Έναν κολοσσιαίο «ιστό» πλαστών domains δημιούργησε το παρακράτος και έστησε η κυβέρνηση με το οποίο πέτυχε να παγιδεύσει και να παρακολουθήσει τον μεγαλύτερο αριθμό κινητών τηλεφώνων που έχει γίνει ποτέ στην ευρωπαϊκή ιστορία.

">

Από τον μηχανισμό αυτόν δεν διέφυγε ούτε ο ανεξάρτητος ελληνικός δημοσιογραφικός οργανισμός του DNM Group (pronews.gr, defencenet.gr, ΣΤΡΑΤΗΓΙΚΗ κλπ,) αλλά και τα ίδια τα κορυφαία στελέχη του.

Όπως έχει αποκαλυφθεί, είχε δημιουργηθεί από την ΕΥΠ σε συνεργασία με μία ομάδα Ισραηλινών στην Τσεχία η πλαστή ιστοσελίδα pronews.gr.com, την οποία χρησιμοποιούσαν για να «φυτεύουν» το Predator (μαζί με αρκετές άλλες ιστοσελίδες, όπως θα διαβάσετε στο ρεπορτάζ).

Αυτό έγινε σε συνέχεια μιας άλλης πλαστής σελίδας που έχει πλαστογραφήσει το κανονικό pronews.gr (λογότυπο, ειδήσεις κλπ) με το » πονηρό» domain pro-news.gr, (μία “-“ στη μέση του τίτλου για να ξεγελούν τους ανύποπτους αναγνώστες) η οποία εμφανιζόταν ως… γνήσιο pronews.gr και αποσπά ηλεκτρονικές διευθύνσεις (RSS) από χιλιάδες αναγνώστες.

Επίσης είχε παγιδευτεί για δύο εβδομάδες τουλάχιστον, το κινητό τηλέφωνο του εκδότη του DNM Group, Tάσου Γκουριώτη, τον περσινό Οκτώβριο. Η παγίδευση εντοπίστηκε σε έλεγχο ασφαλείας μετά από διαπιστωμένη διαρροή στοιχείων που περιέχονταν στα αρχεία του κινητού!

Ο εκδότης είχε επιλέξει να μην δημοσιοποιήσει την υπόθεση, προκειμένου, όπως τον είχαν διαβεβαιώσει οι διωκτικές αρχές: «Να διευκολυνθεί η έρευνα και η σύλληψη των υπαιτιών».

Από την μέχρι στιγμής έρευνα του pronews.gr και τριών ειδικών στους οποίους απευθυνθήκαμε τα συμπεράσματα σε ότι αφορά τον τρόπο παρακολούθησης μας ή χρήσης παρόμοιου domain-δολώματος για να μπορούν να παγιδεύουν τα τηλέφωνα των στόχων, ήταν τα εξής:

  • «Νόμιμες» ή για να είμαστε ακριβέστεροι, νομότυπες «επίσημες» επισυνδέσεις δηλαδή οργανικές παρακολουθήσεις της ΕΥΠ
  • Χρήση spyware Predator, επίσης από την ΕΥΠ. Και ας λένε ότι δεν έχει αγοράσει η ΕΥΠ το Predator. Η ΕΥΠ με τα μυστικά κονδύλια, έχει αγοράσει και το Predator και άλλα τουλάχιστον δύο συστήματα παρακολουθήσεων. Κατ’αρχήν λόγω κόστους αγοράς είναι αδύνατον να το είχε προμηθευτεί ιδιώτης. Υπάρχει μία εγκατάσταση της ΕΥΠ δίπλα στην ΣΔΑΜ στην Αγία Παρασκευή και εκεί γίνονται όλα τα «βρώμικα» κόλπα. Πώς λειτουργούσε -και λειτουργεί- το Predator: Έβαζαν ως «δόλωμα» ειδήσεις πλαστών ιστοσελίδων με ελαφρά παραποιημένα domain, όπως του pronews.gr.com, ο χρήστης πατούσε επάνω στο link που του έστελναν και αυτομάτως χωρίς να το καταλάβει, επέτρεπε την είσοδο του Predator στο κινητό του!
  • εγκατάσταση σύνδεσης-καθρέφτη μέσα στο κινητό του χρήστη! Με την σύνδεση ενός δεύτερου αριθμού μπορούσαν να μπαίνουν οριζοντίως όχι μόνο στις εφαρμογές, αλλά και σε όλες τις λειτουργίες του κινητού.

Τα στοιχεία που έρχονται στο φως δεν αφήνουν κανένα περιθώριο αμφισβήτησης και κανένα περιθώριο αμφιβολίας του τι συνέβαινε.

