Παρακράτος: O ιστός με τα πλαστά domain – Πώς πλαστογράφησαν το pronews.gr – Με 10 τρόπους «κτύπησαν» τον Ανδρουλάκη!
Παρακολουθούσαν και το κινητό του εκδότη του DNM Group Τάσου Γκουριώτη
Ένας μηχανισμός που επιτέθηκε ύπουλα και στον μεγαλύτερο ανεξάρτητο ελληνικό δημοσιογραφικό οργανισμό τo DNM Group (pronews.gr, defencenet.gr, ΣΤΡΑΤΗΓΙΚΗ κλπ,) αλλά και τα ίδια τα κορυφαία στελέχη του.
Όπως αποκαλύπτεται τώρα, είχε δημιουργηθεί από την ΕΥΠ σε συνεργασία με μία ομάδα Ισραηλινών στην Τσεχία η πλαστή ιστοσελίδα pronews.gr.com, την οποία χρησιμοποιούσαν για να «φυτεύουν» το Predator (μαζί με αρκετές άλλες ιστοσελίδες, όπως θα διαβάσετε στο ρεπορτάζ).
Αυτό έγινε σε συνέχεια μιας άλλης πλαστής σελίδας που έχει πλαστογραφήσει το κανονικό pronews.gr (λογότυπο, ειδήσεις κλπ) με το »πονηρό» domain pro-news.gr, (μία “-“ στη μέση του τίτλου για να ξεγελούν τους ανύποπτους αναγνώστες) η οποία εμφανιζόταν ως… γνήσιο pronews.gr και αποσπά ηλεκτρονικές διευθύνσεις (RSS) από χιλιάδες αναγνώστες.
Επίσης είχε παγιδευτεί για δύο εβδομάδες τουλάχιστον, το κινητό τηλέφωνο του εκδότη του DNM Group, Tάσου Γκουριώτη, τον περασμένο Οκτώβριο. Η παγίδευση εντοπίστηκε σε έλεγχο ασφαλείας μετά από διαπιστωμένη διαρροή στοιχείων που περιέχονταν στα αρχεία του κινητού!
Έχει κατατεθεί μήνυση του εκδότη για την υποκλοπή από τον περασμένο Οκτώβριο του 2021, με πολύ συγκεκριμένα στοιχεία, αλλά παρά την υποτιθέμενη «άμεση επέμβαση του εισαγγελέα που ερευνά την υπόθεση» και τις τρεις καταθέσεις που έχουν δοθεί, ακόμα δεν έχουν καταφέρει να εντοπίσουν ποιος τον υπέκλεπτε, παρά την παρουσία συγκεκριμένης IP από την συσκευή με την οποία γινόταν η παρακολούθηση.
Ο εκδότης είχε επιλέξει να μην δημοσιοποιήσει την υπόθεση, προκειμένου, όπως τον είχαν διαβεβαιώσει οι διωκτικές αρχές: «Να διευκολυνθεί η έρευνα και η σύλληψη των υπαιτιών».
Τις αμέσως επόμενες ημέρες θα κατατεθεί νέα μήνυση στην Εισαγγελία Αθηνών με όλα τα νεότερα στοιχεία που έχει συγκεντρώσει η έρευνα του pronews.gr για τις τηλεφωνικές παρακολουθήσεις, αλλά και για την δημιουργία του pronews.gr.com, το οποίο είχε δημιουργήσει η παρακρατική ομάδα του Predator.
