Δεν ήταν μόνο ένας ο στόχος παρακολούθησης με λογισμικό κατασκοπίας
Ένα πλέγμα δεκάδων domains που μέρα με τη μέρα αυξάνονται και υπερβαίνουν τα 43, που είχε ήδη εντοπίσει η META (facebook), αποκαλύπτει η έρευνα του inside story με τη βοήθεια δύο εξειδικευμένων τεχνικών. Πρόκειται για έναν ιστό που στήθηκε με σκοπό να μολύνει κινητά τηλέφωνα υποψήφιων στόχων με ένα σύγχρονο λογισμικό κατασκοπίας με την ονομασία Predator (αρπακτικό), όπως έγινε στην περίπτωση του δημοσιογράφου Θανάση ΚουκάκηΠοιος παρακολουθούσε το κινητό του δημοσιογράφου Θανάση Κουκάκη;. Στο μεταξύ η εταιρεία που εμπορεύεται το λογισμικό κατασκοπίας, Intellexa, συνεχίζει να λειτουργεί στο Ελληνικό.
Τον Ιούλιο του 2020 (τέσσερις μήνες μετά την εγκατάσταση της Intellexa στην Ελλάδα, που έγινε τον Μάρτιο του 2020), αγοράζονται τα πρώτα δύο domain-παγίδα με σκοπό να αποσταλούν από αγνώστους σε υποψήφιους στόχους παρακολούθησης, συνοδευόμενα από ένα προσωποποιημένο μήνυμα προκειμένου να τους παρακινήσουν να πατήσουν πάνω στο ψευδεπίγραφο link και να μολύνουν εν αγνοία τους το κινητό τους. Ένα από αυτά ήταν μία παραλλαγή του ενημερωτικού site του Μιχάλη Ιγνατίου, hellasjournal (hellasjournal[.]company), που εστιάζει στις ελληνοαμερικανικές σχέσεις με απήχηση στην ομογένεια το οποίο διαθέτει και αγγλική έκδοση. Η συγκεκριμένη ειδησεογραφική σελίδα στην πορεία παραλλάχθηκε άλλες δύο φορές (hellasjournal[.]website, heiiasjournai[.]com). Το δεύτερο site που αγοράστηκε τον Ιούλιο του 2020 ήταν το altsantiri[.]news.
Σύμφωνα με την έρευνα των εξειδικευμένων τεχνικών για λογαριασμό του inside story, τα μέχρι σήμερα γνωστά domains-παγίδες που έχουν αγοραστεί ανέρχονται στα 50, επτά περισσότερα από τα 43 που μάθαμε στις 16 Δεκεμβρίου όταν δημοσιοποίηθηκε η έρευνα της META. Αποτελούν μέρος από τα συνολικά 310 sites που εντόπισε η μητρική εταιρεία του facebook – πρόκειται για ποσοστό επί του συνόλου σχεδόν 15%, που φαίνεται ότι στήθηκε για ελληνόφωνους στόχους.
Εκτός από το blogspot.edolio5.com, που μόλυνε το κινητό του δημοσιογράφου Θανάση Κουκάκη (και δεν ήταν στη λίστα της ΜΕΤΑ), αποκαλύπτουμε σήμερα ακόμη έξι ιστοσελίδες που μοιάζουν με γνωστές ελληνικές και καταχωρήθηκαν επίσης για να παγιδεύσουν κινητά ανυποψίαστων:
Στη λίστα των ψεύτικων domain, πρώτη θέση με διαφορά έχουν παραλλαγές γνωστών ειδησεογραφικών ιστοσελίδων όπως kathimerini.news, protothema.live, efsyn.online, tovima.live (περισσότερα από τα μισά σε σύνολο 50 ιστοσελίδων). Ως δόλωμα χρησιμοποιήθηκαν επίσης αρκετά domains που μοιάζουν με αυτά κατασκευαστών οχημάτων π.χ. nissan.gr[.]com, bmw.gr[.]com και suzuki.gr[.]com. Στον κατάλογο εμφανίζονται και κάποιες ιστοσελίδες πιο εστιασμένες γεωγραφικά, όπως το orchomenos.news, το politika[.]bid (μοιάζει με το politikalesvos[.]gr) και stonisi[.]news.
