“Buttate i criptofonini, siamo compromessi”
L’attacco informatico che ha portato alla più grande retata criminale in Europa
100 milioni di messaggi cifrati intercettati; centinaia di persone arrestate; migliaia di chili di cocaina, pillole ed altre droghe sequestrate, insieme a vari laboratori di metanfetamina in cristalli. 20 milioni di euro in contanti sequestrati, insieme a decine di auto di lusso e centinaia di orologi, oltre che centinaia di armi e munizioni.
Forse la più grande operazione europea di smantellamento di reti criminali (non cybercriminali, sia chiaro, criminali vecchio stile, offline) si è appena dispiegata, con fulcro fra Francia, Gran Bretagna e Olanda. Con arresti e denunce che hanno colpito nomi noti ma anche figure sconosciute alle autorità e insospettabili, con indagini incentrate sul commercio internazionale di droga che si allungano fino ai cartelli colombiani, con piani per uccidere o torturare che sono stati sventati dall’intervento della polizia. Il crimine di strada, di clan, armato, globalizzato, anche ripulito da attività economiche collaterali, colpito dalla più grande operazione di hacking o intercettazione (per ora prendiamo entrambi i termini con le pinze e in senso lato, perché i dettagli tecnici come vedremo sono ancora incerti) che si sia vista in Europa e che è stata svelata nei giorni scorsi.
Una storia che parte da un servizio sconosciuto ai più, una nicchia per clienti facoltosi e paranoici, Encrochat. Si tratta di una società che vende telefoni “sicuri”, “soluzioni di sicurezza endtoend”, “anonimato” e in pratica l”equivalente di una conversazione normale con due persone in una stanza vuota”, come si dice sul loro sito. Con server offshore, “che non creano, conservano o decifrano chiavi, messaggi o dati degli utenti”. I telefoni – smerciati da una rete di rivenditori tra Amsterdam, Rotterdam, Madrid, Dubai – sono dei dispositivi con sistema Android, in particolare dei BQ Aquaris X2, cioè dei modelli di telefoni prodotti originariamente da una società spagnola, ma poi personalizzati da Encrochat, privati di videocamera, microfono e GPS, e con preinstallati dei software per scambiarsi messaggi cifrati basati su OTR, un noto e valido protocollo crittografico per cifrare messaggistica istantanea: software che instradavano i messaggi attraverso i server della società. I telefoni offrivano anche una funzione per cancellare tutto quello che stava sul dispositivo digitando un PIN, e due sistemi operativi che permettevano all’utente di caricare quello apparentemente innocuo in caso di necessità (per poi passare a quello nascosto se si voleva comunicare segretamente). Questi telefoni erano venduti a mille euro ma poi prevedevano un abbonamento di 1500 euro per un contratto di sei mesi. Stiamo parlando di una platea di almeno 50mila utenti, concentrati in Europa. Secondo le autorità francesi, il 90 per cento di questi erano criminali. Gli arresti sono stati 764 solo negli ultimi giorni, e, sempre secondo fonti francesi, sarebbero stati evitati 200 potenziali omicidi pianificati attraverso questo sistema.
Dal primo aprile all’inizio di giugno, la polizia ha letto più di 100 milioni di messaggi che i criminali si inviavano per organizzare le proprie attività. L’attività investigativa è ancora avvolta in un alone di riservatezza rispetto ai dettagli tecnici e all’esecuzione. Sappiamo dalle autorità che l’operazione è stata gestita dai francesi (alcuni server di Encrochat erano in Francia) con il contributo decisivo degli olandesi (su questo ci torniamo dopo), che hanno “penetrato il network di Encrochat sfruttando quell’accesso per installare uno strumento tecnico in quella che appare come una operazione di hacking di massa”, scrive Vice nel resoconto più tecnicamente informato della vicenda.
Di hack parla anche una testata olandese, NRC, che sottolinea il ruolo del team per il crimine hi-tech olandese, grazie al quale “il sistema Encrochat è stato hackerato con successo così che gli investigatori di almeno 10 Paesi potevano leggere live per vari mesi” quanto pianificato dai criminali. “Questo è un lavoro dei cyberdetective francesi e olandesi”, scrive ancora. In pratica quando i francesi sono riusciti a capire che i server stavano sul loro territorio sono arrivati ad aiutarli i colleghi olandesi, tipo Mr Wolf con la valigetta.
Questi – apriamo una parentesi – si sono distinti negli ultimi anni per le loro capacità cyberinvestigative. Sono infatti gli olandesi che hanno avuto un ruolo centrale nell’infiltrazione e sequestro di due mercati neri del Dark Web, Alphabay e Hansa Market. Dopo che l’Fbi è riuscita a chiudere il primo nel 2017, gli utenti si sono riversati sul secondo, ma qui la cyberpolizia dei Paesi Bassi – che aveva appena preso di nascosto il controllo del sito e ha continuato a gestirlo per un mese – li ha aspettati al varco, intercettando nomi, password e disabilitando la cifratura dei messaggi privati. Gli olandesi per altro – in tal caso l’intelligence – è anche riuscita nel 2015 a infiltrare i computer di hacker di Stato russi, in particolare del gruppo noto come APT29 o Cozy Bear, che a sua volta sarebbe espressione secondo vari osservatori dei servizi di Mosca (queste vicende le ho raccontato nel libro #Cybercrime).
