Η περίπτωση της Άρτεμις Σίφορντ, πρώην στελέχους της META (facebook) με διπλή ελληνική και αμερικανική υπηκοότητα, η οποία όπως έγραψαν οι New York Times είχε τεθεί σε ταυτόχρονη παρακολούθηση από την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ) και το παράνομο κατασκοπευτικό λογισμικό Predator της εταιρείας Intellexa, αποτελεί την τελευταία και ενδεχομένως την πιο τρανταχτή απόδειξη ότι οι δύο μέθοδοι παρακολούθησης εκπορεύονται από τoυς ίδιους εντολείς.
Το συγκεκριμένο θύμα είναι το τρίτο στη σειρά, μετά τον «ασθενή μηδέν» δημοσιογράφο Θανάση Κουκάκη και τον πολιτικό αρχηγό και ευρωβουλευτή Νίκο Ανδρουλάκη, που έχει αποδειχθεί ότι αποτελούσαν κοινό στόχο τόσο της ΕΥΠ όσο και των χειριστών του spyware, με την κυβέρνηση να συνεχίζει να αρνείται οποιαδήποτε επίσημη εμπλοκή με το Predator. «Κατηγορηματικά έχω πει και προσωπικά και ως κυβέρνηση πάρα πολλές φορές ότι οτιδήποτε συνδέεται με τα παράνομα λογισμικά δεν έχει καμία σχέση με καμία επίσημη ελληνική αρχή», ανέφερε τη Δευτέρα 20 Μαρτίου ο κυβερνητικός εκπρόσωπος Γιάννης Οικονόμου, μιλώντας στο κεντρικό δελτίο ειδήσεων του MEGA, μετά το δημοσίευμα των ΝΥΤ.
Ωστόσο οι συμπτώσεις στις υποθέσεις Κουκάκη, Ανδρουλάκη και Σίφορντ, όπως και η αλληλουχία των γεγονότων, δείχνουν ξεκάθαρα προς μία κατεύθυνση: το κράτος (ή οντότητες και πρόσωπα που έδρασαν ανεπίσημα για λογαριασμό κρατικών υπηρεσιών).
Δείτε επίσης: Predator inside story: Τα SMS το κλειδί στην έρευνα για τις υποκλοπές
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Predator: Ένα λογισμικό κατεξοχήν για κρατική χρήση
Σε αυτό το σημείο να διευκρινίσουμε ότι η χρήση spyware από ιδιώτες ήταν και παραμένει παράνομη· μάλιστα η παρούσα κυβέρνηση, στον απόηχο του σκανδάλου των υποκλοπών, αυστηροποίησε τις ποινές για τη χρήση τέτοιων (πανάκριβων) εργαλείων-όπλων από ιδιώτες, αλλά ταυτόχρονα στον ίδιο νόμο θεσμοθέτησε βολικά την προμήθεια spyware από το κράτος, ενέργεια που επιμελώς αποσιωπάται από τον κυβερνητικό εκπρόσωπο. Την ίδια στιγμή η εταιρεία Intellexa που εμπορεύεται το Predator (στην ιστοσελίδα της) όπως και ο ιδρυτής της Ταλ Ντίλιαν, πρώην υψηλόβαθμος αξιωματούχους του ισραηλινού στρατού, υποστηρίζει ότι διαθέτει τα προϊόντα της αποκλειστικά σε κυβερνήσεις και κρατικές υπηρεσίες ανά τον κόσμο.
Όπως είχε αναφέρει παλιότερα στο inside story ο ανώτατος αναλυτής του Citizen Lab του Πανεπιστημίου του Τορόντο, Μπιλ Μάρζακ, που ασχολείται εδώ και χρόνια με τα spyware και πιστοποίησε τη μόλυνση του κινητού του Θανάση Κουκάκη με το Predator: «Δεν έχουμε […] δει περίπτωση στην οποία ένα ισχυρό λογισμικό υποκλοπής όπως το Predator […] να έχει πουληθεί σε μία ιδιωτική εταιρεία για τη δική της χρήση. Η Intellexa μπορεί να πουλά αλλά προϊόντα και υπηρεσίες σε ιδιωτικές εταιρείες, αλλά θα σοκαριζόμουν εάν πουλούσαν το Predator σε ιδιωτικές εταιρείες. […] είναι δύσκολο να φανταστώ ένα σενάριο όπου μια ιδιωτική εταιρεία θα μπορούσε νόμιμα να χρησιμοποιεί το Predator. Ακόμα, αυτού του τύπου το λογισμικό κοστίζει συνήθως πολλά εκατομμύρια δολάρια, που πιθανόν δεν θα μπορούσε να πληρώσει μια ιδιωτική εταιρεία».
