Encrochat
Afbeelding: Cathryn Virginia

Zo kon de politie miljoenen versleutelde berichten van drugssmokkelaars lezen

Alleen al in Nederland zijn honderden mensen gearresteerd, nadat de versleutelde telefoons van Encrochat toch niet zo waterdicht bleken te zijn.
03 juli 2020, 9:10am

Mark*, een vermeende drugsdealer uit het Verenigd Koninkrijk, nam veilige communicatie altijd bloedserieus. Binnen zijn organisatie hanteerde hij codenamen en gebruikte hij versleutelde telefoons van het bedrijf Encrochat. Maar begin dit jaar werden er steeds meer medewerkers van hem gearresteerd – er klopte iets niet.

Omdat hun communicatie op de toestellen zelf versleuteld was, kon de politie hun onderlinge boodschappen niet onderscheppen zoals ze dat normaal gesproken kunnen. En dus communiceerden de bendeleden heel openlijk naar elkaar toe, en bespraken ze hun deals tot in details – inclusief geldbedragen, namen van klanten en expliciete verwijzingen naar de grote hoeveelheden drugs die ze verkochten. Dat blijkt uit documenten die Motherboard van bronnen heeft gekregen uit en rondom de criminele wereld.

Misschien is het toeval, maar in dezelfde tijd arresteerde de politie door heel Europa een hoop drugscriminelen. Half juni werd bijvoorbeeld een vermeend lid van een andere drugsbende opgepakt, en niet veel later werd in een Amsterdams pand een miljoen euro aan cocaïne gevonden. De politie leek ineens door het hele continent mensen op te pakken van bendes die niks met elkaar te maken hadden.

“De politie is overal hè?” schreef de dealer in een van de berichten in het bezit van Motherboard. “Ik kan er nog steeds niet bij hoe ze al mijn jongens hebben gepakt.”

Wat Mark niet wist – en met hem tienduizenden andere Encrochat-gebruikers – is dat hun communicatie niet écht veilig was. Franse autoriteiten waren het netwerk van Encrochat binnengedrongen en voerden vervolgens een grote hack-operatie uit door een tool te installeren. Al die tijd konden ze stilletjes alle boodschappen lezen. De onderzoekers deelden deze berichten vervolgens met instanties door heel Europa.

De omvang van de operatie is nu pas echt duidelijk: het is een van de grootste rechercheonderzoeken ooit in een communicatienetwerk dat vooral door criminelen wordt gebruikt. De gebruikers komen vooral uit Europa, maar bijvoorbeeld ook uit het Midden-Oosten. Franse, Nederlandse en andere Europese instanties hebben “meer dan een miljoen versleutelde berichten” gemonitord van Encrochat-gebruikers, wat geleid heeft tot arrestaties in het Verenigd Koninkrijk, Noorwegen, Zweden, Frankrijk en Nederland. Dat kondigde een team van internationale wetshandhavingsinstanties donderdag aan.

Terwijl dealers hun volgende deal beraamden, er geld werd witgewassen, en criminelen zelfs hun volgende liquidatie bespraken, konden hun berichten gewoon worden gelezen en konden ze zo op straat worden opgepakt.

De berichten “hebben inzicht gegeven in een ongekend grote hoeveelheid zware misdaden, waaronder internationale drugshandel, moord, overvallen, afpersing en gijzelingen. De internationale drugshandel en witwaspraktijken zijn glashelder geworden,” aldus de Nederlandse politie.

1593688533129-encrochat_cash

Een foto van een Encrochat-toestel. Beeld: Twitter/@Misdaadnieuw2

Uit documenten in handen van Motherboard blijkt welke informatie de autoriteiten hebben onderschept. Het maakt niet alleen duidelijk wat de vermeende drugsdealer heeft gedaan, maar ook hoe diep de politie is doorgedrongen binnen deze criminele organisaties. Er staan codenamen in voor witwassers, drugs als ketamine, amfetamine en cannabis, heroïneleveranciers, koeriers en klanten.

