Encrochat
Illustrazione di Cathryn Virginia.

L'operazione con cui la polizia ha hackerato i cellulari della criminalità organizzata europea

Le forze dell'ordine di diversi paesi europei sono riuscite a decrittare circa cento milioni di messaggi su Encrochat, la rete segreta dove si gestivano traffico di droga, omicidi, riciclaggio di denaro e rapimenti.
02 luglio 2020, 10:34am

Qualcosa non stava andava per il verso giusto. Dall'inizio dell'anno la polizia arrestava in continuazione i soci di Mark [_il nome è di fantasia per motivi legali_], un presunto spacciatore di droga con base nel Regno Unito. Eppure Mark prendeva sul serio la sicurezza della sua operazione: la gang usava un codice per parlare di affari sui telefoni, con un sistema di crittografia personalizzato fabbricati da un'azienda chiamata Encrochat.

Visto che i messaggi erano criptati sui dispositivi stessi, la polizia non poteva intercettarli come avrebbe fatto normalmente. Secondo dei documenti ottenuti da Motherboard, su Encrochat i criminali parlavano apertamente e discutevano i propri affari nei minimi dettagli, con tanto listini prezzi, nomi di clienti ed espliciti riferimenti sulle grandi quantità di droga che vendevano.

Forse era una coincidenza, ma in quello stesso periodo la polizia del Regno Unito e di vari paesi europei ha arrestato un grande numero di spacciatori e trafficanti. A metà giugno, le autorità hanno fermato un presunto membro di un'altra gang di narcotrafficanti. Alcuni giorni dopo, le forze dell'ordine hanno sequestrato milioni di dollari di droghe illegali ad Amsterdam. In altre parole, la polizia stava fermando membri di gang diverse e non legate tra loro.

"[_La polizia_] ha capito tutto, o no?" ha scritto lo spacciatore in uno dei messaggi ottenuti da Motherboard. "Non riesco ancora a credere che abbiano beccato tutti i miei ragazzi."

Nè Mark né le decine di migliaia di altri utenti di Encrochat lo sapevano, ma i loro messaggi non erano al sicuro. Le autorità francesi erano riuscite a penetrare nel network di Encrochat e a usare quel punto di accesso per un'operazione di hacking di massa con cui, grazie a uno strumento di rilevazione installato nel software, hanno potuto leggere ogni comunicazione per mesi. Dopodiché, gli investigatori francesi hanno condiviso i messaggi con le forze dell'ordine di tutta Europa.

L'enormità dell'operazione è emersa soltanto ora: rappresenta una delle più grandi infiltrazioni da parte delle forze dell'ordine in una rete di comunicazione usata perlopiù da criminali, considerato che il bacino di utenza di Encrochat non è limitato solo all'Europa, ma si spinge fino al Medio Oriente e oltre. Le autorità francesi e olandesi, con il supporto di altri paesi, hanno monitorato e indagato "più di cento milioni di messaggi criptati" tra utenti Encrochat in tempo reale, portando ad arresti nel Regno Unito, in Norvegia, Svezia, Francia e Olanda.

Un telefono Encrochat. Foto via Twitter/@misdaadnieuw2.

Mentre i criminali pianificavano traffici di droga, denaro o addirittura omicidi, gli agenti leggevano i loro messaggi e agivano per fermare i sospettati.

I messaggi, ha dichiarato la polizia olandese, "hanno portato alla luce un numero senza precedenti di reati gravi, tra cui traffici internazionali di droga e la posizione dei laboratori in cui veniva prodotta, omicidi, rapine, estorsioni, furti, pestaggi e rapimenti. Sono stati anche scoperti i canali internazionali attraverso cui veniva riciclato il denaro."

I documenti ottenuti da Motherboard raccontano nel dettaglio alcune delle informazioni intercettate dalle autorità, e fanno vedere quanto le forze dell'ordine siano riuscite a penetrare in profondità in queste organizzazioni criminali. I nomi in codice sono stati identificati come riciclatori di denaro sporco, fornitori di ketamina, amfetamina, cannabis ed eroina, corrieri e clienti.

