Dalle indagini hi-tech al mercato dei criptofonini: retroscena della maxiretata Encrochat contro la criminalità
12 min letturaC’erano anche delle celle per prigionieri e delle camere di tortura, fra i materiali sequestrati. Sette container marittimi in un paesino vicino a Roosendaal, nei Paesi Bassi, che erano stati modificati per diventare delle prigioni segrete, una delle quali aveva anche manette appese al soffitto, una sedia inchiodata, pannelli per l’insonorizzazione, e vari strumenti. Secondo la polizia, sarebbero servite a seviziare membri di gang rivali. Ma si tratta della punta dell’iceberg. Un iceberg che si chiama Encrochat e contro cui una parte della criminalità organizzata europea è andata a sbattere e ad affondare.
Telefonini “inattaccabili”
Encrochat è il nome della società che vendeva un servizio di comunicazione “sicuro” basato su dei criptofonini - smartphone modificati nel software e nell’hardware per essere impossibili da hackerare/intercettare/violare - i cui messaggi cifrati venivano instradati attraverso i server della stessa azienda, sparsi per il mondo. Telefoni venduti come ultrasicuri, che permettevano anche di cancellare tutto con un PIN, di caricare un sistema operativo “schermo”, civetta, e dall’aria innocua, che nascondeva quello usato per comunicare in segreto. In pratica sono dispositivi con sistema Android ma personalizzati, privati di videocamera, microfono e GPS, e con preinstallati dei software per scambiarsi messaggi cifrati basati su OTR, un noto protocollo crittografico per messaggistica istantanea. Messaggi che poi venivano instradati attraverso i server della società, presentati come “offshore”, e che non creavano o conservavano chiavi o messaggi degli utenti. Venduti a mille euro da una rete di reseller sparsi da Amsterdam a Dubai, prevedevano anche un abbonamento di 1500 euro per sei mesi.
Un sistema apparentemente blindatissimo e che invece è stato violato dalla polizia francese e olandese, al punto da intercettare ben 100 milioni di messaggi cifrati, inviati da oltre 50mila utenti. Di questi, secondo le autorità francesi, la maggior parte (il 90%) era criminale. Si tratta probabilmente dell’operazione più sofisticata, dal punto di vista informatico, condotta in Europa contro la criminalità. O comunque l’indagine con l’impatto più forte.
L’attacco della polizia
L’attacco è andato avanti in segreto fra aprile e giugno, quando la società si è accorta che qualcosa non andava, e che su alcuni dispositivi era presente un malware, e ha allertato i clienti: “Non siamo più in grado di garantire la sicurezza del dispositivo, eliminatelo”, diceva il messaggio inviato. Intanto però partivano i blitz - in realtà andavano avanti già da un po’, in sordina - in tutta Europa, anche se concentrati fra Francia, Olanda e Gran Bretagna. Di questi paesi, al centro dell’azione contro Encrochat, abbiamo alcuni numeri. Sono frammentati, perché poi ogni Stato ha indagato internamente i risultati di quanto intercettato con una propria operazione (con tanto di nome in codice), mettendo in piedi task force dedicate di centinaia di persone.
Le retate
E quindi in Gran Bretagna abbiamo l’operazione Venetic: 746 sospettati arrestati; 54 milioni di sterline in cash sequestrati, oltre a 77 armi da fuoco, incluso un fucile d’assalto AK47, pistole, migliaia di munizioni; due tonnellate di droghe di classe A (eroina, cocaina, ecstasy, LSD) e B (speed, cannabis, ketamina, mefedrone, alcune anfetamine), 28 milioni di pillole di Etizolam (un potente ansiolitico, noto anche come Valium di strada) prodotte da un laboratorio illegale, 55 vetture di valore e 73 orologi di lusso.
Nei Paesi Bassi abbiamo l’operazione 26Lemont: qui centinaia di investigatori hanno seguito le comunicazioni di migliaia di criminali e hanno arrestato cento sospettati, hanno sequestrato oltre 8mila kg di cocaina e 1200 di metanfetamina in cristalli, hanno smantellato 19 laboratori di droghe sintetiche, dozzine di armi da fuoco automatiche, orologi dispendiosi, 25 auto, inclusi veicoli con compartimenti nascosti, e 20 milioni di euro in cash.
