Европол объявил о ликвидации коммуникационной платформы Ghost, использовавшейся преступными группировками. Международная операция привела к аресту 51 человека в четырёх странах. Мессенджер Ghost, использовавший три стандарта шифрования, ежедневно обрабатывал около 1000 сообщений. Расшифровка позволила предотвратить до 50 случаев насилия. Операция продолжила серию успешных взломов криминальных мессенджеров, включая EncroChat и Sky ECC.

Источник изображения: europol.europa.eu

Совместное расследование, инициированное в 2022 году, объединило усилия правоохранительных органов девяти стран. Результатом стали аресты 38 подозреваемых в Австралии, 11 в Ирландии, по одному в Канаде и Италии. Итальянский задержанный принадлежал к Sacra Corona Unita — мафиозной структуре из Апулии. Ключевой фигурой операции стал 32-летний австралиец, непосредственно администрировавший Ghost.

Дэвид Маклин (David McLean), помощник комиссара федеральной полиции Австралии, подчеркнул: «Ghost использовался итальянской мафией, байкерскими бандами, ближневосточными и корейскими преступными синдикатами для координации наркотрафика и заказных убийств». Платформа позволяла уничтожать все сообщения специальным кодом, что усложняло работу следователей.

Жан-Филипп Лекуфф (Jean-Philippe Lecouffe), заместитель исполнительного директора Европола, отметил фрагментацию криминального киберпространства: «Сейчас преступники используют множество небольших сетей». Ghost, имевший меньшую пользовательскую базу по сравнению с EncroChat или Sky ECC, иллюстрирует эту тенденцию. Европол прогнозирует дальнейшие аресты по ходу расследования.

Операция Ghost — часть систематической борьбы с зашифрованными платформами. Взлом EncroChat в 2020 году привёл к 6500 арестам и изъятию 900 тыс. евро. Взлом Sky ECC в 2021 году бельгийскими, нидерландскими и французскими спецслужбами инициировал масштабные рейды. Эффект этих операций продолжает ощущаться: в октябре 2024 года брюссельский суд рассмотрит дело 120 обвиняемых на основе данных Sky ECC.

Джастин Келли (Justin Kelly), помощник комиссара полицейской службы Ирландии, констатировал: «Мы добиваемся значительных успехов в преодолении вызовов, связанных с зашифрованной коммуникацией». Однако эксперты отмечают, что криминальные элементы быстро адаптируются, переходя на новые платформы после каждого успеха правоохранителей.

В крупных городах Великобритании преступники всё чаще используют бесшумные электрические средства индивидуальной мобильности (СИМ), чтобы на ходу выхватывать телефоны или сумочки из рук ничего не подозревающих людей. Проблема настолько распространена, что Совет национальной полиции (NPCC) заказал правительственной лаборатории оборонной науки и технологий (DSTL) разработку оружия, выводящего из строя электрические СИМ с помощью электромагнитных импульсов.

Источник изображений: Columbia Pictures

В Великобритании разрешено без лицензии использовать электрические СИМ с максимальной мощностью 250 Вт и ограничителем скорости в 25 км/ч. Тишина и скорость сделали такие СИМ излюбленным транспортом для преступников. За последние три года электросамокаты и электроскутеры оказались задействованы в 20 000 преступлений. Всего на сегодняшний день в Великобритании насчитывается около 750 000 подобных СИМ.

Под надзором главного научного консультанта NPCC разработчики DSTL в настоящее время работают над оружием, безвредным для людей, других электронных устройств и транспортных средств. По словам представителя NPCC, устройство должно посылать сигнал, который имитирует перегрев двигателя СИМ, в результате чего электросамокат останавливается. Описание устройства подразумевает наличие эмиттера и заплечного контейнера с аккумуляторами или суперконденсаторами, из-за чего его сразу стали сравнивать с оборудованием «Охотников за привидениями» из классического блокбастера.

Аналитики сомневаются в эффективности будущего чудо-оружия, аргументируя это малой дальностью работы подобного устройства, быстрым перемещением преступника и малой вероятностью того, что грабитель станет действовать прямо на глазах у оснащённого по последнему слову техники полицейского. В то же время стоит помнить, что не ошибается лишь тот, кто ничего не делает.

Три года назад со взлома используемого организованной преступностью мессенджера EncroChat началась совместная операция правоохранительных органов Франции и Нидерландов. К настоящему моменту в результате расследования арестованы более 6500 человек и конфискованы почти €900 млн.

Источник изображений: europol.europa.eu

Следственная бригада перехватила и проанализировала более 115 млн зашифрованных текстовых сообщений и изображений, отправленных пользователями EncroChat — материалы были переданы правоохранительным органам нескольких стран, разрабатывавшим деятельность наркоторговцев по всей Европе. В результате операций выявлены несколько ОПГ, предлагавших «преступление как услугу»: похищения людей, вымогательства, пытки и заказные убийства. К настоящему моменту по группе дел изъято более 100 т кокаина, 160 т марихуаны, 3 т героина, более 900 единиц оружия и 21 000 единиц боеприпасов.

