­вано — физичес­ки отсутс­тво­вали камера, мик­рофон, GPS-модуль и USB-порт.

Та­кие девай­сы пос­тавля­лись сра­зу с дву­мя ОС: если поль­зователь хотел, что­бы устрой­ство выг­лядело безобид­ным, он заг­ружал обыч­ный Android. Если же нуж­но было исполь­зовать сек­ретные чаты, поль­зователь перек­лючал­ся на сис­тему Encrochat. По дан­ным СМИ, телефо­ны Encrochat были пос­тро­ены на базе модифи­циро­ван­ных BQ Aquaris X2 — Android-смар­тфо­нах, выпущен­ных в 2018 году испан­ской ком­пани­ей по про­изводс­тву элек­тро­ники.

Опе­рато­ры плат­формы Encrochat уста­нав­ливали на телефо­ны собс­твен­ные зашиф­рован­ные прог­раммы для обме­на сооб­щени­ями и VoIP-звон­ков, и они мар­шру­тизи­рова­ли тра­фик через собс­твен­ные сер­веры ком­пании. Так­же телефо­ны име­ли фун­кцию быс­тро­го и пол­ного обну­ления устрой­ства, если поль­зователь вво­дил спе­циаль­ный PIN-код.

Ком­пания про­дава­ла эти телефо­ны по под­писке: шес­тимесяч­ный кон­тракт сто­ил око­ло 1500 фун­тов стер­лингов.

В ито­ге ком­про­мета­ция Encrochat при­вела к арес­ту 746 человек, изъ­ятию 54 мил­лионов фун­тов стер­лингов налич­ными (67,4 мил­лиона дол­ларов), 77 еди­ниц огнес­трель­ного ору­жия (авто­маты, пис­толеты, четыре гра­наты и более 1800 пат­ронов), 55 дорогос­тоящих авто­моби­лей и более двух тонн нар­котиков.

Толь­ко в Нидер­ландах зак­рытие Encrochat поз­волило про­вес­ти мно­жес­тво арес­тов, лик­видиро­вать 19 лабора­торий по про­изводс­тву метам­фетами­на, изъ­ять 1200 килог­раммов метам­фетами­на и более 10 тонн кока­ина. Так­же пра­воох­раните­ли об­наружи­ли в дерев­не, недале­ко от гра­ницы с Бель­гией, жут­кие гру­зовые кон­тей­неры, переде­лан­ные под тюрь­мы и камеры пыток (со зву­коизо­ляци­ей, сто­мато­логи­чес­ким крес­лом, наруч­никами, скаль­пелями и дру­гими инс­тру­мен­тами).

Дву­мя годами ранее, в 2018 году, был арес­тован исполни­тель­ный дирек­тор ком­пании Phantom Secure Вин­сент Рамос, которая тоже про­изво­дила «нев­зла­мыва­емые» телефо­ны для прес­тупни­ков.

Phantom Secure раз­мещала свои сер­веры в Панаме и Гон­конге и исполь­зовала вир­туаль­ные прок­си, что­бы скры­вать их физичес­кое мес­тополо­жение. Так­же плат­форма помога­ла уда­лен­но унич­тожать дан­ные на устрой­ствах, уже изъ­ятых пра­воох­ранитель­ными орга­нами.

Под­писка на сер­вис Phantom Secure сто­ила око­ло 2–3 тысяч дол­ларов за пол­года. Для защиты ано­ним­ности кли­ентов и деятель­нос­ти самой Phantom Secure сдел­ки про­изво­дились в циф­ровых валютах, в том чис­ле в бит­кой­нах. За эти день­ги человек получал устрой­ство, где и софт, и железо были модифи­циро­ваны таким обра­зом, что­бы обес­печить ано­ним­ность и шиф­рование всех ком­муника­ций. GPS-навига­ция, мик­рофон, камера, дос­туп в интернет и мес­сен­джер и даже тех­нология переда­чи голоса — все было сде­лано с уче­том осо­бых нужд кли­ентов.

Те­лефо­ны Phantom поль­зовались боль­шой популяр­ностью в прес­тупном мире, в том чис­ле у самой вер­хушки тран­сна­циональ­ных прес­тупных груп­пировок. В час­тнос­ти, чле­ны извес­тно­го нар­кокар­теля Синалоа в Мек­сике были кли­ента­ми ком­пании Phantom Secure.

Еще одна подоб­ная ком­пания — MPC бы­ла соз­дана и управля­лась орга­низо­ван­ной прес­тупной груп­пой, свя­зан­ной с нар­котор­говлей, из Шот­ландии.