Βάσει των στοιχείων της Αρχής Διασφάλισης του Απορρήτου Επικοινωνιών (ΑΔΑΕ) έγιναν μόνο στα έτη 2019 και 2020 πάνω από 25.000 «επισυνδέσεις» για λόγους εθνικής ασφάλειας κατόπιν αντίστοιχων εισαγγελικών παραγγελιών.

Σε αυτές δεν περιλαμβάνονται οι παρακολουθήσεις μέσω Predator, ούτε με την μέθοδο «εμφύτευσης» άλλου αριθμού που σάρωνε το εσωτερικό των συσκευών, υποκλέπτοντας μηνύματα, φωτογραφίες, κωδικούς, επαφές κλπ.

Κατ’αρχήν να δούμε τι επιτυγχάνει το Predator.

Βασικά μετατρέπει  μετατρέπει το κινητό σε εξελιγμένη συσκευή παρακολούθησης:

  • Είναι ένα εργαλείο παρακολούθησης που προσφέρει στον χειριστή του πλήρη και διαρκή πρόσβαση στην κινητή [τηλεφωνική] συσκευή του στόχου. Το Predator επιτρέπει στον χειριστή να κάνει εξαγωγή μυστικών κωδικών [passwords], αρχείων, φωτογραφιών, ιστορικού περιήγησης στο διαδίκτυο, επαφών καθώς επίσης και δεδομένων ταυτότητας (όπως πληροφορίες για την κινητή συσκευή.
  • Το Predator μπορεί να τραβήξει στιγμιότυπα οθόνης [screen captures], να καταγράφει τις καταχωρήσεις του χρήστη [στο κινητό του], καθώς επίσης μπορεί να ενεργοποιεί το μικρόφωνο και την κάμερα της συσκευής. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να παρακολουθούν οποιαδήποτε ενέργεια πραγματοποιείται μέσω συσκευής ή κοντά σε αυτήν, όπως τις συνομιλίες που γίνονται μέσα σε ένα δωμάτιο.
  • Επιτρέπει επίσης στον χειριστή του να καταγράφει γραπτά μηνύματα που αποστέλλονται ή λαμβάνονται, συμπεριλαμβανομένων αυτών που στέλνονται μέσω «κρυπτογραφημένων εφαρμογών» ή εφαρμογών που επιτρέπουν την εξαφάνιση των μηνυμάτων, όπως είναι το WhatsApp ή το Telegram καθώς επίσης απλών και VoIP τηλεφωνικών κλήσεων (συμπεριλαμβανομένων τηλεφωνικών συνομιλιών μέσω “κρυπτογραφημένων” εφαρμογών)».

Με άλλα λόγια, αυτοί που έχουν μολύνει το κινητό ενός στόχου μπορούν να παρακολουθούν από προσωπικές στιγμές του ατόμου με την οικογένεια και τους κοντινούς του ανθρώπους, μέχρι εμπιστευτικές επαγγελματικές συνομιλίες.

Πώς εγκαθιστούσαν το Predator

Τον Ιούλιο του 2020, αγοράζονται τα πρώτα δύο domain-παγίδα με σκοπό να αποσταλούν από αγνώστους σε υποψήφιους στόχους παρακολούθησης του Pretador, συνοδευόμενα από ένα προσωποποιημένο μήνυμα προκειμένου να τους παρακινήσουν να πατήσουν πάνω στο ψευδεπίγραφο link και να μολύνουν εν αγνοία τους το κινητό τους.

Όπως έγινε στην περίπτωση της ομολογούμενης πλέον παρακολούθησης του δημοσιογράφου Θανάση Κουκάκη, όπου χρησιμοποίησαν το πρώτο πλαστό domain με αναγραμματισμό της δικαστικού περιεχομένου ιστοσελίδας edolio5.blogspot.com, σε blogspot.edolio5.com, όπου του έστειλαν σε email με λογισμικό παρακολούθηση και το ίδιο έκαναν και στον πρόεδρο του ΠΑΣΟΚ ΚΙΝΑΛ Νίκο Ανδρουλάκη, στέλνοντας του το ίδιο email αλλά αυτός δεν το άνοιξε σε αντίθεση με τον δημοσιογράφο Θ.Κουκάκη.

Στη λίστα των ψεύτικων domain, πρώτη θέση με διαφορά έχουν παραλλαγές ειδησεογραφικών ιστοσελίδων, θεματικών ιστοσελίδων, εμπορικών σελίδων κλπ. τα οποία στέλνονταν σε στόχους που είχαν συγκεκριμένα ενδιαφέροντα: Π.χ. το pronews.gr.com, το έστελναν σε «στόχους» που θεωρούσαν ότι είχαν αυξημένο ενδιαφέρον για το παρασκήνιο της πολιτικής, τα κυβερνητικά σκάνδαλα, την γεωστρατηγική, τα εξοπλιστικά θέματα κλπ.