Όπως έχει αποκαλύψει το inside story, το Predator αγοράστηκε από την ελληνική πλευρά έναντι 7 εκατ. ευρώ. Ο δε επικεφαλής της Αρχής Προστασίας Προσωπικών Δεδομένων Κώστας Μενουδάκος αποκάλυψε σε πρόσφατη ακρόασή του στην επιτροπή PEGA του ευρωπαϊκού κοινοβουλίου που ερευνά τη χρήση spyware κατά ευρωπαίων πολιτών σε κράτη-μέλη της ΕΕ (μεταξύ αυτών και η Ελλάδα), ότι από τους μέχρι τώρα ελέγχους της αρχής προκύπτει ότι έχουν σταλεί 300 μολυσμένα μηνύματα σε 100 παραλήπτες. Είναι δύσκολο να προσδιοριστεί ποιος ιδιώτης θα μπορούσε να διαθέσει τόσα εκατομμύρια για την προμήθεια του Predator (ακόμη κι αν η εταιρεία το πουλούσε σε μη κυβερνητικές/κρατικές οντότητες) και το κυριότερο ποιος θα ενδιαφερόταν για τέτοια μαζικής κλίμακας παρακολούθηση αρκετά ετερόκλητων μεταξύ τους ατόμων (δημοσιογράφων, πολιτικών, επιχειρηματιών, στελεχών επιχειρήσεων, κρατικών αξιωματούχων κ.ά.).
Δείτε επίσης: Οι NYT αποκαλύπτουν τι έχει συμβεί στο Ελληνικό σκάνδαλο Predator
Η αλληλουχία των γεγονότων στην υπόθεση Σίφορντ
Τον Aύγουστο του 2021 η ΕΥΠ ζήτησε την άρση απορρήτου των επικοινωνιών της Άρτεμις Σίφορντ· πρόκειται για την περίοδο που ακόμη εργαζόταν στην META (facebook), στον τομέα της κυβερνοασφάλειας και της ασφάλειας των χρηστών μέσων κοινωνικής δικτύωσης από απειλές. Η άρση του απορρήτου της περιλαμβάνει ομιλία και γραπτά μηνύματα (που πραγματοποιούνται μέσω του δικτύου του παρόχου τηλεπικοινωνιών, δηλαδή απλές κλήσεις και sms) και διάρκεσε μέχρι το καλοκαίρι του 2022, το οποίο σημαίνει ότι υπήρξαν διαδοχικές δίμηνες ανανεώσεις. Τον Σεπτέμβριο του 2021 και ενώ βρισκόταν σε νόμιμη επισύνδεση από την ΕΥΠ, το κινητό της μολύνθηκε με το κατασκοπευτικό λογισμικό Predator. Όπως πιστοποίησε το Citizen Lab που έκανε τον τεχνικό έλεγχο, το κινητό της Άρτεμις Σίφορντ επί τουλάχιστον τρεις μήνες, δηλαδή από τον Σεπτέμβριο μέχρι τον Δεκέμβριο του 2021, είχε μετατραπεί στον τέλειο κοριό.