I messaggi evidenziano come le gang avrebbero mandato alcuni membri a riscuotere denaro dai clienti, come avveniva il riciclaggio e dove venivano nascosti i pacchi di droga. In sezioni meticolosamente dettagliate e con tanto di timestamp, i messaggi Encrochat sono la cronaca di un reato dopo l'altro.

"Sono fottuti," ha detto una delle nostre fonti. "La gente parla di omicidi, di chili, di armi, di milioni di pillole" tramite quei telefoni. "Li stanno beccando tutti," ha detto a Motherboard un'altra fonte anonima vicina agli utenti criminali di Encrochat all'inizio degli arresti.

Soltanto nei Paesi Bassi, "l'indagine finora ha portato all'arresto di oltre 100 sospettati, il sequestro di droghe (oltre 8 tonnellate di cocaina e 12 quintali di metanfetamina), lo smantellamento di 19 laboratori di produzione di droghe sintetiche, il sequestro di dozzine di armi da fuoco automatiche, orologi costosi e 25 automobili, compresi veicoli con scompartimenti nascosti e quasi 20 milioni di euro in contanti," hanno fatto sapere le autorità in un comunicato stampa.

In uno dei suoi siti, Encrochat dice che si tratta di “una soluzione per la sicurezza end-to-end” che può “garantire l’anonimato,” e sostenendo che scambiarsi messaggi su Encrochat è “l’equivalente elettronico di una normale conversazione tra due persone in una stanza vuota” per “comunicazioni senza preoccupazioni.” Aggiunge inoltre che “i nostri server non creano, custodiscono o decrittano alcuna chiave, messaggio, conversazione o dato dell’utente.”

Ci sono molti tipi di persone interessati a comunicazioni protette, tra cui professionisti del settore sicurezza o avvocati. Il sito proclama che Encrochat ha negozi ad Amsterdam, Rotterdam, Madrid e Dubai, ma è un’azienda molto riservata e non opera come una qualunque compagnia tecnologica.

In un comunicato mandato a Motherboard da una persona in possesso di un indirizzo email aziendale, Encrochat si identifica come un'azienda con clienti in 140 paesi; fonti dell’ambiente criminale, tuttavia, dicono che molti dei clienti di Encrochat sono criminali. Le autorità francesi stimano che oltre il 90 percento dei clienti francesi dell’azienda avessero “commesso attività illegali.”

“Offriamo servizi per rendere più sicure le comunicazioni con dispositivi mobili,” recita il comunicato. “Il nostro obiettivo è trovare la miglior tecnologia sul mercato per fornire un servizio affidabile per ogni organizzazione o individuo che voglia mettere in sicurezza le proprie informazioni.”

I documenti ottenuti da Motherboard, tra cui prove presentate in processi contro utenti Encrochat nelle scorse settimane, dimostrano esattamente quale tipo di informazioni la tecnologia di hacking poteva estrarre dai dispositivi cellulari di trafficanti di droga di alto livello, inclusi messaggi e foto. I documenti rivelano anche che tipo di persone Encrochat considerava "clienti."

“Non ho mai visto nulla del genere”, ci ha detto la fonte vicina a utenti criminali di Encrochat per descrivere l’operazione di polizia.

Un telefono Encrochat in un video di YouTube.

Per comprare un dispositivo Encrochat non basta entrare in un negozio. Una persona che al momento si trova in prigione e che in passato ha usato dispositivi Encrochat ci ha raccontato come ha acquistato un telefono da un particolare rivenditore che gli era stato consigliato.

“C'è anche un negozio, ma non sono stato lì. Ci siamo incontrati in un vicolo, sembrava che mi stesse vendendo della droga,” ha detto. “Ci ho parlato per telefono, poi sono andato nella sua città e ci siamo visti”.