Европол осуществлял мониторинг сообщений в зашифрованных чатах, в реальном времени реагируя на угрозы для жизни людей — в том числе судье в одной из стран региона. Взлом EncroChat «изменил правила игры» и укрепил международное сотрудничество в борьбе с организованной преступностью, заявил глава оперативного управления Европола Жан-Филипп Лекуфф (Jean-Philippe Lecouffe). В сети EncroChat было более 60 000 пользователей, что позволило правоохранительным органам воссоздать карту организованной преступности в Европе.

Расследование деятельности EncroChat началось в 2017 году, когда Национальная жандармерия Франции изъяла у членов ОПГ, причастных к незаконному обороту наркотиков, телефоны с зашифрованным мессенджером. В результате расследования выяснилось, что в центре обработки данных OVH во французской коммуне Рубе были размещены серверы EncroChat. Создатели зашифрованного мессенджера продавали Android-криптофоны BQ Aquaris X2 и X3 по €1000, а полгода годового обслуживания с глобальным покрытием стоили €1500. Телефон предлагал пользователям безопасную зашифрованную связь и анонимность — была также опция удаления всех данных при вводе PIN-кода.

Следователям удалось реконструировать сеть EncroChat из 72 виртуальных машин, которые управляли ключами шифрования, содержали журналы событий, осуществляли мониторинг использования SIM-карт и их назначения нужным устройствам, производили настройки новых телефонов, управляли голосовыми вызовами, оперировали данными об обслуживании клиентов и выполняли другие задачи. Генеральный директорат внешней безопасности (разведслужба) Франции внедрил в сеть программный модуль, который устанавливался на телефоны под видом обновления ПО — он собирал данные из памяти заражённых устройств: сохранённые сообщения чата, адресные книги, заметки и номера IMEI.

На втором этапе модуль перехватывал входящие и исходящие сообщения чатов и передавал их на сервер под управлением Центра по борьбе с цифровой преступностью при жандармерии во французском Понтуазе — на обоих этапах к работе привлекались скомпрометированные серверы в ЦОД Рубе.

На пике расследования в 2020 году в операции были задействованы сто сотрудников французской жандармерии. Были выявлены глава проекта EncroChat, разработчики решений, менеджеры по логистике, специалисты по отмыванию денег и менеджеры по продаже устройств и услуг. Были установлены факты незаконных поставок криптографических устройств во Францию, Канаду, Доминиканскую Республику, Испанию, Нидерланды, Великобританию, Германию, Гонконг и Панаму. Во Франции до сих пор продолжаются 84 судебных разбирательства, в том числе 8 «случайных», которые не имеют отношения к основному расследованию. Только по этим делам были произведены 165 арестов, изъято 2 т марихуаны, 118 кг кокаина, 155 кг героина, 5 единиц оружия, 110 транспортных средств и €4 млн во Франции.

В штаб-квартире Европола в Гааге была создана оперативная группа под кодовым именем «Эмма» (Emma), занимающаяся анализом данных из EncroChat — в неё вошли следователи и эксперты самого Европола, правоохранительных органов входящих в ЕС и других стран, в том числе Великобритании. Были проанализированы более 115 млн текстовых сообщений и единиц данных из зашифрованной сети — в общей сложности 1,3 Тбайт, которые объединили с информацией из собственных баз правоохранительных органов. В результате были сформированы почти 700 пакетов данных, которые передали правоохранительным органам по всему миру. Расследование охватило 123 страны.

Верховный суд Нидерландов 13 июня 2023 года постановил, что суды в стране могут на законных основаниях использовать материалы, собранные в результате расследования деятельности сети EncroChat и аналогичной ей Sky ECC, в качестве доказательств по уголовным делам в Нидерландах. Схожие решения вынесли и другие европейские суды — в частности, Коллегия по уголовным делам Верховного суда Франции и Кассационный суд в Париже. В рамках первого решения от 11 октября 2022 года захват и модификация любой компьютерной системы были признаны соответствующими французскому законодательству, а привлечение ресурсов госбезопасности для взлома устройств — соответствующими конституции. В решении от 10 мая 2023 года говорится, что за отсутствием данных и описания процесса взлома французские следователи не обязаны документально подтверждать достоверность информации, используемой в судебном преследовании. В мае Следственный трибунал Великобритании постановил, что Национальное агентство по борьбе с преступностью на законных основаниях получило ордер на изъятие данных с телефонов EncroChat. Но ряд судов в стране продолжает оспаривать допустимость доказательств, связанных с EncroChat.