In Francia le autorità non danno informazioni sui risultati dei blitz e hanno bocche cucite sui dettagli. Il motivo è che la Francia ha avuto la regia, anche giudiziaria, dell’operazione. Qui è partita l’indagine nel 2017 dopo che alcuni di questi criptofonini erano stati sequestrati a gruppi criminali. Alla fine del 2018 la svolta: i francesi identificano dei server in Francia, a Lille. Parte dunque l’operazione Emma 95, guidata dalla Gendarmerie e dal procuratore di Lille Carole Etienne, con 60 persone dedicate. E con l’intervento dell’unità specializzata sul cybercrimine degli olandesi, che hanno dato un contributo decisivo a livello tecnico, insieme al coordinamento di Europol, l’agenzia Ue di lotta al crimine e Eurojust, l’agenzia europea per la cooperazione giudiziaria.
Interrogativi e ruolo dell’Italia
«Questo è uno di quei casi in cui non possiamo condividere dettagli, almeno per ora», dicono a Valigia Blu da Europol. «Le autorità giudiziarie francesi hanno dato rigide linee guida su quello che può o non può essere condiviso pubblicamente».
Ad esempio, non sappiamo se gli amministratori di Encrochat siano stati indagati e, nel caso, individuati. Non sappiamo quanto l’indagine abbia avuto effetti su altri paesi.
Sappiamo che molti contenuti intercettati sono stati condivisi con altri Stati, in primo luogo la Gran Bretagna, ma anche Svezia e Norvegia. Nei comunicati non appare l’Italia e non è chiaro quanto e come abbia inciso l’operazione nel nostro paese. C’è stata condivisione di informazioni? Ci sono stati raid o sequestri collegati? Qualche spunto è arrivato anche da lì? O siamo stati tagliati fuori? Valigia Blu ha chiesto un commento al Servizio centrale operativo della polizia, ma al momento della pubblicazione non aveva ancora ricevuto risposte.
Di certo, a quanto risulta a Valigia Blu, quei criptofonini erano usati anche da noi. Lo conferma una fonte investigativa italiana che preferisce non essere citata: «Encrochat era molto usato anche in Italia, ne ho avuti diversi per le mani di quegli apparecchi, ed erano un bel casino».
Ne ha visti anche uno dei più noti e autorevoli consulenti di informatica forense, Mattia Epifani. «Negli ultimi 3-4 anni l’uso di questa tipologia di cellulari è cresciuto», spiega Epifani a Valigia Blu. «Dal punto di vista tecnico, usano un modello, come il BQ Aquaris X2 (prodotto da una società spagnola che nulla c’entra ovviamente, ndr), su cui possono fare una customizzazione, una personalizzazione completa. Disattivano tutti i canali di comunicazione; per esempio la porta Usb carica e basta; non puoi mettere il telefono in modalità recovery o download in modo da eliminare una possibile modalità di accesso forense al telefono (che sfrutta eventuali vulnerabilità di quella funzione); non puoi metterci schede SD o usare la videocamera. In pratica sopra hai una sola app con cui comunichi, via chat o chiamata, con varie opzioni di autodistruzione sia sulla singola chat sia sull’intero telefono».
Le indagini su Encrochat
I telefoni Encrochat erano nel mirino da tempo. Addirittura erano finiti, un po’ obliquamente, sui media inglesi già nel 2018, quando in un tribunale di Liverpool era stato individuato il presunto killer di altri due noti gangster inglesi. Gli investigatori gli avevano sequestrato un criptofonino, ovvero un telefono personalizzato sia nell’hardware sia nel software per comunicare in modo sicuro e a prova di intercettazioni: era un modello modificato di Aquaris X fornito da Encrochat. “Perché questi apparecchi interessano ai criminali?”, aveva dichiarato il procuratore inglese. “Perché possono caricare due sistemi diversi. Quando schiacci il pulsante di accensione, il telefono carica un sistema Android standard sullo schermo. Ma quando si schiaccia il pulsante di accensione assieme a quello del volume, il telefono carica una partizione nascosta e cifrata, che facilita la comunicazione segreta. Inoltre, senza una password, il contenuto del dispositivo non può essere decifrato”. Il killer, in quel caso, era stato tradito non dallo smatphone ma da un fitness tracker, quegli orologi che si indossano per misurare l’attività fisica, che ne aveva rivelato la geolocalizzazione.