Από την μέχρι στιγμής έρευνα του pronews.gr και τριών ειδικών στους οποίους απευθυνθήκαμε τα συμπεράσματα σε ότι αφορά τον τρόπο παρακολούθησης μας ή χρήσης παρόμοιου domain-δολώματος για να μπορούν να παγιδεύουν τα τηλέφωνα των στόχων, ήταν τα εξής
- «Νόμιμες» ή για να είμαστε ακριβέστεροι, νομότυπες «επίσημες» επισυνδέσεις δηλαδή οργανικές παρακολουθήσεις της ΕΥΠ
- Χρήση spyware Predator, επίσης από την ΕΥΠ. Και ας λένε ότι δεν έχει αγοράσει η ΕΥΠ το Predator. Η ΕΥΠ με τα μυστικά κονδύλια, έχει αγοράσει και το Predator και άλλα τουλάχιστον δύο συστήματα παρακολουθήσεων. Κατ’αρχήν λόγω λόγω κόστους αγοράς είναι αδύνατον να το είχε προμηθευτεί ιδιώτης. Υπάρχει μία εγκατάσταση της ΕΥΠ δίπλα στην ΣΔΑΜ στην Αγία Παρασκευή και εκεί γίνονται όλα τα «βρώμικα» κόλπα. Πώς λειτουργούσε -και λειτουργεί- το Predator: Έβαζαν ως «δόλωμα» ειδήσεις πλαστών ιστοσελίδων με ελαφρά παραποιημένα domain, όπως του pronews.gr.com, ο χρήστης πατούσε επάνω στο link που του έστελναν και αυτομάτως χωρίς να το καταλάβει, επέτρεπε την είσοδο του Predator στο κινητό του!
- Mε εγκατάσταση σύνδεσης-καθρέφτη μέσα στο κινητό του χρήστη! Με την σύνδεση ενός δεύτερου αριθμού μπορούσαν να μπαίνουν οριζοντίως όχι μόνο στις εφαρμογές, αλλά και σε όλες τις λειτουργίες του κινητού.
Τα στοιχεία που έρχονται στο φως δεν αφήνουν κανένα περιθώριο αμφισβήτησης και κανένα περιθώριο αμφιβολίες του τι συνέβαινε.
Υπήρχαν περίπου 500 κινητά-βασικοί στόχοι πολιτικών, εκδοτών, δημοσιογράφων, επιχειρηματιών και χιλιάδων άλλων γύρω από αυτούς που κτυπήθηκαν από την κυβέρνηση.
Βάσει των στοιχείων της Αρχής Διασφάλισης του Απορρήτου Επικοινωνιών (ΑΔΑΕ) έγιναν μόνο στα έτη 2019 και 2020 πάνω από 25.000 «επισυνδέσεις» για λόγους εθνικής ασφάλειας κατόπιν αντίστοιχων εισαγγελικών παραγγελιών
Σε αυτές δεν περιλαμβάνονται οι παρακολουθήσεις μέσω Predator, ούτε με την μέθοδο «εμφύτευσης» άλλου αριθμού που σάρωνε το εσωτερικό των συσκευών, υποκλέπτοντας μηνύματα, φωτογραφίες, κωδικούς, επαφές κλπ.
Η δράση της ομάδας του Predator ξεκίνησε να γίνεται τον Μάϊο του 2020.
Κατ’αρχήν να δούμε τι επιτυγχάνει το Predator.
Βασικά μετατρέπει μετατρέπει το κινητό σε εξελιγμένη συσκευή παρακολούθησης:
- Είναι ένα εργαλείο παρακολούθησης που προσφέρει στον χειριστή του πλήρη και διαρκή πρόσβαση στην κινητή [τηλεφωνική] συσκευή του στόχου. Το Predator επιτρέπει στον χειριστή να κάνει εξαγωγή μυστικών κωδικών [passwords], αρχείων, φωτογραφιών, ιστορικού περιήγησης στο διαδίκτυο, επαφών καθώς επίσης και δεδομένων ταυτότητας (όπως πληροφορίες για την κινητή συσκευή.
- Το Predator μπορεί να τραβήξει στιγμιότυπα οθόνης [screen captures], να καταγράφει τις καταχωρήσεις του χρήστη [στο κινητό του], καθώς επίσης μπορεί να ενεργοποιεί το μικρόφωνο και την κάμερα της συσκευής. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να παρακολουθούν οποιαδήποτε ενέργεια πραγματοποιείται μέσω συσκευής ή κοντά σε αυτήν, όπως τις συνομιλίες που γίνονται μέσα σε ένα δωμάτιο.