In de berichten is te lezen hoe bendes hun leden instrueerden om geld van klanten te innen, het veilig wit te wassen en de drugs te verstoppen. Misdaad na misdaad komt aan het licht, inclusief de bijbehorende tijdstippen.

“Mensen zijn zwaar de pineut,” aldus een van de bronnen die de stukken bij Motherboard aanleverde. “Ze hebben het gehad over moord, kilo’s kopen, wapenhandel en miljoenen pillen.”

“Ze zijn gewoon mensen aan het oplichten,” zei een andere bron die dicht bij de criminelen staat die Encrochat gebruiken, toen de arrestaties net plaats begonnen te vinden. Motherboard laat meerdere bronnen anoniem aan het woord, om ze te beschermen voor de wetshandhaving of vergeldingen van misdadigers.

Alleen al in Nederland heeft “het onderzoek tot nu toe geleid tot de arrestatie van meer dan honderd verdachten, inbeslagname van drugs (meer dan 8.000 kilo cocaïne en 1.200 kilo crystal meth), het opdoeken van negentien drugslabs, de inbeslagname van tientallen (automatische) vuurwapens en dure horloges en 25 auto’s (waaronder voertuigen met verborgen compartimenten) en bijna 20 miljoen euro aan contanten,” aldus autoriteiten in een persbericht.

Op zijn website zegt Encrochat een “end-to-end veiligheidsoplossing” te zijn die “anonimiteit kan garanderen”, en dat het “het elektronische equivalent is van een gesprek tussen twee mensen in een lege kamer” voor “zorgeloze communicatie”. Ook staat er dat hun “servers, die zich offshore in het datacentrum bevinden, nooit sleutels, berichten of gebruikersgegevens opslaan, creëren of ontsleutelen”. Encrochat heeft volgens de site resellers in Amsterdam, Rotterdam, Madrid en Dubai, maar verder is het bedrijf erg geheimzinnig en lijkt het niet zoals een normaal techbedrijf te opereren.

1593688593290-OCP-DSC_0018

Een foto van een pilmachine die ontdekt is door de politie. Beeld: OCP

In een verklaring aan Motherboard beschrijft Encrochat zichzelf als legitiem bedrijf met klanten in 140 landen, maar bronnen in de onderwereld zeggen dat in de praktijk vooral criminelen er gebruik van maken. Franse autoriteiten zeiden in te schatten dat meer dan 90 procent van de Franse klanten “betrokken zijn bij criminele activiteiten”.

“We zijn een commercieel bedrijf dat diensten aanbiedt voor veilige communicatie op telefoontoestellen,” aldus de verklaring. “We streven ernaar om de best beschikbare technologie te vinden, om een betrouwbare en veilige dienst aan te bieden aan ieder individu of iedere organisatie die zijn informatie wil beveiligen.”

De documenten die Motherboard in handen heeft gekregen – waarvan sommigen de afgelopen week in rechtszaken als bewijs zijn gebruikt – laten gedetailleerd zien wat voor soort informatie kon worden afgetapt van de drugssmokkelaars, waaronder tekstberichten en foto’s. Ook geven ze inzicht in wat voor mensen Encrochat precies als klanten beschouwt.

“Ik heb nog nooit zoiets gezien,” zegt de bron die dichtbij Encrochat-gebruikers staat.

***

Een toestel met Encrochat krijg je niet zomaar. Een voormalige gebruiker die nu in de gevangenis zit, vertelt een specifieke contactpersoon aangeraden te hebben gekregen. “Hij heeft gewoon een echte winkel, maar ik heb niet daar met hem afgesproken. We spraken af in een zijstraatje, het leek een beetje op een drugsdeal. Ik had met hem gebeld, ging naar zijn stad en ontmoette hem daar.”