Οι χρήστες κινητών-στόχοι ελάμβαναν ένα μήνυμα: «Κοίτα να δεις τι αποκαλύπτει το pronews.gr (.com)» και όσοι δεν πρόσεχαν ότι είχε προστεθεί το .com, το άνοιγαν και αυτομάτως κατέβαζαν το Predator στο κινητό τους και ξεκινούσε η παρακολούθησή τους!

Η ημερομηνία «στησίματος» του κάθε domain –που έγινε σύμφωνα με πληροφορίες του inside story από μία μικρή πόλη της Τσεχίας, όπου εργάζεται ένας Ισραηλινής καταγωγής «μηχανικός» για τη δουλειά αυτή– προκύπτει από το πότε κατοχυρώθηκε το κάθε domain ή εναλλακτικά από το πότε εκδόθηκε το πιστοποιητικό του (domain certificate).

Τα δε links που αποστέλλονται, με βάση πληροφορίες του inside story στήνονται σε συνεργασία με τον άνθρωπο στην Τσεχία, αλλά όπως αναφέρουν οι δικές μας πληροφορίες η βάση όλα δείχνουν ότι ήταν το «υποκατάστημα» της ΕΥΠ στην Γραβιάς 4 της Αγίας Παρασκευής.

Από την κοινή αρχιτεκτονική των πλαστών site, αλλά και τη διαφήμιση των μολύνσεων στο δημόσια προσβάσιμο υλικό της εταιρείας, προκύπτει ότι η δημιουργία του λογισμικού και η διείσδυση στη συσκευή (μόλυνση) πωλούνται ως ενιαία υπηρεσία και κοστίζουν πολλά εκατομμύρια ευρώ (περίπου δέκα).

Τα domain, nissan.gr[.]com, bmw.gr[.]com και suzuki.gr[.]com τα έστελναν σε οικονομικούς στόχους που ήξεραν ότι τους ενδιέφερε η κίνηση στην αγορά αυτοκινήτου.

Στον κατάλογο εμφανίζονται και κάποιες ιστοσελίδες πιο εστιασμένες γεωγραφικά, όπως το orchomenos.news, το politika[.]bid (μοιάζει με το politikalesvos[.]gr) και stonisi[.]news., που τα έστελναν σε άτομα με καταγωγή ή οικονομικά-πολιτικά ενδιαφέροντα από αυτές τις περιοχές.

Ιστοσελίδες με αθλητικού περιεχομένου θέματα π.χ. το paok-24[.]com (η μοναδική αθλητική ομάδα του καταλόγου) την έστελναν σε παράγοντες της Βορείου Ελλάδος.

Ένα από τα site που παραποιήθηκαν για να ξεγελάσουν τους εν δυνάμει στόχους είναι και το kranosgr.com (που το έκαναν kranos.gr[.]com), μια ενημερωτική ιστοσελίδα που απευθύνεται σε στελέχη των ελληνικών ενόπλων δυνάμεων και σωμάτων ασφαλείας, με τα οποία παγίδευαν στρατιωτικούς!

Στο πλέγμα των ψεύτικων domains υπάρχουν και αρκετά που παραπέμπουν σε πολύ γνωστούς παρόχους υπηρεσιών, όπως για παράδειγμα η Viva (viva[.]gr[.]com), η Cosmote (ebill[.]cosmote[.]center ​), η Uber (ube[.]gr[.]com) και το youtube (youtube[.]gr[.]live).

Το μήνυμα, που στάλθηκε στις 21 Σεπτεμβρίου 2021, στον Ανδρουλάκη έγραφε, «Να δούμε λίγο σοβαρά το θέμα φίλε, έχουμε να κερδίσουμε» και συνοδευόταν από ένα λινκ, το οποίο ο Ανδρουλάκης λέει ότι δεν πάτησε.

Το link ήταν ο αναγραμματισμός του edolio5.blogspot.com, που του έστειλαν από υπαρκτό κινητό μιας γυναίκας που φυσικά δεν το γνώριζε!

Είναι προφανές ότι αυτοί που το έκαναν χρησιμοποίησαν μία τυχαία συνδρομήτρια, στα απεσταλμένα μηνύματα της οποίας δεν εμφανίστηκε ποτέ το SMS-δόλωμα.