Gli inglesi sospettavano da tempo che gruppi di criminalità organizzata usassero i telefoni Encrochat per il traffico di droga, armi ed esseri umani e per coordinare le proprie attività, inclusi i regolamenti di conti fra bande.
Le società già indagate
Non è la prima volta che un servizio del genere entra nell’orbita delle forze dell’ordine. Il mercato dei criptofonini negli ultimi anni è stato contrassegnato da alcune aziende che venivano accusate di essere di fatto colluse con i criminali o di fare profitti coscientemente e volutamente su quella tipologia di clienti. Non è per il fatto di fornire uno strumento di comunicazione giudicato di per sé, a torto o a ragione, “più sicuro” della media. La distinzione, dal punto di vista degli investigatori, è tra offrire un servizio di quel tipo orientato alla privacy o alla sicurezza ma commercializzato in modo generico e trasparente, in cui tra gli utenti possono anche esserci persone che fanno illeciti, e tra commercializzare un servizio orientato esplicitamente a criminali. Distinzione difficile da fare? Dipende dai casi, e ora ne vedremo alcuni.
Il punto è che alcune di queste società in passato si sono mosse in una zona grigia, hanno nascosto la loro proprietà o dirigenza, hanno distribuito i loro prodotti attraverso reti di rivenditori che spesso vendevano per strada e in contanti, ma non si facevano scrupolo anche quando sembravano sapere esattamente da chi stavano prendendo soldi. In almeno un caso, la gestione di una di queste aziende era proprio in mano a criminali. Ma quasi tutte hanno fatto una brutta fine.
Come Phantom Secure. Vendeva telefoni Android e Blackberry modificati, con microfono e GPS rimossi e programmi di cifratura per comunicare. Secondo le autorità, 7mila di questi dispositivi erano usati da criminali al momento dell’arresto del fondatore della società, Vincent Ramos, nel 2019. Ramos è un 41enne canadese e viene condannato a nove anni (l’accusa ne aveva chiesto 20) per aver assistito la criminalità organizzata nella distribuzione del traffico di droga e altre attività illecite. Gli sequestrano 80 milioni di dollari di profitti illeciti. A inchiodarlo più di tutto è stato un messaggio che lui stesso ha mandato ai suoi collaboratori in cui si vantava di aver appena chiuso un profittevole accordo col cartello di Sinaloa, in Messico, nel 2018. “Siamo ricchi da far schifo, amico, spero che lo apprezzerai... Prenditi quella fottuta Range Rover nuova di zecca. Perché ho appena concluso un bel po’ di affari. Questa settimana, amico. Sinaloa Cartel”. Il cartello di Sinaloa, la spietata organizzazione che più ha dominato il narcotraffico globale.
Di un altro fornitore di criptofonini, MPC, è emerso che era direttamente gestito da due criminali di professione di livello medio-alto, noti come “i fratelli” (The Brothers), ovvero James e Barry Gillespie, dal 2019 ricercati dalla polizia scozzese, accusati tra le altre cose di omicidio. The Brothers avrebbero prima usato un altro modello di criptofonino fornito dalla società Ennetcom (di cui parliamo più sotto), ma poi avrebbero deciso di creare direttamente i loro dispositivi assumendo uno sviluppatore e mettendo in piedi una società che li vendeva, scrive Joseph Cox, uno dei giornalisti che più ha seguito questo filone, su Vice. In pratica prendevano dei Google Nexus 5 o Nexus 5X Android e li customizzavano, togliendo o aggiungendo software e funzioni, ci mettevano sopra solo una SIM dati e li vendevano a 1200 sterline più 700 di abbonamento ogni sei mesi. Ne avrebbero distribuiti 5mila.