Uit de gelekte documenten blijkt dat de telefoons van Encrochat in feite aangepaste Android-toestellen zijn, waaronder de BQ Aquaris X2. Encrochat installeerde er zijn eigen versleutelingssoftware op, die berichten naar de eigen servers van het bedrijf leidt, en verwijderde de gps-, camera- en microfoonfunctie. Ook hadden ze de functie waarmee je alles in één keer kon verwijderen door een pincode in te typen, en maakten ze gebruik van twee besturingssystemen tegelijkertijd: als een gebruiker wilde doen alsof het een normaal toestel was, dan werd het normale systeem ingesteld, en als er veilig gecommuniceerd moest worden, dan kon je zo omschakelen naar het Encrochat-systeem. Het bedrijf verkocht de toestellen aan de hand van abonnementen, die duizenden euro’s per jaar kostten.

Encrochat is niet het enige bedrijf dat dit soort telefoons verkoopt. De mensen die aan het hoofd staan van zulke bedrijven laten zich vaak niet in het openbaar zien, maar verbergen zich liever. Van sommigen is bekend dat ze met criminelen hebben samengewerkt. Het telefoonbedrijf MPC werd zelfs geleid door criminelen. Vincent Ramos, de oprichter van het bedrijf Phantom Secure, zit momenteel in de gevangenis omdat hij aan undercoveragenten had verteld dat hij toestellen speciaal voor drugssmokkel had gemaakt. Deze bedrijven huren regelmatig mensen uit verschillende landen in om de telefoons aan klanten te verkopen. Encrochat zou bijvoorbeeld minstens een keer ex-militairen hebben ingeschakeld om telefoons aan criminelen te verkopen.

1593688641334-encrochat-phone

Screenshot uit een YouTube-video van een Encrochat-toestel. Beeld: YouTube

Het is een competitieve wereld, waarin bedrijven constant geruchten rondbazuinen over de veiligheid van elkaars toestellen, en YouTube-filmpjes uploaden om hun rivalen in een kwaad daglicht te zetten. Encrochat heeft al webdomeinen geblokkeerd die zijn gebruikt door toestellen van concurrerende bedrijven, waarmee ze hun klantenbestand van de rest afsplitsten. Daardoor raakten dealers gedwongen om dezelfde telefoon te gebruiken als alle mensen met wie ze samenwerken – tenzij ze niet betrokken willen blijven bij belangrijke gesprekken.

“Heeft een telefoon nodig,” aldus een bericht dat naar Marks toestel zou zijn gestuurd. “Welke drugsdealer heeft er nou weer geen telefoon?”

Encrochat-verkopers hebben ook advertenties van hun producten geplaatst op websites over criminaliteit, om een specifieke doelgroep aan te spreken. Zo schreef Nederlandse ex-crimineel Martin Kok en misdaadblogger in 2015 op zijn site Vlinders Crime: “Ik zie op verschillende misdaadsites dat deze dingen te koop aangeboden worden omdat kennelijk veel van hun toekomstige cliënten ook misdaadvolgers zijn. Adverteren op een site waar fietsen worden aangeboden heeft voor dit soort bedrijven geen zin.” (Motherboard onderzocht eerder al hoe de moord op Kok was terug te leiden naar telefoonbedrijf MPC.)

Zo had Encrochat de controle over een groot deel van het criminele communicatienetwerk in Europa en meerdere landen daarbuiten. Waar MPC was opgericht door Schotse drugssmokkelaars en Phantom Secure onder andere leden van het Sinaloakartel als klanten had, was Encrochat vooral populair bij misdadigers uit heel Europa.

De telefoons van Encrochat werden onder andere gebruikt door een Brits duo dat een bendeleider en een gewapende overvaller had omgelegd, de een als schutter en de ander op de uitkijk. Bij een van de moorden werd een machinepistool gebruikt. Ook andere gewelddadige drugsbendes uit Engeland gebruikten telefoons van Encrochat.

“Ze werden de standaard voor de industrie,” zegt de gevangene.