- Επιτρέπει επίσης στον χειριστή του να καταγράφει γραπτά μηνύματα που αποστέλλονται ή λαμβάνονται, συμπεριλαμβανομένων αυτών που στέλνονται μέσω «κρυπτογραφημένων εφαρμογών» ή εφαρμογών που επιτρέπουν την εξαφάνιση των μηνυμάτων, όπως είναι το WhatsApp ή το Telegram καθώς επίσης απλών και VoIP τηλεφωνικών κλήσεων (συμπεριλαμβανομένων τηλεφωνικών συνομιλιών μέσω “κρυπτογραφημένων” εφαρμογών)».
Με άλλα λόγια, αυτοί που έχουν μολύνει το κινητό ενός στόχου μπορούν να παρακολουθούν από προσωπικές στιγμές του ατόμου με την οικογένεια και τους κοντινούς του ανθρώπους, μέχρι εμπιστευτικές επαγγελματικές συνομιλίες.
Πώς εγκαθιστούσαν το Predator
Τον Ιούλιο του 2020, αγοράζονται τα πρώτα δύο domain-παγίδα με σκοπό να αποσταλούν από αγνώστους σε υποψήφιους στόχους παρακολούθησης του Pretador, συνοδευόμενα από ένα προσωποποιημένο μήνυμα προκειμένου να τους παρακινήσουν να πατήσουν πάνω στο ψευδεπίγραφο link και να μολύνουν εν αγνοία τους το κινητό τους.
Όπως έγινε στην περίπτωση της ομολογούμενης πλέον παρακολούθησης του δημοσιογράφου Θανάση Κουκάκη, όπου χρησιμοποίησαν το πρώτο πλαστό domain με αναγραμματισμό της δικαστικού περιεχομένου ιστοσελίδας edolio5.blogspot.com, σε blogspot.edolio5.com, όπου του έστειλαν σε email με λογισμικό παρακολούθηση και το ίδιο έκαναν και στον πρόεδρο του ΠΑΣΟΚ ΚΙΝΑΛ Νίκο Ανδρουλάκη, στέλνοντας του το ίδιο email αλλά αυτός δεν το άνοιξε σε αντίθεση με τον δημοσιογράφο Θ.Κουκάκη.
Στη λίστα των ψεύτικων domain, πρώτη θέση με διαφορά έχουν παραλλαγές ειδησεογραφικών ιστοσελίδων, θεματικών ιστοσελίδων, εμπορικών σελίδων κλπ. τα οποία στέλνονταν σε στόχους που είχαν συγκεκριμένα ενδιαφέροντα: Π.χ. το pronews.gr.com, το έστελναν σε «στόχους» που θεωρούσαν ότι είχαν αυξημένο ενδιαφέρον για το παρασκήνιο της πολιτικής, τα κυβερνητικά σκάνδαλα, την γεωστρατηγική, τα εξοπλιστικά θέματα κλπ.
Οι χρήστες κινητών-στόχοι ελάμβαναν ένα μήνυμα: «Κοίτα να δεις τι αποκαλύπτει το pronews.gr (.com)» και όσοι δεν πρόσεχαν ότι είχε προστεθεί το .com, το άνοιγαν και αυτομάτως κατέβαζαν το Predator στο κινητό τους και ξεκινούσε η παρακολούθησή τους!
Η ημερομηνία «στησίματος» του κάθε domain –που έγινε σύμφωνα με πληροφορίες του inside story από μία μικρή πόλη της Τσεχίας, όπου εργάζεται ένας Ισραηλινής καταγωγής «μηχανικός» για τη δουλειά αυτή– προκύπτει από το πότε κατοχυρώθηκε το κάθε domain ή εναλλακτικά από το πότε εκδόθηκε το πιστοποιητικό του (domain certificate).
Τα δε links που αποστέλλονται, με βάση πληροφορίες του inside story στήνονται σε συνεργασία με τον άνθρωπο στην Τσεχία, αλλά όπως αναφέρουν οι δικές μας πληροφορίες η βάση όλα δείχνουν ότι ήταν το «υποκατάστημα» της ΕΥΠ στην Γραβιάς 4 της Αγίας Παρασκευής.