«Το Predator μπορεί να τραβήξει στιγμιότυπα οθόνης [screen captures], να καταγράφει τις καταχωρήσεις του χρήστη [στο κινητό του], καθώς επίσης μπορεί να ενεργοποιεί το μικρόφωνο και την κάμερα της συσκευής. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να παρακολουθούν οποιαδήποτε ενέργεια πραγματοποιείται μέσω συσκευής ή κοντά σε αυτήν, όπως τις συνομιλίες που γίνονται μέσα σε ένα δωμάτιο. Το Predator επιτρέπει επίσης στον χειριστή του να καταγράφει γραπτά μηνύματα που αποστέλλονται ή λαμβάνονται (συμπεριλαμβανομένων αυτών που στέλνονται μέσω “κρυπτογραφημένων εφαρμογών”, ή εφαρμογών που επιτρέπουν την εξαφάνιση των μηνυμάτων, όπως είναι το WhatsApp ή το Telegram) καθώς επίσης απλών και VoIP τηλεφωνικών κλήσεων (συμπεριλαμβανομένων τηλεφωνικών συνομιλιών μέσω “κρυπτογραφημένων” εφαρμογών)», διαβάζουμε στην έκθεση του Citizen Lab με ημερομηνία 16 Δεκεμβρίου 2021, με την οποία αποκαλύφθηκε στο ευρύ κοινό η ύπαρξη του συγκεκριμένου spyware, που εκτός από το απόρρητο των επικοινωνιών παραβιάζει κατάφωρα και την ιδιωτικότητα των ατόμων που μπαίνουν στο στόχαστρο.
Κάτι άλλο πολύ ενδιαφέρον που εντόπισε η ανάλυση του Citizen Lab στο κινητό της Άρτεμις Σίφορντ, είναι το γραπτό μήνυμα με το κακόβουλο link που έλαβε και μόλυνε το κινητό της μόλις το πάτησε. Μικρό διάστημα πριν από τη μόλυνσή της είχε κλείσει ραντεβού εμβολιασμού μέσω της πλατφόρμας emvolio.gov.gr. Όπως συμβαίνει κανονικά, καθώς πλησίαζαν οι μέρες έλαβε στο κινητό της δύο υπενθυμίσεις με τις λεπτομέρειες του εμβολιασμού της. Το μήνυμα είχε αποστολέα το «EMVOLIO», έγραφε την ημερομηνία, την ώρα εμβολιασμού και το εμβολιαστικό κέντρο και συνοδευόταν από το επίσημο λινκ «emvolio.gov.gr». Λίγες ώρες μετά τη δεύτερη υπενθύμιση, η Άρτεμις Σίφορντ έλαβε στο κινητό της ένα νέο μήνυμα, με αποστολέα αυτή τη φορά το «EMVOLIO GOV». Το SMS είχε όλες τις σωστές λεπτομέρειες (ώρα, μέρα και εμβολιαστικό κέντρο) και την προέτρεπε να επιβεβαιώσει το ραντεβού της πατώντας σε ένα λινκ πανομοιότυπο με το νόμιμο, που όμως αποδείχθηκε πως ήταν κακόβουλο. Η μόνη διαφορά ανάμεσα στο νόμιμο «emvolio.gov.gr» και το κακόβουλο link που μόλυνε τελικά τη συσκευή της με το Predator ήταν μία παύλα ανάμεσα στις λέξεις «emvolio» και «gov».
Το ερώτημα λοιπόν που γεννάται είναι πώς οι χειριστές του Predator γνώριζαν τις ακριβείς λεπτομέρειες του εμβολιασμού της Σίφορντ και αξιοποιώντας αυτήν την πληροφορία κατάφεραν να παγιδεύσουν το κινητό της. Με βάση την αλληλουχία των γεγονότων που περιγράψαμε, η μόνη λογική απάντηση που συνάγεται είναι ότι αξιοποιήθηκαν οι πληροφορίες που είχαν αποκτηθεί από την νόμιμη επισύνδεση της ΕΥΠ: δηλαδή το νόμιμο SMS που έλαβε από την επίσημη κρατική πλατφόρμα εμβολιασμού στο κινητό της λίγες ώρες πριν. Άρα οι δύο μέθοδοι παρακολούθησης χρησιμοποιήθηκαν συμπληρωματικά. Το ενδεχόμενο αυτές οι πληροφορίες να περιήλθαν στα χέρια άλλων δραστών (και όχι του κράτους) μέσω κάποιας διαρροής ευαίσθητων προσωπικών δεδομένων από την πλατφόρμα emvolio.gov.gr, την οποίαν έχουν χρησιμοποιήσει εκατομμύρια άνθρωποι για τον εμβολιασμό τους, φαίνεται να είναι εντελώς απίθανο. Εξάλλου, σύμφωνα με ασφαλείς πληροφορίες του inside story, το υπουργείο Ψηφιακής Διακυβέρνησης έχει διενεργήσει τεχνικούς ελέγχους και έχει αποκλείσει το ενδεχόμενο να υπήρξε περιστατικό παραβίασης της πλατφόρμας εμβολιασμού. Πρόσβαση στις λεπτομέρειες εμβολιασμού κάποιου ατόμου μπορούν να έχουν και οι γιατροί και φαρμακοποιοί της χώρας μέσω της επίσημης πλατφόρμας emvolio.gov.gr, ωστόσο χρειάζεται να πληκτρολογήσουν τον ΑΜΚΑ του προσώπου. Ακόμη όμως κι αν υποτεθεί ότι οι χειριστές του Predator γνώριζαν τον ΑΜΚΑ της Άρτεμις Σίφορντ και ήταν σε στενή συνεργασία με κάποιον φαρμακοποιό ή γιατρό, είναι εξαιρετικά απίθανο με αυτόν τον τρόπο να πετύχαιναν έναν τόσο καλό συγχρονισμό μεταξύ της δεύτερης νόμιμης υπενθύμισης του ραντεβού της για εμβολιασμό και του κακόβουλου πανομοιότυπου SMS, τα οποία απείχαν μόνο κάποιες ώρες το ένα από το άλλο, και μάλιστα όχι εργάσιμες. Η αποστολή και των δύο SMS έγινε μετά τα μεσάνυχτα.