I telefoni Encrochat sono essenzialmente modelli Android modificati. Alcuni usano il "BQ Aquaris X2”, un telefono Android prodotto nel 2018 da un’azienda spagnola. Encrochat ha preso il modello base, ci ha installato i suoi programmi di messaggistica criptati che fanno passare i dati nei suoi server, e rimosso fisicamente GPS, fotocamera e microfono.

I telefoni Encrochat avevano anche una funzione per cancellare velocemente ogni contenuto dal dispositivo immettendo un PIN, e usavano contemporaneamente due sistemi operativi. In questo modo, se l’utente voleva farlo sembrare un innocuo telefonino, poteva caricare la versione normale di Android. Per tornare alle sue conversazioni sensibili, bastava passare al sistema Encrochat. L’azienda vendeva i telefoni in abbonamento, al costo di migliaia di dollari all’anno.

Encrochat non è l’unica ad offrire questo tipo di telefoni. Queste cosiddette aziende di “sicurezza telefonica” spesso nascondono la proprietà, e alcune agiscono in complicità con criminali. L’azienda MPC, ad esempio, era direttamente gestita da un’organizzazione criminale. Vincent Ramos, fondatore di un’altra azienda chiamata Phantom Secure si trova attualmente in carcere anche per aver confidato ad agenti sotto copertura di aver progettato il dispositivo al fne esplicito di facilitare il traffico di droga. Queste aziende assumono regolarmente distributori in vari paesi e città che vendono i telefoni direttamente ai clienti. In almeno un caso, Encrochat ha ingaggiato ex-militari per vendere i telefoni ai criminali.

Il settore è altamente competitivo e le aziende diffondono in continuazioni voci su presunte brecce nella sicurezza dei dispositivi delle altre, anche caricando video su YouTube per screditarle. Encrochat in passato aveva bloccato domini web usati dai dispositivi di altre aziende, per separare la propria clientela da quella di chiunque altro. Questo significa che gli spacciatori spesso avevano bisogno dello stesso telefono di tutti gli altri spacciatori per non rimanere tagliati fuori dalle conversazioni importanti.

“Gli serve un cazzo di telefono”, recitava uno dei messaggi in arrivo sul presunto telefono Encrochat di Mark. “Non esiste uno spacciatore senza un telefono.”

I venditori di Encrochat hanno anche fatto pubblicità ai loro prodotti su siti usati dalla criminalità, targettizzando i propri annunci direttamente su un certo tipo di consumatore. Martin Kok, un ex-criminale convertitosi a blogger, ha scritto sul sito Butterfly Crime che "su diversi siti queste cose [_i telefoni criptati_] sono messe in vendita perché molti dei loro futuri clienti sono proprio criminali. Fare pubblicità su un sito dove si vendono biciclette non avrebbe senso per un’azienda di quel tipo.”

Encrochat controllava una considerevole fetta dell’infrastruttura comunicativa del crimine organizzato in Europa e in vari paesi extra-Europei. Mentre era stata un’organizzazione di trafficanti scozzese a fondare MPC e i clienti di Phantom Secure comprendevano membri del cartello di Sinaloa, Encrochat era principalmente usata dai gangster del continente europeo.

Una coppia inglese che ha assassinato un boss e un rapinatore, dove uno ha portato a termine il colpo e l’altro ha fatto da palo, ha usato telefoni Encrochat. In uno degli omicidi il sicario ha usato un mitra. Anche le più violente gang di trafficanti di tutto il Regno Unito hanno usato telefoni Encrochat.

“Erano diventati lo standard dell’industria,” ha confermato il detenuto. Lo scorso maggio, però, alcuni utenti Encrochat hanno notato un problema: la tanto lodata funzione di cancellazione totale non funzionava più. Un rappresentante di Encrochat ha detto a Motherboard che a quel punto credevano che l’utente avesse dimenticato il PIN per il reset, o che la funzione non fosse stata configurata adeguatamente. Niente di cui preoccuparsi; gli utenti commettono errori. Il mese dopo, Encrochat è stata in grado di entrare in possesso di uno dei modelli X2 che aveva il problema del reset.