Από την κοινή αρχιτεκτονική των πλαστών site, αλλά και τη διαφήμιση των μολύνσεων στο δημόσια προσβάσιμο υλικό της εταιρείας, προκύπτει ότι η δημιουργία του λογισμικού και η διείσδυση στη συσκευή (μόλυνση) πωλούνται ως ενιαία υπηρεσία και κοστίζουν πολλά εκατομμύρια ευρώ (περίπου δέκα).
Τα domain, nissan.gr[.]com, bmw.gr[.]com και suzuki.gr[.]com τα έστελναν σε οικονομικούς στόχους που ήξεραν ότι τους ενδιέφερε η κίνηση στην αγορά αυτοκινήτου.
Στον κατάλογο εμφανίζονται και κάποιες ιστοσελίδες πιο εστιασμένες γεωγραφικά, όπως το orchomenos.news, το politika[.]bid (μοιάζει με το politikalesvos[.]gr) και stonisi[.]news., που τα έστελναν σε άτομα με καταγωγή ή οικονομικά-πολιτικά ενδιαφέροντα από αυτές τις περιοχές.
Ιστοσελίδες με αθλητικού περιεχομένου θέματα π.χ. το paok-24[.]com (η μοναδική αθλητική ομάδα του καταλόγου) την έστελναν σε παράγοντες της Βορείου Ελλάδος.
Ένα από τα site που παραποιήθηκαν για να ξεγελάσουν τους εν δυνάμει στόχους είναι και το kranosgr.com (που το έκαναν kranos.gr[.]com), μια ενημερωτική ιστοσελίδα που απευθύνεται σε στελέχη των ελληνικών ενόπλων δυνάμεων και σωμάτων ασφαλείας, με τα οποία παγίδευαν στρατιωτικούς!
Στο πλέγμα των ψεύτικων domains υπάρχουν και αρκετά που παραπέμπουν σε πολύ γνωστούς παρόχους υπηρεσιών, όπως για παράδειγμα η Viva (viva[.]gr[.]com), η Cosmote (ebill[.]cosmote[.]center ), η Uber (ube[.]gr[.]com) και το youtube (youtube[.]gr[.]live).
Το μήνυμα, που στάλθηκε στις 21 Σεπτεμβρίου 2021, στον Ανδρουλάκη έγραφε, «Να δούμε λίγο σοβαρά το θέμα φίλε, έχουμε να κερδίσουμε» και συνοδευόταν από ένα λινκ, το οποίο ο Ανδρουλάκης λέει ότι δεν πάτησε.
Το link ήταν ο αναγραμματισμός του edolio5.blogspot.com, που του έστειλαν από υπαρκτό κινητό μιας γυναίκας που φυσικά δεν το γνώριζε!
Είναι προφανές ότι αυτοί που το έκαναν χρησιμοποίησαν μία τυχαία συνδρομήτρια, στα απεσταλμένα μηνύματα της οποίας δεν εμφανίστηκε ποτέ το SMS-δόλωμα.
Ο έλεγχος στο κινητό του Ανδρουλάκη έγινε από την Υπηρεσία Ψηφιακής Ασφάλειας (CERT) του Ευρωπαϊκού Κοινοβουλίου. Το τετρασέλιδο πόρισμα , περιγράφει λεπτομερώς τη διαδικασία ελέγχου και φέρει τον τίτλο «Έλεγχος ρουτίνας: Κρίσιμη ανίχνευση».
Το CERT λέει ότι πραγματοποιήθηκαν τρεις έλεγχοι στη συσκευή του προέδρου του ΠΑΣΟΚ.
Στις 28 Ιουνίου 2022, υπήρξε η πρώτη ενημέρωση για τον εντοπισμό του ύποπτου μηνύματος, μετά τον προληπτικό έλεγχο που έγινε στις Βρυξέλλες από τη Διεύθυνση Πληροφορικής του Ευρωπαϊκού Κοινοβουλίου.
