Criptofonini: cosa sono e come funzionano

La recente maxiretata Encrochat contro la criminalità organizzata ha portato alla luce l’uso di smartphone molto particolari, modificati con particolari sistemi di cifratura che li dovrebbero rendere inviolabili ed a prova di intercettazione. Sono chiamati “Criptofonini“: sono dispositivi poco conosciuti e spesso usati per attività criminali, proprio per le loro peculiarità.

L’operazione conclusa in questi mesi (fra aprile e giugno 2020) è stata condotta dalle polizie di Francia, Olanda e Gran Bretagna, con il coordinamento di Europol. Dopo una “caccia” di anni (sembra che l’indagine sia partita dalla Francia nel 2017) sono stati sgominati gruppi criminali presenti in Europa e dediti al traffico della droga (ma non solo). Si tratta probabilmente dell’operazione più sofisticata, condotta in Europa contro la criminalità organizzata. Sicuramente la più rilevante dal punto di vista informatico, come andremo a spiegare.
L’operazione è stata chiamata appunto “Encrochat”, perché questo è il nome dei criptofonini prodotti appunto della società Encrochat e che garantivano (in realtà il sistema è stato violato dalla polizia francese e olandese) un sistema di comunicazione crittografato e sicuro. Dovevano essere blindati contro intercettazioni e violazioni, grazie alle modifiche che venivano apportate all’hardware e – soprattutto al software.
Per questo motivo erano lo strumento di comunicazione utilizzato dai criminali.

Non abbiamo molte informazioni sull’operazione Encrochat, perché le autorità hanno mantenuto un grande riserbo sui risultati dei blitz. Sappiamo comunque che ci sono stati molte centinaia di arresti, sono stati sequestrati milioni di euro e sterline in denaro contante, tonnellate di droghe (eroina, cocaina, ecstasy, LSD) e sono stati smantellati decine di laboratori di droghe sintetiche.

I dettagli dell’operazione sono raccontati molto bene (come al solito) dall’ottima Carola Frediani, nel suo dettagliato articolo su Valigia Blu.

Si tratta quindi di un’operazione che ha colpito la criminalità organizzata tradizionale, non il cybercrime. Tuttavia è interessante anche sul fronte informatico, proprio per l’utilizzo massiccio dei telefoni criptati. Ed il suo successo è stato possibile proprio grazie alla violazione dei server sui quali si appoggiava la rete di telefoni Encrochat. Come spiega Carola Frediani: “Un sistema apparentemente blindatissimo e che invece è stato violato dalla polizia francese e olandese, al punto da intercettare ben 100 milioni di messaggi cifrati, inviati da oltre 50mila utenti. Di questi, secondo le autorità francesi, la maggior parte (il 90%) era criminale”.
Qui appunto ci interessa capire meglio cosa sono questi criptofonini: si tratta di smartphone basati spesso su hardware commerciale (in genere soprattutto Android ed anche Blackberry), sui quali viene installato un sistema operativo modificato “ad hoc” per renderli impenetrabili.
Per ottenere questo risultato vengono disabilitati tutti quei servizi che possono essere facilmente intercettati, quali: la localizzazione GPS, i servizi Google, il Bluetooth, la fotocamera, la porta USB (che rimane in funzione solo per la carica della batteria). Anche l’uso di schede SD esterne viene interdetto.

In pratica, rimangono attive le chiamate, ma solo in modalità VoIP (Voice over IP), quindi attraverso la rete Internet, senza l’uso della rete GSM. Anche la messaggistica è presente, ma utilizza applicazioni proprietarie e crittografate.

Tutta la rete di comunicazione viene gestita attraverso un’infrastruttura realizzata dal fornitore dei criptofonini, con server sparsi in tutto il mondo, spesso collocati in paesi “offshore” (quali Costarica), ma anche Canada, Olanda e altri. Questi server appresentano il cuore del servizio ed è ad essi che hanno mirato gli investigatori per espugnare il sistema Encrochat. E non è l’unico caso in cui queste reti criptate sono state smantellate dalle polizie di tutto il mondo: era già successo a Phantom Secure ed a MPC Secure Communication nel 2019 e precedentemente a PGP Safe nel 2017 ed Ennetcom (smantellata dalla polizia olandese nel 2016).

Per maggiori approfondimenti, rimando al testo completo dell’articolo Criptofonini: cosa sono, come funzionano e i più sicuri, alla luce della vicenda Encrochat, che ho scritto per CYBERSECURITY360, la testata del Network Digital 360 specializzata nella Cybersecurity, con la quale collaboro sin dalla sua nascita.

Nell’articolo abbiamo esaminato le modalità di funzionamento di questi dispositivi e le principali differenze rispetto agli smartphone commerciali che noi tutti usiamo.
Abbiamo poi illustrato quali sono i modelli presenti sul mercato: caratteristiche, costi ed anche come fare per acquistarli. Non tutti sono reperibili attraverso i tradizionali canali commerciali (per esempio Amazon), in alcuni casi anzi la modalità di vendita è in contanti ed in forma diretta, soprattutto per quei produttori sospettati di vendere alla criminalità organizzata. Un mondo “opaco”, dove l’informatica non è il fine, ma lo strumento per compiere altre attività delinquenziali.