Non solo: sempre gli investigatori informatici olandesi hanno una specializzazione proprio nell’indagare questi servizi di telefonia commercializzata come “ultrasicura”, diciamo così (e a volte esplicitamente orientata a un mercato criminale, a cominciare dai rivenditori e dalle transazioni per acquistare i telefoni che in alcuni casi avverrebbero per strada). Avevano infatti già inchiodato gli utenti di altri due fornitori di criptofonini, Ennetcom (che stava in Canada) e PGP Safe (che stava in Costa Rica). Ma qui il caso studio che ci interessa è un altro, almeno per come ho ricostruito finora (quindi prendetelo per ora come una ipotesi da verificare). Ed è come gli olandesi hanno fatto fuori un terzo servizio del genere, IronChat, nel 2018. Perché in quel caso gli investigatori erano riusciti a leggere i messaggi inviati cifrati per la prima volta, “una svolta globale nelle cyberindagini”, riferisce la stampa olandese senza però indicare di preciso come sarebbe avvenuto. Ma, fanno capire, l’esperienza di IronChat è stata centrale per bersi Encrochat.
Qui entriamo nella speculazione, ma prima qualche altro dettaglio. Nel caso di Ennetcom la polizia sarebbe stata in grado di accedere alle chiavi segrete, sostiene una testata olandese. Ma questo, a seconda del sistema utilizzato, non è sempre possibile. Sembra che nell’indagine su IronChat il server sia stato copiato su un altro server in mano alla polizia olandese. Dando per buono che sia successo questo anche per Encrochat, poi cosa sarebbe accaduto? Una ipotesi ventilata dalla testata Volkskrant è che la polizia abbia mandato degli aggiornamenti malevoli ai dispositivi. “Gli update delle funzioni di chat sono sempre fatte attraverso un server. In tale scenario, gli investigatori sono riusciti a entrate in quel server e manipolare il processo di aggiornamento”.
Altra ipotesi: che una volta in controllo del server, i poliziotti siano riusciti a intercettare i messaggi a causa di una fallace implementazione del sistema di cifratura, “un errore nel codice o nell’applicazione della cifratura può distruggere la sicurezza”, ha commentato un esperto. Da notare che anche IronChat, come Encrochat, usava OTR. Il che non significa che abbiano bucato OTR ma che potrebbero aver trovato falle nel modo in cui le due società implementavano il loro sistema (questa è ad esempio una ipotesi avanzata per IronChat).
Tornando a ricostruire il puzzle dai pezzi che abbiamo, Vice racconta che a maggio alcuni utenti hanno notato dei malfunzionamenti sul telefono: ad esempio, la funzione “cancella tutto” non andava. Ma quando gli amministratori di Encrochat sono riusciti ad analizzare uno di questi dispositivi si sono accorti che non erano errori degli utenti ma che sui telefoni stava un malware, un software malevolo. “Il telefono era stato hackerato”, scrive Vice. Il malware permetteva di leggere i messaggi sul dispositivo prima che fossero cifrati e inviati.
A quel punto Encrochat invia un aggiornamento ai suoi modelli per ripristinare le loro funzioni e raccogliere informazioni sul malware, ma ciò nonostate gli attaccanti sono in grado di reinstallare il malware, con ancora più capacità, inclusa quella di cambiare il codice di sblocco dei telefoni. Encrochat, ormai in panico, avvisa gli utenti dell’attacco, chiede al fornitore di SIM, la società olandese KPN, di bloccare le connessioni ai server malevoli, ritenta un aggiornamento, ma non riesce a tagliare fuori gli attaccanti. E allora è il momento di abbandonare la nave. “Non siamo più in grado di garantire la sicurezza del dispositivo”, scrivono agli utenti, dando indicazione di eliminarlo. Ma ormai il danno era fatto, mesi di messaggi in mano alle polizie di diversi Paesi.
Il servizio di comunicazione forse più utilizzato dalla criminalità europea, stando alle autorità francesi e inglesi, e commercializzato come più sicuro di app e telefoni usate dai normali utenti, è stato dunque completamente controllato dalla polizia, attraverso un attacco informatico avanzato i cui contorni sono però ancora molto sfumati (aggiornamento malevolo? decifrazione dei messaggi sfruttando dei bachi nel sistema? Altro?). I toni sono trionfalistici, quasi esagerati, con paragoni con la decifrazione dei messaggi in codice dei nazisti nella Seconda Guerra mondiale. Vero è che l’operazione ha avuto moltissime ricadute concrete in termini di arresti, sequestri, indagini, andando a colpire fortemente il mercato dell’importazione e distribuzione di droga in Europa. “Era come stare a tavola coi criminali”, ha commentato Jannine van den Berg, della polizia olandese. La stanza pubblicizzata da Encrochat insomma c’era davvero, ma non era vuota.
Fonte:
Carola Frediani: Guerre di Rete