Δείτε επίσης: Πώς συνδέεται το Σουδάν με το σκάνδαλο Predator που συγκλονίζει την Ελλάδα
Η συνεργασία των δύο μεθόδων παρακολούθησης (νόμιμης επισύνδεσης από ΕΥΠ και παράνομης μέσω Predator) και η αξιοποίηση των πληροφοριών που συλλέγονται από τη πρώτη για την μόλυνση συσκευών με τη δεύτερη αυξάνει εκθετικά τις πιθανότητες το θύμα να εξαπατηθεί, νομίζοντας ότι λαμβάνει κάποιο αναμενόμενο και αθώο μήνυμα και τελικά να πατήσει το κακόβουλο link, κάνοντας έτσι το spyware ακόμη πιο επικίνδυνο.
Το inside story έχει υπόψιν ακόμη μία περίπτωση ατόμου που ένα νόμιμο SMS που έλαβε στο κινητό του χρησιμοποιήθηκε εναντίον του σε απόπειρα μόλυνσης της συσκευής του με Predator. Πρόκειται για υψηλόβαθμο δημόσιο λειτουργό, ο οποίος είχε κάνει παραγγελία από γνωστό κατάστημα υποδημάτων, έλαβε στο κινητό του επιβεβαίωση της παραγγελίας του και σε δεύτερο χρόνο έλαβε σχετικό με την ίδια παραγγελία κακόβουλο μήνυμα.
Δύο φορές στόχος του Predator ο Θανάσης Κουκάκης, τη μία ταυτόχρονα με την ΕΥΠ
Η αλληλουχία των γεγονότων, όπως έχουν αναδείξει και οι Reporters United, είναι κρίσιμη και αναδεικνύει το κοινό κέντρο νόμιμων και παράνομων παρακολουθήσεων και στην υπόθεση του Θανάση Κουκάκη, ο οποίος όπως αποκαλύπτουμε σήμερα είχε βρεθεί δύο φορές στο στόχαστρο του Predator. Η πρώτη φορά ήταν στις 31 Ιουλίου 2020, ημερομηνία κατά την οποία η ΕΥΠ είχε προχωρήσει ήδη σε άρση του απορρήτου των επικοινωνιών του και άκουγε τις συνομιλίες του δημοσιογράφου για «λόγους εθνικής ασφάλειας». Τότε έλαβε στο κινητό του SMS που έγραφε «Θανάση το είδες αυτό, οι τύποι έχουν ξεφύγει» και αμέσως μετά νέο γραπτό μήνυμα με link από παραποιημένο ελληνικό ειδησεογραφικό site που οδηγούσε σε δημοσίευμα με τίτλο «Θαλασσοδάνεια στην υγεία των κορόιδων».