Aggiornamento a Marzo 2021

Nel marzo 2021 anche la rete Sky ECC è stata smantellata da un’operazione congiunta di Europol assieme alle polizie di Belgio, Olanda e Francia.
Sky ECC era diventata la principale rete di telefoni crittografati, dopo che Encrochat era stata messa fuori gioco.
L’indagine è iniziata quando le autorità belghe hanno requisito gli smartphone Sky ECC di alcuni sospettati. Da metà febbraio 2021, gli specialisti delle polizie sono riusciti a sbloccare la crittografia di questa applicazione per monitorare le comunicazioni di almeno 70.000 utenti della piattaforma attraverso centinaia di migliaia di messaggi.
Grazie a queste informazioni, la polizia olandese e belga ha ottenuto mandati di perquisizione per diversi luoghi, che sono stati perquisiti il 9 marzo 2021.
In questo modo le polizie belga e olandese hanno scoperto un’intera rete di laboratori in cui venivano prodotte metanfetamine e altre droghe. Hanno sequestrato ben 8.000 chilogrammi di cocaina per un valore stimato di 20 milioni di euro.
Da marzo 2021 il sito della società canadese Sky ECC (www.skyecc.store/shop-now/) è offline, chiuso dalla polizia. Riportiamo qui una pagina dove si vedevano i dispositivi che venivano venduti: iPhone, Android e BlackBerry, ovviamente modificati.

La pagina https://www.skyecc.store/shop-now/ di Sky ECC (ora chiusa e non più raggiungibile)

Da Encrochat a Sky ECC, fino all’operazione Trojan Shield

Le efficaci operazioni Encrochat e Sky ECC (oltre a quella precedente con Phantom Secure nel 2019) hanno creato i presupposti per un’operazione ancora più brillante, che si è conclusa a giugno 2021 e che porta il nome di “Trojan Shield”.
In pratica, i criminali con lo smantellamento di Encrochat e Sky ECC sono rimasti orfani di dispositivi crittografati da usare per le loro comunicazioni.
A soddisfare questo “bisogno” ha pensato direttamente FBI, affiancata poi da Europol e dalle polizie di Svezia, Paesi Bassi e Australia.
Se in precedenza erano intervenute su reti esistenti, utilizzate per attività criminali, con Trojan Shield invece le polizie hanno creato loro stesse la rete di comunicazione crittografata, sfruttando proprio il fatto che chi usava i sistemi smantellati aveva bisogno di una nuova applicazione per le loro comunicazioni.
FBI ha preso il controllo di una società di comunicazione chiamata “Anom” nata da poco e l’ha trasformata in un honeypot (una honey trap, usata come “esca” per i cyber criminali, ne abbiamo parlato in questo articolo).
In realtà l’operazione Trojan Shield era partita già dal 2019, quando FBI ha arrestato Vincent Ramos, l’amministratore delegato di Phantom Secure (un’altra delle aziende che forniva dispositivi crittografati ai criminali organizzati). Sulla scia di quell’arresto, FBI ha utilizzato un informatore (che in precedenza vendeva telefoni per conto di Phantom e di Sky ECC) Global e che stava sviluppando un proprio prodotto di comunicazione criptata.
FBI e AFP (Australian Federal Police) hanno preso il controllo di questo prodotto, appunto Anom, e l’hanno modificato in modo tale che una chiave crittografica venisse inserita silenziosamente ad ogni messaggio inviato attraverso l’applicazione. Con questo stratagemma (che nessun utente di Anom sarebbe stato in grado di rilevare) le forze dell’ordine erano in grado di decifrare e memorizzare il messaggio mentre veniva trasmesso. Dalla nascita di Anom, nell’ottobre 2019, FBI è riuscita così ad ottenere e leggere oltre 20 milioni di messaggi. Ed erano messaggi riguardanti contrabbando di droga ed attività criminali organizzate di alto livello.
La parte più difficile dell’operazione è stata probabilmente quella di diffondere i dispositivi Anom: per farlo hanno utilizzato le stesse persone che precedentemente vendevano dispositivi Encrochat e Phantom (quest’ultima molto popolare in Australia) per commercializzare i dispositivi mobili Anom. E quando anche Sky ECC è stato chiuso, la base di utenti di Anom è addirittura triplicata.
Possiamo definirla un’operazione geniale: dopo aver privato i criminali di un servizio di comunicazione crittografata, gliene hanno offerto uno, già pronto per l’uso!

Maggiori dettagli nell’articolo Trojan Shield, come la polizia ha intercettato criminali in tutto il mondo su Cybersecurity360.


© Copyright 2021 Giorgio Sbaraglia
All rights reserved.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.


Lascia un commento