Dicevamo invece di Ennetcom. Società lanciata nel 2009 da olandesi, con server in Canada, vendeva Blackberry modificati con sopra una selezione di software per cifrare le comunicazioni che instradava attraverso la propria infrastruttura. Gli utenti erano 20mila. L’hanno smantellata nel 2016 gli olandesi (con l’aiuto dei canadesi), che sono riusciti anche a decifrare i messaggi. Secondo l'ipotesi più accreditata (cioè secondo quanto detto dai canadesi), era il server di Ennetcom a generare le chiavi PGP per accedere agli stessi (e non i singoli dispositivi, come in una effettiva cifratura endtoend). Poi è stata la volta di PGPSafe. Altra società dei Paesi Bassi, con server in Costa Rica, che vendeva Blackberry o Android modificati per 1200 euro, con pagamenti in cash per strada, notavano i procuratori olandesi quando hanno arrestato i suoi presunti amministratori.
Come li hanno violati?
Da anni gli olandesi si distinguono per le spiccate capacità investigative cyber. Nel 2015 l’intelligence ha violato i dispositivi di un gruppo di hacker di Stato russi (noti come APT29); nel 2017 la polizia ha preso il controllo di un mercato nero del Dark Web, Hansa Market, e l’ha gestito per un mese, raccogliendo dati suoi suoi utenti. Ma sui criptofonini sembrano aver accumulato una particolare esperienza. Nel 2018 nuova indagine, e una svolta. Smantellano un’altra società del settore IronChat/IronPhone, e riescono a leggere i messaggi inviati cifrati per la prima volta, e non a quanto pare perché avevano accesso alle chiavi, mal amministrate, come con Ennetcom. La definiscono “una svolta globale nelle cyberindagini”. Non è chiaro che metodo abbiano usato, ma qualcuno pensa che potrebbe essere simile a quello adottato oggi contro Encrochat. Per il quale, si parla, seppur in modo vago, di hacking. Ad esempio, per Vice, la polizia avrebbe “penetrato il network di Encrochat sfruttando quell’accesso per installare uno strumento tecnico in quella che appare come una operazione di hacking di massa”.
“Era come stare a tavola coi criminali”, ha dichiarato Jannine van den Berg, a capo della National Unit della polizia olandese. Ma un’operazione di hacking di massa su 50mila dispositivi non è qualcosa da poco. Una delle ipotesi fatte da alcuni esperti di sicurezza è che siano riusciti a inviare degli aggiornamenti malevoli dal server ai telefonini. Secondo alcuni commentatori, una simile operazione potrebbe essere non poco problematica dal punto di vista legale, o comunque contestabile in tribunale. Per ora la riservatezza è massima.
«Non ho conoscenza dell’indagine, ma constato che si è trattato di un’operazione complessa e sofisticata», commenta Epifani. «Abbiamo malware sui dispositivi mobili; hacking sulla rete; decifrazione…» . Finora infatti non abbiamo parlato forse della parte più importante – e anche interessante ai fini di questa storia probabilmente - la parte di network, spiega Epifani. «Questi dispositivi per far funzionare tutto si basano su una rete e una piattaforma di mobile device management (MDM), cioè un sistema che permette di gestire più telefoni, impostare profili o limitazioni, usato molto ad esempio nelle aziende. Tra i più noti e utilizzati di questi MDM c’è quello di Blackberry. Ora tutti questi criptofonini lavorano con una sorta di mobile device management che gestisce i cellulari, manda gli aggiornamenti ecc. Questo fa sì tra l’altro che se ti sequestrano il cellulare o te lo rubano o altro puoi chiamare il servizio tecnico e dirgli di cancellare tutto da remoto».
Ma perché affidarsi così tanto a una azienda che addirittura deve gestirti il telefono? In sostanza, perché Enrcohchat “garantiva” di avere telefoni senza malware, senza intercettazioni di sorta, proprio perché non si poteva mandare o ricevere nulla, quindi neanche attacchi e spyware. Si poteva solo comunicare con una app con i propri sodali. A meno che la polizia non riuscisse a prendere il controllo dell’infrastruttura.