Το γραπτό μήνυμα που έχει σταλεί στις 14:01 της 21ης Σεπτεμβρίου 2021, περιείχε τον σύνδεσμο “blogspot.edolio5.com”, ήταν δηλαδή ένας αναγραμματισμός, του “edolio5.blogspot.com”. Ωστόσο αυτός ο σύνδεσμος δεν οδηγούσε σε κάποια ιστοσελίδα. Ήταν συνδεδεμένος με το λογισμικό κατασκοπίας Predator.
Μετά τον εντοπισμό, η Υπηρεσία Ψηφιακής Ασφάλειας παρέλαβε τη συσκευή, δημιούργησε ψηφιακό αντίγραφό της και ανέλαβε τον δεύτερο διαγνωστικό έλεγχο. Σε αυτόν ερευνήθηκε το κατά πόσο το λογισμικό κατασκοπίας εγκαταστάθηκε τελικά στη συσκευή.
Η σάρωση του κινητού επιβεβαίωσε ότι ο Νίκος Ανδρουλάκης δεν είχε πατήσει ποτέ τον σύνδεσμο, επομένως απέτρεψε την εγκατάσταση του Predator, αλλά αυτό δεν τον έσωσε:
Την Τετάρτη 6 Ιουλίου 2022, πραγματοποιήθηκε η τρίτη και τελευταία σάρωση στη συσκευή. Αυτήν τη φορά ερευνήθηκαν τα αρχεία καταγραφής σφαλμάτων. Πρόκειται για αρχεία που δημιουργούνται αυτόματα σε μια συσκευή, όταν κατά τη διάρκεια της καθημερινής χρήσης παρουσιάσει κάποια δυσλειτουργία.
Τα συγκεκριμένα αρχεία παραμένουν στη συσκευή, ώστε να μπορούν μελλοντικά να ερευνηθούν και να γίνει διάγνωση του προβλήματος.
Υπήρχαν δέκα τέτοια στο iPhone του Ανδρουλάκη και ερευνήθηκαν όλα από τους τεχνικούς της υπηρεσίας. Ήταν «καθαρά» και χωρίς ένδειξη μόλυνσης.
Το τελικό πόρισμα, συντάχθηκε στις 11 Ιουλίου και ξεκαθαρίζει πως υπήρξε χωρίς αμφιβολία προσπάθεια εγκατάστασης του Predator στο κινητό.
Δηλαδή τον Ανδρουλάκη τον είχαν παγιδέψει με όλους τους τρόπους: Και απ’ευθείας η ΕΥΠ με τη νομότυπη παρακολούθηση και προσπάθησαν μέσω του Predator!
Ας δούμε τις πλαστές σελίδες ανά κατηγορία:
ΜΕΓΑΛΗΣ ΕΠΙΣΚΕΨΙΜΟΤΗΤΑΣ ΕΙΔΗΣΕΟΓΡΑΦΙΚΕΣ-ΠΟΛΙΤΙΚΕΣ
Για το pronews.gr χρησιμοποιούσαν τα:
pronews.gr.com
pro-news.gr
Για το protothema.gr χρησιμοποιούσαν το
protothema.live
Για το kathimerini.gr χρησιμοποιούσαν το
Kathimerini.news
Αντίστοιχα χρησιμοποιούσαν και τις εξής πλαστές ιστοσελίδες:
tovima.live
zougla.gr.com
zougla.news
cnn.gr.com
news beast.gr.com
efsyn.onlin
altsantiri.news
enikos.news
ΓΙΑ ΟΙΚΟΝΟΜΙΚΟΥ ΠΕΡΙΕΧΟΜΕΝΟΥ ΣΤΟΧΟΥΣ
adservices.gr.com
bi. tly.gr.com
ΓΙΑ ΔΙΚΑΣΤΙΚΟΥ ΠΕΡΙΕΧΟΜΕΝΟΥ ΘΕΜΑΤΑ
blogspot.edolio5.com
ΓΙΑ ΤΟΝ ΧΩΡΟ ΤΟΥ ΑΥΤΟΚΙΝΗΤΟΥ
ferrari.gr.com
bmw.gr.com
citroen.gr.com
nissan.gr.com
suzuki.gr.com