Υπάρχουν και άλλες ιστοσελίδες πιο ειδικού ενδιαφέροντος, όπως π.χ. το paok-24[.]com (η μοναδική αθλητική ομάδα του καταλόγου), το hempower[.]shop που μοιάζει με κατάστημα προϊόντων κάνναβης με ηλεκτρονικό κατάστημα και έδρα έξω από την Κόρινθο, το itcgr[.]live, παραπλήσιο με την ιστοσελίδα γνωστής εταιρείας που αναλαμβάνει τεχνικοοικονομικές μελέτες σε θέματα προηγμένης τεχνολογίας και το sepenet[.]gr[.]com, που μιμείται την ιστοσελίδα ενός δημόσιου οργανισμού, του Σώματος Επιθεώρησης Εργασίας, ενδεχομένως με στόχο κάποιον κρατικό λειτουργό. Μια ακόμη ανησυχητική ένδειξη για το ποιοι μπορεί να έχουν στοχοποιηθεί με αυτό το λογισμικό κατασκοπίας είναι το γεγονός πως ένα από τα site που παραποιήθηκαν για να ξεγελάσουν τους εν δυνάμει στόχους είναι και το kranosgr.com (που το έκαναν kranos.gr[.]com), μια ενημερωτική ιστοσελίδα που απευθύνεται κατά βάση σε στελέχη των ελληνικών ενόπλων δυνάμεων και σωμάτων ασφαλείας.
Στο πλέγμα των ψεύτικων domains υπάρχουν και αρκετά που παραπέμπουν σε πολύ γνωστούς παρόχους υπηρεσιών, όπως για παράδειγμα η Viva (viva[.]gr[.]com), η Cosmote (ebill[.]cosmote[.]center ), η Uber (ube[.]gr[.]com) και το youtube (youtube[.]gr[.]live).
Είμαστε σε θέση να γνωρίζουμε ότι το κάθε ψεύτικο domain δεν χρησιμοποιείται για να παγιδεύει έναν μόνο άνθρωπο. Για παράδειγμα το blogspot.edolio5[.]com, που μόλυνε το κινητό του δημοσιογράφου στις 12 Ιουλίου 2021 και για τουλάχιστον δέκα εβδομάδες επέτρεψε σε αγνώστους να ακούνε και να βλέπουν τα πάντα στο κινητό τηλέφωνό του, αγοράστηκε αρκετούς μήνες πριν αποσταλεί στον συγκεκριμένο παραλήπτη (στις 9 Μαρτίου 2021). Επίσης στο στόχαστρο δεν έχει βρεθεί μόνο ο Κουκάκης, αλλά και πολίτες που δεν έχουν καμία σχέση με τη δημοσιογραφία. Κρίνοντας από το μέγεθος του δικτύου των domains που αγοράστηκαν, θα μπορούσε κανείς να συμπεράνει ότι οι στόχοι ανέρχονται ακόμη και σε εκατοντάδες.
Με βάση την ανάλυση του εξειδικευμένου τεχνικού, υπάρχουν κάποιοι κομβικοί μήνες στην οικοδόμηση αυτού του πλέγματος από domains. Τα περισσότερα (συνολικά 11) στήθηκαν τον Σεπτέμβριο του 2020, επτά τον Οκτώβριο της ίδιας χρονιάς και από πέντε τον Ιανουάριο, τον Μάρτιο και τον Οκτώβριο του 2021. Αυτή είναι και η τελευταία ημερομηνία που έχουμε για τις μέχρι τώρα γνωστές σε εμάς απατηλές ιστοσελίδες που καταχωρήθηκαν με στόχο να χρησιμοποιηθούν για τη μόλυνση κινητών τηλεφώνων με το λογισμικό κατασκοπίας Predator. Η ημερομηνία «στησίματος» του κάθε domain –που έγινε σύμφωνα με πληροφορίες του inside story από μία μικρή πόλη της Τσεχίας, όπου εργάζεται ένας ισραηλινής καταγωγής «μηχανικός» για τη δουλειά αυτή– προκύπτει από το πότε κατοχυρώθηκε το κάθε domain ή εναλλακτικά από το πότε εκδόθηκε το πιστοποιητικό του (domain certificate).
Τα δε links που αποστέλλονται, με βάση πληροφορίες του inside story στήνονται σε συνεργασία με τον άνθρωπο στην Τσεχία και έχοντας κατά νου τον στόχο και τι θα του τραβήξει περισσότερο το ενδιαφέρον, ενώ τα γραπτά μηνύματα που τα συνοδεύουν έχουν προσφώνηση (όπως στην περίπτωση του Κουκάκη «Θανάση γνωρίζεις για το θέμα;» και link που παρέπεμπε σε επιχειρηματική είδηση) και κάποιες φορές αναφορά σε προσωπικές πληροφορίες του στόχου. Επίσης δεν αποκλείονται και οι πολλαπλές μολύνσεις ή απόπειρες μόλυνσης ενός στόχου.[.....................................]
ΣΥΝΕΧΙΣΤΕ ΤΗΝ ΑΝΑΓΝΩΣΗ
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου