Αποκαλύπτουμε τον ενιαίο ψηφιακό «εγκέφαλο»

Αποκαλύπτουμε τον ενιαίο ψηφιακό «εγκέφαλο»

Κοινή αποδεικνύεται η IP των μολυσμένων συνδέσμων του Predator

Το Documento, μετά τη δημοσιοποίηση των παρόχων του Predator, αποκάλυψη για την οποία ήδη έχει καταθέσει σχετικά στη Δίωξη Ηλεκτρονικού Εγκλήματος κατόπιν εισαγγελικής παραγγελίας, προχωράει σε ακόμη μια αποκάλυψη. Δώδεκα παγιδευμένες με Predator ηλεκτρονικές διευθύνσεις (URL) είχαν μία κοινή ψηφιακή διεύθυνση (IP), την 99.83.154.118, η οποία ανήκει στην Amazon.com, Inc. Μέσω γεωεντοπισμού εντοπίσαμε ότι η IP βρίσκεται στο Σιάτλ των ΗΠΑ. Κατά συνέπεια, αποδεικνύεται ότι υπάρχει κοινός ψηφιακός εγκέφαλος που χρησιμοποιούσε το Predator μέσω μιας κοινής διεύθυνσης.

Τα σημαντικά αυτά ευρήματα του Documento θέτουν προ των ευθυνών τους, για ακόμη μια φορά, τις εισαγγελικές αρχές που παραπονούνται ότι δεν έχουν την τεχνογνωσία για να διερευνήσουν εξονυχιστικά το μέγα σκάνδαλο των υποκλοπών. Οφείλουν πλέον να αποστείλουν είτε αίτημα δικαστικής συνδρομής στις ΗΠΑ είτε ακόμη και απευθείας αίτημα στην ίδια την Amazon για την παροχή κρίσιμων στοιχείων, όπως τα παραστατικά πληρωμών και τα διαχειριστικά ίχνη. Κεντρικής σημασίας είναι επίσης η αναβάθμιση και διεύρυνση των υπό διερεύνηση εγκλημάτων, καθώς υπάρχουν σαφείς ενδείξεις τέλεσης κακουργημάτων, διότι αφενός τόσο οι σημερινές όσο και παλιότερες αποκαλύψεις του Documento συνηγορούν προς αυτή την κατεύθυνση, αφετέρου η αμερικανική Δικαιοσύνη αλλά και η Amazon ενδέχεται να μη συνδράμουν τη διερεύνηση ενός απλού πλημμελήματος. Ο κατακερματισμός άλλωστε της εισαγγελικής έρευνας σε πολλές κατευθύνσεις μόνο σε de facto κουκούλωμα της υπόθεσης των υποκλοπών θα οδηγήσει.

Οι 12 διευθύνσεις με την κοινή IP

Οι διευθύνσεις που δειγματοληπτικά επιλέξαμε προκύπτουν από τη λίστα που δημοσίευσε η Meta (Facebook) μαζί με το Citizen Lab τον Δεκέμβριο του 2021 αλλά και από τους συνδέσμους οι οποίοι φαίνονται στα μηνύματα που στάλθηκαν στα κινητά τηλέφωνα των παρακολουθούμενων Θανάση Κουκάκη, Χρήστου Σπίρτζη και Θοδωρή Καρυπίδη. Παρόμοιο μήνυμα είχε σταλεί στον σημερινό πρόεδρο του ΠΑΣΟΚ-ΚΙΝΑΛ Νίκο Ανδρουλάκη.

Ενδεικτικά παραθέτουμε τους συνδέσμους που εξετάσαμε: 1) edolio5[.]com, 2) efsyn[.]news, 3) cnn.gr[.]com, 4) zougla[.]news, 5) thestival[.]news, 6) yout.ube.gr[.]com, 7) enikos[.]news, 8) protothema[.]live, 9) tovima[.]live, 10) hellasjournal[.]company, 11) ereportaz[.]news, 12) ebill.cosmote[.]center. Οι διαβολικές συμπτώσεις επαναλαμβάνονται, μια και όλα τα παραπάνω ονόματα τομέα (domain names) έχουν δημιουργηθεί από τα μέσα του 2020 έως τα μέσα του 2021, δηλαδή την περίοδο που επιβεβαιωμένα δρούσε το εν λόγω κατασκοπευτικό λογισμικό. Αξίζει να σημειωθεί ότι η IP 99.83.154.118 δεν ήταν η μόνιμη ψηφιακή διεύθυνση των παραπάνω URL, αλλά χρησιμοποιήθηκε από το 2021 έως το 2022. Ακόμη πιθανολογείται πως μια περισσότερο ενδελεχής τεχνική έρευνα στο σύνολο των URL που αποκαλύφθηκαν τόσο από το Documento όσο και από το Sec News θα αποκαλύψει ακόμη περαιτέρω στοιχεία, τα οποία θα συμπίπτουν με τα συμπεράσματα της παρούσας έρευνας.

Η τεχνική έρευνα του Documento πραγματοποιήθηκε μέσω δύο πηγών ανοιχτής πρόσβασης. Καταρχάς για την καταγραφή των ημερομηνιών και των URL χρησιμοποιήσαμε το ανοιχτό εργαλείο securitytrails.com, ενώ για τον γεωεντοπισμό της κοινής IP χειριστήκαμε το ανοιχτό εργαλείο ipinfo.io. Ως εκ τούτου, οι πηγές είναι αδιαμφισβήτητης αξιοπιστίας, ενώ τις ίδιες χειρίζονται οι ειδικοί όταν πραγματοποιούν τεχνικούς ελέγχους.

Επιβεβαίωση Documento και από τη ΔΗΕ

Το Documento μετά τη δημοσιοποίηση της λίστας με τα 498 URL που αποκάλυψε στις 27.11.2022 κατέθεσε στη Δίωξη Ηλεκτρονικού Εγκλήματος (ΔΗΕ) έπειτα από παραγγελία της Εισαγγελίας Πρωτοδικών Αθηνών. Εχει σημασία το γεγονός ότι ο αρμόδιος εισαγγελέας είχε αποστείλει γραπτές ερωτήσεις στους αστυνομικούς που χρεώθηκαν την προανάκριση. Κατά την κατάθεσή μας οι δύο εξειδικευμένοι αστυνομικοί εξέφρασαν απορίες για τα συμπεράσματα και τη μέθοδο της τεχνικής έρευνας που ακολουθήθηκε. Στη συνέχεια βέβαια επιβεβαίωσαν τη διαδρομή της έρευνας, ενώ εξακριβώθηκε μέσω επιτόπιου τεχνικού ελέγχου ότι η IP του domain.gr.com (καταχωρητής ονομάτων) συμπίπτει με την IP των 498 URL (72.34.38.64). Το Documento είναι σε θέση να γνωρίζει ότι το προσωπικό της εν λόγω υπηρεσίας έχει προχωρήσει σε ορισμένες ενέργειες έπειτα από άνωθεν εντολές, αν και το αποτέλεσμα αυτών μένει να φανεί.

Τα ψηφιακά ίχνη του Predator άλλωστε είναι διάχυτα στο διαδίκτυο. Η εισαγγελία, βέβαια, οφείλει να απαντήσει ποιος πλήρωσε και ποιος διαχειρίστηκε τις «αμαρτωλές» ιστοσελίδες προκειμένου να προκύψουν τα πλήρη στοιχεία του αγοραστή, ενδεχομένως και των διαχειριστών, αλλά και επιπλέον αθέατα ίχνη. Επομένως, οι ερωτήσεις σε όλους τους παρόχους που φιλοξενούν τα παραπάνω URL πρέπει να αποσταλούν άμεσα προτού διαγραφούν τα στοιχεία. Τέλος, η Amazon, που έχει κατηγορηθεί πολλές φορές για την υπερεκμετάλλευση και την κακομεταχείριση των εργαζομένων της, δεν έχει ποτέ κατηγορηθεί για έλλειψη συνεργασίας με τις αρχές. Επομένως, ιδού η Ρόδος, ιδού και το πήδημα.

Ετικέτες

Documento Newsletter