ANOM

Вско­ре пос­ле арес­та Вин­сента Рамоса в 2018 году неназ­ванный инсай­дер, ранее про­давав­ший телефо­ны Phantom и Sky Global, сог­ласил­ся сот­рудни­чать с пра­воох­раните­лями в надеж­де на смяг­чение при­гово­ра и помог им соз­дать собс­твен­ный про­дукт для зашиф­рован­ных ком­муника­ций, получив­ший наз­вание Anom. Вско­ре он пред­ложил ФБР и Авс­тра­лий­ской федераль­ной полиции рас­простра­нить эти устрой­ства шире и исполь­зовать их в текущих и новых рас­сле­дова­ниях, а пра­воох­раните­ли соч­ли эту идею инте­рес­ной.

Как и Phantom Secure, новый сер­вис пред­лагал поль­зовате­лям защищен­ные смар­тфо­ны, которые были нас­тро­ены для запус­ка исклю­читель­но при­ложе­ния Anom и ничего более. Что­бы заполу­чить такое устрой­ство, нуж­но было знать дру­гого вла­дель­ца Anom и получить от него сво­еоб­разную рекомен­дацию.

«Устрой­ства рас­простра­нялись натураль­ным обра­зом, и их популяр­ность рос­ла сре­ди прес­тупни­ков, которые были уве­рены в легитим­ности при­ложе­ния, ведь за его надеж­ность ручались извес­тные кри­миналь­ные авто­рите­ты», — рас­ска­зыва­ют пред­ста­вите­ли Авс­тра­лий­ской федераль­ной полиции.

На руку пра­воох­раните­лям сыг­рал и тот факт, что пос­ле зак­рытия Phantom Secure и Encrochat прес­тупни­кам понадо­билось новое средс­тво для защищен­ных перего­воров, и Anom начал быс­тро обре­тать популяр­ность. К при­меру, устрой­ства Phantom были осо­бен­но рас­простра­нены в Авс­тра­лии, и пос­ле лик­видации это­го сер­виса доверен­ный дис­три­бутор пра­воох­раните­лей поз­накомил сво­их кли­ентов с Anom. Тем, в свою оче­редь, доверя­ли круп­ные прес­тупные орга­низа­ции, и вско­ре три челове­ка, ранее рас­простра­няв­шие Phantom, «уви­дели огромные день­ги» и сог­ласились про­давать новые девай­сы.

Ус­трой­ство Anom и перего­воры прес­тупни­ков

При­ложе­ние, рек­ламиру­емое из уст в уста и через сайт anom.io, поз­воляло вла­дель­цам телефо­нов переда­вать зашиф­рован­ные тек­сто­вые и голосо­вые сооб­щения меж­ду устрой­ства­ми, но не давало запус­кать любые дру­гие служ­бы или уста­нав­ливать дру­гие при­ложе­ния, которые мог­ли бы при­вес­ти к утеч­ке дан­ных.

Рас­секре­чен­ные теперь до­кумен­ты гла­сят, что Anom был соз­дан таким обра­зом, что­бы мас­тер‑ключ незамет­но прик­реплял­ся к каж­дому сооб­щению, написан­ному через при­ложе­ние, что поз­воляло пра­воох­ранитель­ным орга­нам рас­шифро­вывать и сох­ранять все сооб­щения, про­ходив­шие через плат­форму, по мере их переда­чи.

В час­тнос­ти, устрой­ства Anom за пре­дела­ми США были нас­тро­ены на отправ­ку скры­тых копий всех сооб­щений боту XMPP, которо­го в ФБР наз­вали iBot. Он рас­шифро­вывал сооб­щения, а затем пов­торно шиф­ровал с помощью клю­чей, которы­ми управля­ли сле­дова­тели.

Жур­налис­ты изда­ния Vice Motherboard поис­кали упо­мина­ния Anom в сети за пос­ледние годы и обна­ружи­ли ста­рую учет­ную запись ком­пании на Reddit. Впер­вые ком­пания заяви­ла о себе два года назад, в уже уда­лен­ном, но сох­ранив­шемся в кеше сооб­щении.

«Пред­став­ляем Anom — свер­хза­щищен­ное при­ложе­ние для обме­на сооб­щени­ями с мобиль­ных телефо­нов на базе Android. Ваша кон­фиден­циаль­ность гаран­тирова­на. Прог­рам­мное обес­печение, защищен­ное от целево­го наб­людения и втор­жений, — Anom Secure. Хра­ните сек­реты в безопас­ности!» — гла­сила ста­рая рек­лама.
Из рек­ламно­го ролика

Anom рос доволь­но быс­тро. Сна­чала в Авс­тра­лии было рас­простра­нено 50 устрой­ств, но вско­ре слу­хи о новых девай­сах ста­ли цир­кулиро­вать в андегра­унде, дру­гие сер­висы зак­рылись, и все­го через год Anom нас­читывал уже нес­коль­ко сотен поль­зовате­лей. На этом эта­пе к опе­рации под­клю­чилась третья неназ­ванная стра­на, которая так­же пре­дос­тавля­ла ФБР дан­ные поль­зовате­лей Anom.