Σύμφωνα με το ρεπορτάζ των Reporters United, την 1η Ιουνίου του 2020, με τη διάταξη υπ’ αριθμ. Ε2402/2020, η ΕΥΠ κατέθεσε στην Cosmote αίτημα για άρση του απορρήτου σε αριθμό κινητού που ο δημοσιογράφος διατηρούσε στον πάροχο. Η άρση του απορρήτου ζητήθηκε για δύο μήνες –από την 1η Ιουνίου έως την 1η Αυγούστου 2020– με την επίκληση λόγων εθνικής ασφάλειας. Στις 13 Ιουλίου η ΕΥΠ, με τη διάταξη υπ’ αριθμ. Ε3077/2020, ζητάει παράταση της άρσης του απορρήτου του ίδιου αριθμού, πάλι για λόγους εθνικής ασφάλειας και για διάστημα δύο μηνών, έως την 1η Οκτωβρίου 2020. Ωστόσο, έναν μήνα αργότερα, στις 12 Αυγούστου, η ΕΥΠ, με τη διάταξη υπ’ αριθμ. Ε3580/2020, ζητάει ξαφνικά παύση της άρσης του απορρήτου, πριν δηλαδή εκπνεύσει το δεύτερο δίμηνο των παρακολουθήσεων. Στις 12 Αυγούστου 2020, τη μέρα που η ΕΥΠ ζήτησε να σταματήσει η άρση του απορρήτου του Κουκάκη, ο δημοσιογράφος κατέθεσε στην ΑΔΑΕ καταγγελία για να του γνωστοποιήσει αν παρακολουθούνται οι επικοινωνίες του σε δύο αριθμούς κινητών κι ένα σταθερό τηλέφωνο. Στις 10 Μαρτίου 2021, δηλαδή μετά την επιβεβαίωση των υποκλοπών, η ΑΔΑΕ απευθύνεται στην Εισαγγελέα της ΕΥΠ για το αν συντρέχουν οι προϋποθέσεις του νόμου για την ενημέρωση του δημοσιογράφου σχετικά με την άρση του απορρήτου του. Στις 31 Μαρτίου, δηλαδή μόλις 20 μέρες μετά το ερώτημα της ΑΔΑΕ προς την ΕΥΠ, η κυβέρνηση φέρνει την τροπολογία με την οποία αλλάζει ο νόμος και απαγορεύεται πλέον στην ΑΔΑΕ να προχωρήσει στην γνωστοποίηση των παρακολουθήσεων στον πολίτη. Η ρύθμιση έχει αναδρομική ισχύ και άρα καλύπτει τις υποκλοπές Κουκάκη. Το μεσημέρι της 12ης Ιουλίου 2021 o Κουκάκης λαμβάνει ένα φαινομενικά αθώο SMS από ελληνικό κινητό. «Θανάση γνωρίζεις για αυτό το θέμα», έγραφε το μήνυμα που συνοδευόταν από ένα link προς το blogspot.edolio5[.]com, πανομοιότυπο url με το μπλογκ edolio5.blogspot[.].com. Αρκούσε ένα κλικ για να εγκατασταθεί το spyware.
Ενοχοποιητική για την κυβέρνηση φαίνεται να είναι η σειρά των γεγονότων και στην υπόθεση ΑνδρουλάκηΑπό τον Κουκάκη στον Ανδρουλάκη: Νέα τροπή στην υπόθεση του spyware Predator ο οποίος έγινε στόχος του spyware Predator με γραπτό μήνυμα που έλαβε στις 21 Σεπτεμβρίου 2021. Την απόπειρα μόλυνσής του (δεν πάτησε το κακόβουλο λινκ) πιστοποίησε ανάλυση αρμόδιας τεχνικής ομάδας του Ευρωπαϊκού Κοινοβουλίου τον Ιούλιο του 2022. Όπως αποκαλύφθηκε το περασμένο καλοκαίρι από εκ παραδρομής κυβερνητική διαρροή που οδήγησε στις παραιτήσεις Δημητριάδη-Κοντολέοντα, ο Νίκος Ανδρουλάκης είχε τεθεί και σε «νόμιμη» επισύνδεση από την ΕΥΠ λίγο μετά την αποτυχημένη απόπειρα μόλυνσής του με το κατασκοπευτικό λογισμικό. Μάλιστα το μολυσμένο link που του έστειλαν ήταν από το ίδιο παραποιημένο domain που μόλυνε το κινητό του Θανάση Κουκάκη, δηλαδή το blogspot.edolio5[.]com.
Πηγή: insidestory.gr