Европол объявил о ликвидации коммуникационной платформы Ghost, использовавшейся преступными группировками. Международная операция привела к аресту 51 человека в четырёх странах. Мессенджер Ghost, использовавший три стандарта шифрования, ежедневно обрабатывал около 1000 сообщений. Расшифровка позволила предотвратить до 50 случаев насилия. Операция продолжила серию успешных взломов криминальных мессенджеров, включая EncroChat и Sky ECC.

Источник изображения: europol.europa.eu

Совместное расследование, инициированное в 2022 году, объединило усилия правоохранительных органов девяти стран. Результатом стали аресты 38 подозреваемых в Австралии, 11 в Ирландии, по одному в Канаде и Италии. Итальянский задержанный принадлежал к Sacra Corona Unita — мафиозной структуре из Апулии. Ключевой фигурой операции стал 32-летний австралиец, непосредственно администрировавший Ghost.

Дэвид Маклин (David McLean), помощник комиссара федеральной полиции Австралии, подчеркнул: «Ghost использовался итальянской мафией, байкерскими бандами, ближневосточными и корейскими преступными синдикатами для координации наркотрафика и заказных убийств». Платформа позволяла уничтожать все сообщения специальным кодом, что усложняло работу следователей.

Жан-Филипп Лекуфф (Jean-Philippe Lecouffe), заместитель исполнительного директора Европола, отметил фрагментацию криминального киберпространства: «Сейчас преступники используют множество небольших сетей». Ghost, имевший меньшую пользовательскую базу по сравнению с EncroChat или Sky ECC, иллюстрирует эту тенденцию. Европол прогнозирует дальнейшие аресты по ходу расследования.

Операция Ghost — часть систематической борьбы с зашифрованными платформами. Взлом EncroChat в 2020 году привёл к 6500 арестам и изъятию 900 тыс. евро. Взлом Sky ECC в 2021 году бельгийскими, нидерландскими и французскими спецслужбами инициировал масштабные рейды. Эффект этих операций продолжает ощущаться: в октябре 2024 года брюссельский суд рассмотрит дело 120 обвиняемых на основе данных Sky ECC.

Джастин Келли (Justin Kelly), помощник комиссара полицейской службы Ирландии, констатировал: «Мы добиваемся значительных успехов в преодолении вызовов, связанных с зашифрованной коммуникацией». Однако эксперты отмечают, что криминальные элементы быстро адаптируются, переходя на новые платформы после каждого успеха правоохранителей.

Три года назад со взлома используемого организованной преступностью мессенджера EncroChat началась совместная операция правоохранительных органов Франции и Нидерландов. К настоящему моменту в результате расследования арестованы более 6500 человек и конфискованы почти €900 млн.

Источник изображений: europol.europa.eu

Следственная бригада перехватила и проанализировала более 115 млн зашифрованных текстовых сообщений и изображений, отправленных пользователями EncroChat — материалы были переданы правоохранительным органам нескольких стран, разрабатывавшим деятельность наркоторговцев по всей Европе. В результате операций выявлены несколько ОПГ, предлагавших «преступление как услугу»: похищения людей, вымогательства, пытки и заказные убийства. К настоящему моменту по группе дел изъято более 100 т кокаина, 160 т марихуаны, 3 т героина, более 900 единиц оружия и 21 000 единиц боеприпасов.

Европол осуществлял мониторинг сообщений в зашифрованных чатах, в реальном времени реагируя на угрозы для жизни людей — в том числе судье в одной из стран региона. Взлом EncroChat «изменил правила игры» и укрепил международное сотрудничество в борьбе с организованной преступностью, заявил глава оперативного управления Европола Жан-Филипп Лекуфф (Jean-Philippe Lecouffe). В сети EncroChat было более 60 000 пользователей, что позволило правоохранительным органам воссоздать карту организованной преступности в Европе.

Расследование деятельности EncroChat началось в 2017 году, когда Национальная жандармерия Франции изъяла у членов ОПГ, причастных к незаконному обороту наркотиков, телефоны с зашифрованным мессенджером. В результате расследования выяснилось, что в центре обработки данных OVH во французской коммуне Рубе были размещены серверы EncroChat. Создатели зашифрованного мессенджера продавали Android-криптофоны BQ Aquaris X2 и X3 по €1000, а полгода годового обслуживания с глобальным покрытием стоили €1500. Телефон предлагал пользователям безопасную зашифрованную связь и анонимность — была также опция удаления всех данных при вводе PIN-кода.

Следователям удалось реконструировать сеть EncroChat из 72 виртуальных машин, которые управляли ключами шифрования, содержали журналы событий, осуществляли мониторинг использования SIM-карт и их назначения нужным устройствам, производили настройки новых телефонов, управляли голосовыми вызовами, оперировали данными об обслуживании клиентов и выполняли другие задачи. Генеральный директорат внешней безопасности (разведслужба) Франции внедрил в сеть программный модуль, который устанавливался на телефоны под видом обновления ПО — он собирал данные из памяти заражённых устройств: сохранённые сообщения чата, адресные книги, заметки и номера IMEI.

На втором этапе модуль перехватывал входящие и исходящие сообщения чатов и передавал их на сервер под управлением Центра по борьбе с цифровой преступностью при жандармерии во французском Понтуазе — на обоих этапах к работе привлекались скомпрометированные серверы в ЦОД Рубе.

На пике расследования в 2020 году в операции были задействованы сто сотрудников французской жандармерии. Были выявлены глава проекта EncroChat, разработчики решений, менеджеры по логистике, специалисты по отмыванию денег и менеджеры по продаже устройств и услуг. Были установлены факты незаконных поставок криптографических устройств во Францию, Канаду, Доминиканскую Республику, Испанию, Нидерланды, Великобританию, Германию, Гонконг и Панаму. Во Франции до сих пор продолжаются 84 судебных разбирательства, в том числе 8 «случайных», которые не имеют отношения к основному расследованию. Только по этим делам были произведены 165 арестов, изъято 2 т марихуаны, 118 кг кокаина, 155 кг героина, 5 единиц оружия, 110 транспортных средств и €4 млн во Франции.

В штаб-квартире Европола в Гааге была создана оперативная группа под кодовым именем «Эмма» (Emma), занимающаяся анализом данных из EncroChat — в неё вошли следователи и эксперты самого Европола, правоохранительных органов входящих в ЕС и других стран, в том числе Великобритании. Были проанализированы более 115 млн текстовых сообщений и единиц данных из зашифрованной сети — в общей сложности 1,3 Тбайт, которые объединили с информацией из собственных баз правоохранительных органов. В результате были сформированы почти 700 пакетов данных, которые передали правоохранительным органам по всему миру. Расследование охватило 123 страны.

Верховный суд Нидерландов 13 июня 2023 года постановил, что суды в стране могут на законных основаниях использовать материалы, собранные в результате расследования деятельности сети EncroChat и аналогичной ей Sky ECC, в качестве доказательств по уголовным делам в Нидерландах. Схожие решения вынесли и другие европейские суды — в частности, Коллегия по уголовным делам Верховного суда Франции и Кассационный суд в Париже. В рамках первого решения от 11 октября 2022 года захват и модификация любой компьютерной системы были признаны соответствующими французскому законодательству, а привлечение ресурсов госбезопасности для взлома устройств — соответствующими конституции. В решении от 10 мая 2023 года говорится, что за отсутствием данных и описания процесса взлома французские следователи не обязаны документально подтверждать достоверность информации, используемой в судебном преследовании. В мае Следственный трибунал Великобритании постановил, что Национальное агентство по борьбе с преступностью на законных основаниях получило ордер на изъятие данных с телефонов EncroChat. Но ряд судов в стране продолжает оспаривать допустимость доказательств, связанных с EncroChat.