По­пуляр­ность плат­формы уве­личи­валась в геомет­ричес­кой прог­рессии, вско­ре она выш­ла за пре­делы Авс­тра­лии, и пра­воох­раните­ли уже отсле­жива­ли огромную сеть более чем из 10 тысяч устрой­ств в 90 стра­нах мира. Офи­циаль­ные докумен­ты гла­сят, что Anom поль­зовал­ся боль­шим спро­сом в Гер­мании, Нидер­ландах, Испа­нии и Сер­бии. В общей слож­ности более 300 раз­личных меж­дународ­ных прес­тупных орга­низа­ций взя­ли устрой­ства на воору­жение.

Кар­та рас­простра­нен­ности устрой­ств Anom

Нуж­но понимать, что речь идет о самом широком спек­тре прес­тупных групп, от бай­кер­ских банд в Авс­тра­лии и италь­янских мафи­ози до нар­кокар­телей из Азии и Южной Аме­рики и тор­говцев ору­жием и людь­ми в стра­нах Евро­пы.

В Anom обсужда­ется круп­ная пос­тавка кока­ина

Ин­терес­но, что в мар­те текуще­го года некото­рые прес­тупни­ки ста­ли догады­вать­ся о том, что при­ложе­ние переда­ет все их раз­говоры на сто­рон­ние сер­веры XMPP. К при­меру, в кеше Google сох­ранено теперь уже уда­лен­ное иссле­дова­ние на эту тему. Как раз вско­ре пос­ле это­го у пра­воох­раните­лей истекли сро­ки ряда орде­ров и пол­номочий, и было при­нято решение сво­рачи­вать опе­рацию.

ИТОГИ ОПЕРАЦИИ

Хо­тя выше­опи­сан­ную схе­му соз­дало ФБР, из‑за ряда юри­дичес­ких тон­костей сооб­щения прес­тупни­ков в основном ана­лизи­рова­ли авс­тра­лий­ские влас­ти, которым было лег­че офор­мить все необ­ходимые для это­го докумен­ты. Затем авс­тра­лий­цы три раза в неделю переда­вали соб­ранную информа­цию в США.

Сог­ласно судеб­ным докумен­там, эта схе­ма ока­залась нас­толь­ко успешной, что третья неназ­ванная стра­на, пред­положи­тель­но вхо­дящая в сос­тав ЕС, раз­мести­ла у себя допол­нитель­ный сер­вер iBot и помог­ла про­ана­лизи­ровать более 26 мил­лионов зашиф­рован­ных сооб­щений. В этих сооб­щени­ях прес­тупни­ки сво­бод­но обсужда­ли воп­росы кон­тра­бан­ды нар­котиков, ору­жия, кор­рупции и про­чей орга­низо­ван­ной прес­тупной деятель­нос­ти.

Офи­циаль­ное заяв­ление Евро­пола гла­сит, что за годы работы Anom пра­воох­ранитель­ным орга­нам уда­лось рас­простра­нить сре­ди прес­тупни­ков более 12 тысяч «защищен­ных» устрой­ств более чем в 100 стра­нах мира. Сами сле­дова­тели оха­рак­теризо­вали эту спе­цопе­рацию как одну из круп­ней­ших и самых слож­ных за всю исто­рию пра­воох­ранитель­ных орга­нов.

По резуль­татам опе­рации Trojan Shield уже было про­веде­но более 700 обыс­ков, про­изве­дено более 800 арес­тов, а так­же изъ­ято более 8 тонн кока­ина, 22 тон­ны кан­набиса, 2 тон­ны син­тетичес­ких нар­котиков (амфе­тамин и метам­фетамин), 6 тонн пре­кур­соров син­тетичес­ких нар­котиков, 250 еди­ниц огнес­трель­ного ору­жия, 55 люк­совых авто­моби­лей и более 48 мил­лионов дол­ларов США в раз­личных мировых и крип­товалю­тах.

Ско­рее все­го, эти циф­ры про­дол­жат рас­ти, так как обыс­ки и задер­жания по‑преж­нему про­дол­жают­ся, а бла­года­ря Anom было и будет рас­кры­то и пре­дот­вра­щено мно­жес­тво самых раз­ных прес­тупле­ний.