***

In mei liepen wat Encrochat-gebruikers tegen een probleem aan: de wisfunctie werkte ineens niet meer. Een Encrochat-medewerker zegt tegen Motherboard dat ze destijds dachten dat dit kwam doordat gebruikers waren vergeten om hun pincode te resetten, of dat deze functie niet goed geconfigureerd was. Niks om je zorgen over te maken; mensen maken nu eenmaal foutjes. Toen Encrochat eenmaal een toestel in handen kreeg waar het probleem zich op voordeed, kwamen ze er echter achter dat het ergens anders aan lag: ze hadden malware aangetroffen. De telefoon was gehackt.

Dit soort lekken hebben eerder ook bij andere bedrijven plaatsgevonden – in 2017 maakte iemand bijvoorbeeld een website aan om gebruikersgegevens van Ciphr op te uploaden, waaronder e-mailadressen en IMEI-nummers. Maar met Encrochat was het een ander geval. Deze malware zat op de toestellen zelf, wat betekent dat het de berichten zou kunnen lezen die op de telefoon waren opgeslagen voordat ze versleuteld en online verstuurd waren, wat natuurlijk nogal een probleem is voor een bedrijf die als voornaamste taak heeft om extreem gevoelige communicatie te beschermen.

De medewerker zegt dat de malware speciaal voor het X2-model was ontwikkeld. Naast dat het de wisfunctie moest verstoren, was het ook de bedoeling dat het moeilijk detecteerbaar zou zijn, de pincode zou achterhalen en toepassingsgegevens zou kopiëren.

Toen Encrochat besefte dat het om een aanval ging, voerde het snel een update door voor de X2-modellen om de functies van de telefoon te herstellen en informatie te verzamelen over de malware, aldus de medewerker. “We wilden verdere schade voorkomen en getroffen gebruikers informeren.”

Vrijwel meteen na de patch sloegen de aanvallers opnieuw toe, dit keer ook een stuk harder. De malware was terug en kon dit keer ook de pincode veranderen. De hackers stopten niet, maar gingen juist nog een stuk verder.

1593688759786-NCA-cash

Een foto van contant geld dat door de politie in beslag is genomen. Beeld: NCA.

Encrochat stuurde vervolgens een bericht aan de gebruikers over deze aanval. Ook informeerde het KPN, de SIM-aanbieder van het bedrijf, dat vervolgens de verbindingen met de kwaadaardige servers blokkeerde. Encrochat zelf had een nieuwe update op het programma staan, maar omdat ze niet konden garanderen dat hier malware op zat ging dat niet door. Bovendien werkte KPN misschien samen met de autoriteiten, aldus Encrochat (KPN wilde hier niet op ingaan). Kort nadat Encrochat de SIM-diensten weer had hersteld, verwijderde KPN de firewall, waardoor de servers van de hackers weer met de telefoons konden communiceren. Encrochat zat in de val.

Encrochat besloot zichzelf volledig uit te schakelen.

“We besloten om het complete netwerk en de SIM-diensten meteen uit de lucht te halen,” schrijft de medewerker.

Encrochat verwachtte dat het niet zomaar een ander bedrijf was dat met de infrastructuur probeerde te rotzooien; eerder dat het een overheid was.

“Vanwege de sterkte van de aanval en de malwarecode kunnen we de veiligheid van uw toestel niet langer garanderen,” schreef Encrochat naar zijn gebruikers. “We adviseren om uw toestel meteen uit te zetten en weg te gooien.”

Maar het kwaad was geschied: de politie had al een gigantische hoeveelheid gegevens van Encrochat-telefoons verzameld. Er lagen berichten en foto’s op straat van drugsimperiums waar miljoenen in omgingen. De Franse politie gaat in zijn persbericht op donderdag niet in detail in op het verloop van de operatie, maar zegt wel: “Het onderzoek maakte het mogelijk om elementen van het technische functioneren [van Encrochat] in kaart te brengen, en leidde tot een technisch apparaat waarmee onversleutelde boodschappen van gebruikers konden worden verkregen.”

De Franse autoriteiten hadden van alles: van beelden van verdovende middelen in weegschalen, kilo’s aan cocaïneblokken en tassen vol xtc, tot berichten over geplande drugsdeals. Ook hadden ze nu foto’s van familieleden van de vermeende criminelen en gesprekken over allerlei zaken.