В четверг Федеральное бюро расследований сообщило, что ему удалось тайно взломать серверы и прекратить деятельность банды кибервымогателей под названием Hive, помешав преступникам собрать более 130 миллионов долларов в виде выкупов от более чем 300 жертв.

Источник изображения: everypixel.com

На пресс-конференции генеральный прокурор США Меррик Гарланд (Merrick Garland), директор ФБР Кристофер Рэй (Christopher Wray) и заместитель генерального прокурора США Лиза Монако (Lisa Monaco) заявили, что правительственные хакеры проникли в сеть Hive и установили наблюдение за бандой, тайно похитив цифровые ключи, которые группа использовала для разблокировки организаций-жертв. «Используя законные средства, мы взломали хакеров, — заявила Монако журналистам. — Мы изменили ситуацию с Hive».

Веб-ресурс группы киберпрестуников Hive более не доступен, а прежнее содержимое их сайта заменено объявлением: «Федеральное бюро расследований конфисковало этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware». Серверы Hive также были одновременно атакованы Федеральной уголовной полицией Германии и Национальным отделом по борьбе с преступлениями в сфере высоких технологий Нидерландов.

«Интенсивное сотрудничество между странами и континентами, построенное на взаимном доверии, является ключом к эффективной борьбе с серьёзными киберпреступлениями», — заявил комиссар полиции Германии Удо Фогель (Udo Vogel) в заявлении полиции и прокуроров земли Баден-Вюртемберг, которые помогали в расследовании.

Уничтожение Hive отличается от некоторых других громких дел, связанных с программами-вымогателями, о которых Министерство юстиции США объявило в последние годы, таких как кибератака в 2021 году против Colonial Pipeline Co. Тогда Министерству юстиции удалось изъять около 2,3 миллиона долларов, полученных в виде выкупа в криптовалюте уже после того, как компания заплатила хакерам.

В этот раз изъятий не было, так как следователи вмешались до того, как преступники потребовали выкуп. Тайное расследование и проникновение на сервера преступной группы, начавшееся в июле 2022 года, до последнего момента оставалось незамеченным бандой. Но контактная информация Hive пока недоступна. Также отсутствуют данные о географическом базировании преступной группы.

Hive — одна из множества киберпреступных групп, которые вымогают деньги у международных компаний, шифруя их данные и требуя взамен крупных платежей в криптовалюте. И одна из самых активных. В предупреждении, распространённом в ноябре, ФБР сообщило, что жертвами киберпреступников Hive стали более 1500 компаний по всему миру, заплатившие около 100 миллионов долларов в виде выкупа.

Хотя в среду не было объявлено об арестах, расследование продолжается, а один из чиновников департамента посоветовал журналистам «следить за новостями». Операция ФБР помогла широкому кругу жертв, в том числе школьному округу Техаса. «Бюро предоставило школьному округу ключи дешифрования, что спасло его от выплаты выкупа в размере 5 миллионов долларов», — сказал он. А больнице Луизианы удалось сберечь 3 миллиона долларов.

Эксперт по кибербезопасности Бретт Кэллоу (Brett Callow) из канадской компании Emsisoft утверждает, что Hive несёт ответственность за как минимум 11 инцидентов с участием государственных организаций, школ и медицинских учреждений США в прошлом году. «Hive — одна из самых активных групп, если не самая активная», — говорится в его электронном письме.

Hive предоставляла третьим лицам программы-вымогатели в качестве услуги (Ransomware-As-A-Service — RaaS), получая часть средств, полученных вымогателями в виде выкупа. А поскольку об арестах не сообщалось, хакеры Hive, скорее всего, скоро «либо откроют магазин под другим брендом, либо будут завербованы в другие группы RaaS», — предположил Джим Симпсон (Jim Simpson), директор по исследованию угроз британской фирмы Searchlight Cyber. При этом он отметил, что «игра стоила свеч в любом случае, так как операция нанесла значительный ущерб деятельности Hive».