Ma non si trattava di un errore umano. Il rappresentante di Encrochat ha detto a Motherboard di aver trovato un malware nel dispositivo. Il telefono era stato hackerato.

Foto di un laboratorio di droga sequestrato nell'operazione. Via.

Le compagnie telefoniche che offrono servizio di criptaggio sono già state bersagliate dagli hacker in passato. Nel 2017 un sito ha pubblicato dati estratti da Ciphr, un’altra azienda attiva nel campo, che includevano indirizzi email e codici IMEI scollegati a cellulari criptati. Il caso di Encrochat è però diverso. Il malware era stato installato sul dispositivo stesso, quindi poteva leggere i messaggi scritti e salvati sul telefono prima che venissero criptati e inviati su internet. Si tratta di una circostanza devastante per un'azienda che prometteva di proteggere le comunicazioni dei propri clienti.

Il rappresentante ha detto a Motherboard che il malware é stato creato specificatamente per il modello X2. A parte interferire con la funzione di cancellazione totale, il malware era stato progettato per rimanere invisibile, registrare la password per lo sblocco dello schermo e copiare i dati dalle applicazioni.

Due giorni dopo aver realizzato che si trattava di un attacco cibernetico, il rappresentante ci ha riferito che Encrochat ha creato un aggiornamento per il modello X2, nel tentative di ripristinare le impostazioni del telefono e raccogliere informazioni sul malware che era già intallato su dispositivi di tutto il mondo.

“L’abbiamo fatto per scongiurare ulteriori danni,” ha aggiunto. Encrochat ha messo in atto il sistema di monitoraggio per tenere d’occhio i dispositivi senza averli fisicamente in mano.

Ma poco tempo dopo l’aggiornamento, gli hacker hanno attaccato di nuovo e questa volta ancora più intensamente. Il malware é riemerso con la facoltà di cambiare la password per lo sblocco schermo anziché semplicemente registrarla. Gli hacker non avevano alcuna intenzione di fermarsi, anzi.

Ormai completamente in allerta, Encrochat ha mandato un messaggio ai suoi utenti informandoli dell’attacco in corso. L'azienda l'ha notificato anche a KPN, l’azienda di telecomunicazioni olandese che fornisce le SIM. KPN a sua volta ha bloccato le connessioni associate ai server pericolosi. Encrochat ha così terminato il suo servizio SIM; l'azienda aveva programmato un altro aggiornamento ma non poteva garantire che lo stesso non fosse già stato contaminato dal malware. KPN inoltre ha lasciato intendere una collaborazione con le forze dell'ordine, ma sul punto ha preferito non commentare. Non appena Encrochat ha ripristinato il servizio Sim KPN ha rimosso il firewall, permettendo ai server degli hacker di comunicare di nuovo con I telefoni.

Encrochat era in trappola, e ha deciso di chiudere tutto. L'aziende sospetta che l’attacco non sia stato opera di un concorrente, ma di un governo. “A causa dell’alto livello di sofisticazione dell’attacco e del codice del malware, non possiamo più garantire la vostra sicurezza sul nostro dispositivo,” recita un messaggio di Encrochat ai propri utenti. “Vi suggeriamo di spegnere e buttare immediatamente il vostro dispositivo.”

Ma quel messaggio é arrivato troppo tardi. Le forze dell’ordine aveva già estratto i dati cache dai dispositivi di Encrochat. Le comunicazioni dei narcotrafficanti erano ormai state smascherate. In un comunicato stampa le forze dell’ordine francesi non hanno spiegato l’operazione nel dettaglio, ma hanno detto che “l’investigazione ha reso possibile la raccolta di elementi riguardanti il funzionamento [di Encrochat] e portato alla creazione di un dispositivo tecnico che ha raccolto comunicazioni non criptate.”