ΓΙΑ ΘΕΜΑΤΑ ΟΜΟΓΕΝΕΙΑΣ ΚΑΙ ΗΠΑ ΚΑΙ ΑΛΛΕΣ ΕΙΔΗΣΕΙΣ
fimes.gr.com
flash.gr.com
heiiasjournai.com
hellasjournal.company
hellasjournal.website
hempower.shop
inews.gr.com
insider.gr.com
crash on Iine.site
ebill.cosmote.center
itcgr.live
ΣΕΛΙΔΕΣ ΜΕ ΓΕΝΙΚΕΣ Ή GOSSIP ΕΙΔΗΣΕΙΣ
koulouri.live
kranos.gr.com
live24.gr.com
nassosblog.gr.com
ereportaz.news
espressonews.gr.com
ΓΙΑ ΒΟΥΛΕΥΤΕΣ & ΠΟΛΙΤΙΚΟΥΣ ΣΥΝΤΑΚΤΕΣ
vouliwatch.gr.com
ΔΙΑΦΟΡΕΣ ΑΛΛΕΣ ΙΣΤΟΣΕΛΙΔΕΣ:
onlineservices.gr.com
orchomenos.news
paok-24.com
politika.bid
sepenet.gr.com
stonisi.news
tiny.gr.com
tly.gr.com
ube.gr.com
viva.gr.com
yout.ube.gr.com
youtube.gr.live
insurance.gr.com
Να σημειώσουμε, ότι την πρώτη βασική έρευνα την έκαναν οι δημοσιογράφοι Τάσος Τέλλογλου και Ελίζα Τριανταφύλλου, με τη βοήθεια δύο εξειδικευμένων τεχνικών στήθηκε ένας ιστός με σκοπό να μολύνει κινητά τηλέφωνα υποψήφιων στόχων με ένα σύγχρονο λογισμικό κατασκοπίας με την ονομασία Predator (αρπακτικό), όπως έγινε στην περίπτωση του δημοσιογράφου Θανάση Κουκάκη.
Αποκάλυψαν ότι τον Ιούλιο του 2020, αγοράζονται τα πρώτα δύο domain-παγίδα με σκοπό να αποσταλούν από αγνώστους σε υποψήφιους στόχους παρακολούθησης, συνοδευόμενα από ένα προσωποποιημένο μήνυμα προκειμένου να τους παρακινήσουν να πατήσουν πάνω στο ψευδεπίγραφο link και να μολύνουν εν αγνοία τους το κινητό τους.
Ανάμεσά τους, όπως προείπαμε και μία παραλλαγή του pronews.gr, το οποίο έχει την ονομασία pronews.gr.com!
Με βάση την ανάλυση του εξειδικευμένου τεχνικού, υπάρχουν κάποιοι κομβικοί μήνες στην οικοδόμηση αυτού του πλέγματος από domains.
Τα περισσότερα (συνολικά 11) στήθηκαν τον Σεπτέμβριο του 2020, επτά τον Οκτώβριο της ίδιας χρονιάς και από πέντε τον Ιανουάριο, τον Μάρτιο και τον Οκτώβριο του 2021.
Η δράση της ΕΥΠ
Η ΕΥΠ διαθέτει ιδιαίτερα σύγχρονη τεχνολογία παρακολούθησης στη διάθεσή με την παραλαβή ειδικού εξοπλισμού μετά το 2019.
Ένα από τα συστήματα παρακολούθησης κόστισε αρκετά εκατομμύρια ευρώ και έχει δυνατότητα παρακολούθησης 3.000 τηλεφώνων, που βρίσκονται σε απόσταση 20 χιλιομέτρων.
Εκτός από τηλεφωνικές συνδιαλέξεις κινητών και σταθερών έχει τη δυνατότητα να υποκλέπτει εικόνα, MMS, φαξ, e-mail και τηλεδιασκέψεις. Το σύστημα αγοράστηκε από γερμανική εταιρεία.
Αντιλαμβάνεστε τι γίνεται, έτσι;
Δεν υπάρχουν σχόλια