Ο έλεγχος στο κινητό του Ανδρουλάκη έγινε από την Υπηρεσία Ψηφιακής Ασφάλειας (CERT) του Ευρωπαϊκού Κοινοβουλίου. Το τετρασέλιδο πόρισμα , περιγράφει λεπτομερώς τη διαδικασία ελέγχου και φέρει τον τίτλο «Έλεγχος ρουτίνας: Κρίσιμη ανίχνευση».

Το CERT λέει ότι πραγματοποιήθηκαν τρεις έλεγχοι στη συσκευή του προέδρου του ΠΑΣΟΚ.

Στις 28 Ιουνίου 2022, υπήρξε η πρώτη ενημέρωση για τον εντοπισμό του ύποπτου μηνύματος, μετά τον προληπτικό έλεγχο που έγινε στις Βρυξέλλες από τη Διεύθυνση Πληροφορικής του Ευρωπαϊκού Κοινοβουλίου.

Το γραπτό μήνυμα που έχει σταλεί στις 14:01 της 21ης Σεπτεμβρίου 2021, περιείχε τον σύνδεσμο “blogspot.edolio5.com”, ήταν δηλαδή ένας αναγραμματισμός, του “edolio5.blogspot.com”. Ωστόσο αυτός ο σύνδεσμος δεν οδηγούσε σε κάποια ιστοσελίδα. Ήταν συνδεδεμένος με το λογισμικό κατασκοπίας Predator.

Μετά τον εντοπισμό, η Υπηρεσία Ψηφιακής Ασφάλειας παρέλαβε τη συσκευή, δημιούργησε ψηφιακό αντίγραφό της και ανέλαβε τον δεύτερο διαγνωστικό έλεγχο. Σε αυτόν ερευνήθηκε το κατά πόσο το λογισμικό κατασκοπίας εγκαταστάθηκε τελικά στη συσκευή.

Η σάρωση του κινητού επιβεβαίωσε ότι ο Νίκος Ανδρουλάκης δεν είχε πατήσει ποτέ τον σύνδεσμο, επομένως απέτρεψε την εγκατάσταση του Predator, αλλά αυτό δεν τον έσωσε:

Την Τετάρτη 6 Ιουλίου 2022, πραγματοποιήθηκε η τρίτη και τελευταία σάρωση στη συσκευή. Αυτήν τη φορά ερευνήθηκαν τα αρχεία καταγραφής σφαλμάτων. Πρόκειται για αρχεία που δημιουργούνται αυτόματα σε μια συσκευή, όταν κατά τη διάρκεια της καθημερινής χρήσης παρουσιάσει κάποια δυσλειτουργία.

Τα συγκεκριμένα αρχεία παραμένουν στη συσκευή, ώστε να μπορούν μελλοντικά να ερευνηθούν και να γίνει διάγνωση του προβλήματος.

Υπήρχαν δέκα τέτοια στο iPhone του Ανδρουλάκη και ερευνήθηκαν όλα από τους τεχνικούς της υπηρεσίας. Ήταν «καθαρά» και χωρίς ένδειξη μόλυνσης.

Το τελικό πόρισμα, συντάχθηκε στις 11 Ιουλίου και ξεκαθαρίζει πως υπήρξε χωρίς αμφιβολία προσπάθεια εγκατάστασης του Predator στο κινητό.

Δηλαδή τον Ανδρουλάκη τον είχαν παγιδέψει με όλους τους τρόπους: Και απ’ευθείας η ΕΥΠ με τη νομότυπη παρακολούθηση και προσπάθησαν μέσω του Predator!

Ας δούμε τις πλαστές σελίδες ανά κατηγορία:

ΜΕΓΑΛΗΣ ΕΠΙΣΚΕΨΙΜΟΤΗΤΑΣ ΕΙΔΗΣΕΟΓΡΑΦΙΚΕΣ-ΠΟΛΙΤΙΚΕΣ

Για το pronews.gr χρησιμοποιούσαν τα:

pronews.gr.com

pro-news.gr

Για το protothema.gr χρησιμοποιούσαν το

protothema.live

Για το kathimerini.gr χρησιμοποιούσαν το

Kathimerini.news

Αντίστοιχα χρησιμοποιούσαν και τις εξής πλαστές ιστοσελίδες:

tovima.live

zougla.gr.com

zougla.news

cnn.gr.com

news beast.gr.com

efsyn.onlin

altsantiri.news

enikos.news

ΓΙΑ ΟΙΚΟΝΟΜΙΚΟΥ ΠΕΡΙΕΧΟΜΕΝΟΥ ΣΤΟΧΟΥΣ

adservices.gr.com

bi. tly.gr.com

ΓΙΑ ΔΙΚΑΣΤΙΚΟΥ ΠΕΡΙΕΧΟΜΕΝΟΥ ΘΕΜΑΤΑ

blogspot.edolio5.com

ΓΙΑ ΤΟΝ ΧΩΡΟ ΤΟΥ ΑΥΤΟΚΙΝΗΤΟΥ

ferrari.gr.com

bmw.gr.com

citroen.gr.com

nissan.gr.com

suzuki.gr.com

ΓΙΑ ΘΕΜΑΤΑ ΟΜΟΓΕΝΕΙΑΣ ΚΑΙ ΗΠΑ ΚΑΙ ΑΛΛΕΣ ΕΙΔΗΣΕΙΣ

fimes.gr.com

flash.gr.com

heiiasjournai.com

hellasjournal.company

hellasjournal.website

hempower.shop

inews.gr.com

insider.gr.com

crash on Iine.site

ebill.cosmote.center

itcgr.live

ΣΕΛΙΔΕΣ ΜΕ ΓΕΝΙΚΕΣ Ή GOSSIP ΕΙΔΗΣΕΙΣ

koulouri.live

kranos.gr.com

live24.gr.com

nassosblog.gr.com

ereportaz.news

espressonews.gr.com

ΓΙΑ ΒΟΥΛΕΥΤΕΣ & ΠΟΛΙΤΙΚΟΥΣ ΣΥΝΤΑΚΤΕΣ

vouliwatch.gr.com

ΔΙΑΦΟΡΕΣ ΑΛΛΕΣ ΙΣΤΟΣΕΛΙΔΕΣ:

onlineservices.gr.com

orchomenos.news

paok-24.com

politika.bid

sepenet.gr.com

stonisi.news

tiny.gr.com

tly.gr.com

ube.gr.com

viva.gr.com

yout.ube.gr.com

youtube.gr.live

insurance.gr.com

Να σημειώσουμε, ότι την πρώτη βασική έρευνα την έκαναν οι δημοσιογράφοι Τάσος Τέλλογλου και Ελίζα Τριανταφύλλου, με τη βοήθεια δύο εξειδικευμένων τεχνικών απέδειξαν πώς στήθηκε ο ιστός με σκοπό να μολύνει κινητά τηλέφωνα υποψήφιων στόχων με ένα σύγχρονο λογισμικό κατασκοπίας με την ονομασία Predator (αρπακτικό), όπως έγινε στην περίπτωση του δημοσιογράφου Θανάση Κουκάκη.

Αποκάλυψαν ότι τον Ιούλιο του 2020, αγοράζονται τα πρώτα δύο domain-παγίδα με σκοπό να αποσταλούν από αγνώστους σε υποψήφιους στόχους παρακολούθησης, συνοδευόμενα από ένα προσωποποιημένο μήνυμα προκειμένου να τους παρακινήσουν να πατήσουν πάνω στο ψευδεπίγραφο link και να μολύνουν εν αγνοία τους το κινητό τους.

Ανάμεσά τους, όπως προείπαμε και μία παραλλαγή του pronews.gr, το οποίο έχει την ονομασία pronews.gr.com!

Με βάση την ανάλυση του εξειδικευμένου τεχνικού, υπάρχουν κάποιοι κομβικοί μήνες στην οικοδόμηση αυτού του πλέγματος από domains.

Τα περισσότερα (συνολικά 11) στήθηκαν τον Σεπτέμβριο του 2020, επτά τον Οκτώβριο της ίδιας χρονιάς και από πέντε τον Ιανουάριο, τον Μάρτιο και τον Οκτώβριο του 2021.

Η δράση της ΕΥΠ

Η ΕΥΠ διαθέτει ιδιαίτερα σύγχρονη τεχνολογία παρακολούθησης στη διάθεσή με την παραλαβή ειδικού εξοπλισμού μετά το 2019.

Ένα από τα συστήματα παρακολούθησης κόστισε αρκετά εκατομμύρια ευρώ και έχει δυνατότητα παρακολούθησης 3.000 τηλεφώνων, που βρίσκονται σε απόσταση 20 χιλιομέτρων.

Εκτός από τηλεφωνικές συνδιαλέξεις κινητών και σταθερών έχει τη δυνατότητα να υποκλέπτει εικόνα, MMS, φαξ, e-mail και τηλεδιασκέψεις. Το σύστημα αγοράστηκε από γερμανική εταιρεία.

Μια φωτογραφία χίλιες λέξεις: Ακολούθησε το pronews.gr στο Instagram για να «δεις» τον πραγματικό κόσμο!

Αντιλαμβάνεστε τι γίνεται, έτσι;