Le autorità francesi hanno anche indicato i meccanismi legali che permettono la cattura di dati con i loro strumenti “senza il consenso delle parti interessate per accedere, in qualunque luogo, ai dati del computer con l’obiettivo di registrarli, archiviarli e poi trasmetterli.”

Le autorità, insomma, avevano messo le mani su tutto: immagini di cumuli di droghe sulle bilance; panetti di cocaina da un chilo; bustine piene di ecstasy; mucchi di cannabis; messaggi di incontri e accordi già programmati; foto dei familiari e discussioni riguardanti altri affari.

Panetti di cocaina sequestrati dalla polizia inglese. Foto via Swrocu.

Nel recente passato, le forze dell’ordine hanno già agito contro compagnie di sicurezza telefonica. Nel 2018 l’FBI ha arrestato il proprietario di Phantom Secure, cercando di convincerlo a installare una backdoor all’interno del sistema di comunicazioni dell'azienda prima di chiudere completamente il network. Il proprietario si è rifiutato.

In questo caso le autorità sono riuscite a avere accesso non solo a quello che i criminali si dicevano, ma anche alle comunicazioni che si scambiavano quando credevano di essere completamente protetti.

Altri documenti dettagliano passo per passo operazioni di narcotraffico su larga scala passo per passo. I messaggi risalgono a parecchi mesi fa, alcuni addirittura prima che Encrochat scoprisse il malware. In un messaggio di Encrochat, ottenuto molto ironicamente dagli stessi investigatori, un membro di una gang dice ad un altro che gli iPhone non sono abbastanza sicuri.

Dopo l'allerta diramata da Encrochat, alcuni utenti sono entrati nel panico più totale. Diverse persone hanno cercato di determinare quali modelli di Encrochat fossero coinvolti. Nei giorni successivi all'installazione del malware, i pezzi del puzzle hanno cominciato ad avere senso: le spedizioni sequestrate, i blitz contro i narcotrafficanti, il numero crescente di arresti - tutto portava a Encrochat.

La fonte del settore di sicurezza telefonica ha detto a Motherboard che dopo questo episodio i rivenditori di Encrochat non hanno più potuto accedere al portale per gestire le vendite, escludendoli dai propri fondi.

Il mondo del crimine organizzato è momentaneamente nel caos, il loro mezzo di comunicazione principale é inutilizzabile. Presi dalla paranoia, molti sono andati offline; altri stanno cercando di attraversare i confine del proprio paese per evitare l'arrestati, secondo la nostra fonte adiacente al mondo criminale. La fonte vicina al mondo criminale ha aggiunto che acquistare grosse quantità di droga é diventato improvvisamente molto più difficile. “Si stanno nascondendo tutti," ha ribadito.

Nel loro comunicato stampa, le autorità francesi hanno scritto che “nonostante la scoperta dell’uso criminale dei prodotti di Encrochat,” la polizia spera che “gli utenti [_che hanno usato il servizio_] in buona fede e vogliono cancellare i propri dati personali dal processo legale inviino una richiesta al reparto investigativo.” Hanno anche invitato gli ammistratori e i manager di Encrochat a contattarli nel caso in cui vogliano discutere le implicazioni legali dell’uso dello strumento da loro ideato.

Alcune aziende concorrenti stanno già provando a riempire il vuoto lasciato da Encrochat. Un’azienda chiamata Omerta, ad esempio, si rivolte direttamente ai vecchi clienti di Encrochat. “ENCROCHAT È STATA HACKERATA, GLI UTENTI ESPOSTI E ARRESTATI – IL RE È MORTO,” dice un articolo sul loro sito. In un’email a Motherboard, Omerta scrive che hanno recentemente registrato un traffico di utenti più elevato.

“Sei riuscito a scampare alla recente estinzione di massa? Festeggia con noi con un 10 percento di sconto. Aggiungiti alla famiglia Omerta e comunica con impunità.”