Het is niet voor het eerst dat wetshandhavingsinstanties tegen zulke bedrijven optreden. In 2018 arresteerde de FBI bijvoorbeeld de eigenaar van Phantom Secure, Vincent Ramos. De FBI probeerde hem ervan te overtuigen om een achterdeur in het communicatiesysteem te installeren – wat hij weigerde – en sloot vervolgens zelf het netwerk af.

1593688346521-SWROCU-1-kilo-blocks-of-cocaine

Een foto van cocaïneblokken die door de politie in beslag zijn genomen. Beeld: SWROCU

Dit keer zijn de autoriteiten er echter in geslaagd om in te breken en niet alleen te luisteren naar wat criminelen bespraken, maar ook op het moment dat ze zich juist het veiligst voelen.

“Laat hem 33.500 per stuk betalen,” staat in een van de berichten in het toestel dat van Mark zou zijn, waarin een grote drugsdeal stap voor stap wordt beschreven. “Haal er 4,5 uit, pak 6k.” In andere documenten gaat het over verschepingen in Europa. De berichten gaan tot maanden terug: sommige dateren uit april, maanden voordat Encrochat de malware zelf doorhad.

In een bericht zegt een bendelid ironisch genoeg tegen een andere dat iPhones niet veilig zijn voor politieonderzoek.

Na het bericht van Encrochat begonnen gebruikers in paniek te raken, blijkt uit andere screenshots van gesprekken die Motherboard in handen heeft gekregen. Ze probeerden erachter te komen of ook hun specifieke model door de malware was getroffen.

De volgende dagen begonnen er steeds meer puzzelstukjes op hun plek te vallen: verschepingen werden tegengehouden en drugssmokkelaars werden opgepakt. Het aantal arrestaties steeg, en ze hadden één ding gemeen: ze hadden gebruikgemaakt van Encrochat.

Een bron zegt dat resellers van Encrochat vervolgens niet meer konden inloggen op het portaal dat ze gebruikten voor de verkoop, waardoor ze geen toegang tot het geld meer hadden.

Een groot deel van de onderwereld is momenteel in de war, omdat een belangrijk communicatiemiddel aan banden is gelegd. Sommigen doen niks meer online, omdat ze niet meer weten welke apparaten ze kunnen vertrouwen. Anderen proberen de grens over te trekken voordat ze gepakt worden, zegt de bron die criminele Encrochat-gebruikers kent. Ook zou het kopen op grote schaal een stuk lastiger zijn geworden. “Iedereen gaat onder de radar.”

In hun persbericht schrijven de Franse autoriteiten dat ze, ondanks dat ze erachter zijn gekomen dat Encrochat-toestellen door criminelen worden gebruikt, hopen “dat gebruikers die beweren te goeder trouw te zijn en hun persoonsgegevens uit de gerechtelijke procedure willen laten verwijderen, hun verzoek aan de onderzoeksafdeling kunnen sturen.” Ook vragen ze beheerders en managers van Encrochat om contact met hen op te nemen als ze willen praten over de rechtsgeldigheid van het inzetten van de tool door wetshandhavers om berichten te lezen.

Er zijn nu al andere telefoonbedrijven die het gat willen opvullen dat Encrochat heeft achtergelaten. Het bedrijf Omerta probeert bijvoorbeeld voormalige klanten van Encrochat aan te spreken met een blogpost op de site, met als titel: “ENCROCHAT HACKED, USERS EXPOSED & ARRESTS GALORE - THE KING IS DEAD.” En dat heeft ze ook meer bezoekers opgeleverd, laten ze aan Motherboard weten.

“Heb jij de recente massa-uitsterving overleefd? Vier het met 10 procent korting. Voeg je tot de Omerta-familie en communiceer straffeloos.”

*Naam is om juridische redenen gefingeerd

Dit artikel verscheen oorspronkelijk bij VICE US.