«È possibile che la polizia abbia avuto controllo del mobile device management o di una sua parte», ipotizza Epifani. Che nota come proprio gli olandesi, attraverso il Netherland Forensic Institute, «erano stati anche i primi a decifrare le chat di Blackberry, cioè a violare l’implementazione di PGP (noto software di cifratura) fatta da Blackberry». Quell'istituto per altro era coinvolto anche nell'indagine su Ennetcom.
Un mercato competitivo
Una società di criptofonini, o di servizi di comunicazione “sicuri” (e lasciamo per ora perdere la relatività del concetto di sicurezza), non è certo illegale di per sé, sia chiaro. Ci sono molti strumenti, software, app che hanno come missione di alzare il livello di sicurezza e protezione della privacy degli utenti. Il problema, come dicevamo prima, è quando alcune di queste società, per come si comportano (opacità), distribuiscono e promuovono la loro offerta, sembrano rivolgersi direttamente al mondo criminale (rimasto celebre un account Instagram di Phantom Secure che pubblicava foto del telefono insieme ad armi e vari sottoimmaginari criminali). O addirittura ci fanno proprio degli accordi.
La distribuzione via reseller
È anche un mercato molto competitivo, in cui i protagonisti cercano di farsi le scarpe gli uni con gli altri. E che tra loro e gli utenti finali, in alcuni casi, interpongono molti intermediari. Secondo Epifani – ma anche secondo la fonte investigativa citata prima – in Italia oltre ai telefoni di Encrochat circola(va)no molto anche telefoni di altre aziende che offrono non solo software di crittografia per comunicazioni cifrate ma anche un hardware o funzioni modificate per non essere violati. Anche qui, oltre al telefono, si paga un abbonamento. Si possono acquistare online, in bitcoin. Oppure attraverso una rete di rivenditori, che mi confermano essere presente anche in Italia e che si possono contattare anche attraverso vari servizi di messaggistica, inclusi Wickr, Threema, Telegram, ecc. Diciamo che tutto il sistema dei rivenditori si disperde in rivoli quasi impossibile da seguire.
Su un sito di annunci inglese, ad esempio, si trova l’inserzione di un rivenditore di questi criptofonini, un certo Gary, che fornisce solo numero di telefono e dice che si paga solo in cash o in bitcoin. Poi ci sono altre società (o quanto meno dei siti) che fanno da partner o rivenditori, che a sua volta hanno dei reseller, e che sono così interessati ad averne di nuovi che la sottoscritta era stata ingaggiata solo dopo pochi minuti di chat con la loro assistenza. Anche una società come SecureGroup, che appare invece molto più professionale e trasparente della media del settore, fondata da un canadese e collocata in Bulgaria, si appoggia a vari partner, come DiamondSecure, società inglese con direttrice polacca, che a sua volta hanno vari reseller e così via. Ma questi sono (erano) solo i più noti. Ci sono anche altre piccole società che viaggiano sottotraccia finché una qualche inchiesta non si imbatte nei loro dispositivi, come accaduto agli italiani che hanno indagato sull’omicidio di Fabrizio Piscitelli (l’ultrà di destra noto come Diabolik e coinvolto per gli inquirenti nel narcotraffico). Le indagini sui suoi criptofonini sono arrivate fino a Dubai e hanno fatto arrestare il proprietario italiano della società che li commercializzava, Alessandro Telich, detto Tavoletta, e fondatore della Imperial Eagle che appunto sta negli Emirati.
Intanto sulla scena compare anche una vecchia conoscenza del mondo cyber. Il vulcanico John McAfee, pioniere degli antivirus che negli anni ha poi accumulato candidature alla presidenza americana, iniziative imprenditoriali nelle criptovalute, mandati d’arresto e foto sullo yacht circondato da guardie del corpo armate fino ai denti, ha appena annunciato, con tempismo notevole, un nuovo prodotto, un servizio di Ghost Cell Phone Data, ovvero “il primo servizio dati 4G per fare connessioni alla rete non rintracciabili, “in cui tutto il traffico passa per più server anonimizzati”, e una “app che cifra i dati e li manda al nostro network”. Ricorda qualcosa?
Immagine anteprima via Europol