Έρευνα/Ψηφιακή κατασκοπεία:Η Cytrox από τα Σκόπια,και το Spyware με “στόχους” σε δεκάδες χώρες- “Πελάτες” και σε Ελλάδα ;
Εάν αναζητήσει κανείς στοιχεία για την εταιρεία Cytrox με έδρα τη Βόρεια Μακεδονία στα διεθνή μέσα ενημέρωσης θα διαπιστώσει πως συνδέεται με το τεράστιο παγκοσμίως σκάνδαλο ψηφιακής κατασκοπείας πολιτικών, επιχειρηματιών, δημοσιογράφων αλλά και απλών πολιτών μέσω του συστήματος spyware (prediator). Στα ελληνικά μέσα ενημέρωσης υπάρχουν ελάχιστες αναφορές, παρά το γεγονός ότι η έρευνα της Meta (λόγω του γεγονότος ότι το κακόβουλο λογισμικό λειτουργούσε μέσω facebook και Instagram) έδειξε πως η συγκεκριμένη εταιρεία είχε πελάτες και στην Ελλάδα, μεταξύ πολλών άλλων κρατών.
Δύο δημοσιογραφικές έρευνες, μια της Washington Post και μία του Balkaninsight, έρχονται να ρίξουν φως σε αυτό το διεθνές σκάνδαλο.
Ερευνες, δε, του έγκυρου ινστιτούτου CitizenLab και του Μeta/Facebook για το μέχρι πρότινος άγνωστο λογισμικό κατασκοπείας (spyware) ονόματι «Αρπακτικό» (Predator), που τροφοδότησαν και τα δημοσιεύματα δημιουργούν εύλογα ερωτήματα σχετικά με το ποιοί μπορεί να είναι οι πελάτες της Cytrox και άλλων συναφών εταιρειών στην Ελλάδα.
Το Libre δημοσιοποιεί σήμερα τα στοιχεία που έχουν προκύψει σχετικά με την συγκεκριμένη εταιρεία και το σύστημα ψηφιακής κατασκοπείας.
Τι είναι η Cytrox στα Σκόπια
‘Οπως αποκαλύπτει το balkaninsight, σε μια μεγάλη έρευνα υπό τον τίτλο ” Κρασί, όπλα και WhatsApp: Σκάνδαλο Spyware στα Σκόπια”, ένας 30χρονος Σκοπιανός είναι επικεφαλής της εταιρείας που προσδιορίστηκε από το Citizen Lab (ένα εργαστήριο στο Πανεπιστήμιο του Τορόντο που ερευνά, μεταξύ άλλων, την ψηφιακή κατασκοπεία ) ότι παράγει λογισμικό υποκλοπής spyware που βρέθηκε στα τηλέφωνα δύο εξόριστων Αιγυπτίων. Η οικογένειά του ασχολείται με το κρασί και τα όπλα, συχνά κάνοντας δουλειές με το κράτος.
Όταν το Citizen Lab αποκάλυψε τον περασμένο μήνα ότι τα τηλέφωνα τουλάχιστον δύο Αιγυπτίων υπηκόων είχαν χακαριστεί με λογισμικό υποκλοπής «Predator», που πωλήθηκε από έναν ελάχιστα γνωστό προγραμματιστή στη Βόρεια Μακεδονία, και κατέδειξε τον ρόλο της Cytrox, ο Ivo Malinkovski προσπάθησε να συγκαλύψει τον ρόλο του ως Διευθύνοντος Συμβούλου.
Με την πρώτη ματιά, ο 30χρονος είναι ένας απίθανος αρχηγός κατασκόπων, αλλά μια πιο προσεκτική ματιά στο ιστορικό του αποκαλύπτει καλά εδραιωμένους δεσμούς με τις υπηρεσίες ασφαλείας μέσω του πατέρα και του παππού του.
Οι αποκαλύψεις για το Predator έρχονται στο φως και προκαλούν θύελλα διεθνώς για τη χρήση του spyware Pegasus που πωλήθηκε από την ισραηλινή εταιρεία NSO Group για να χακάρει τα τηλέφωνα δημοσιογράφων, πολιτικών και ακτιβιστών σε όλο τον κόσμο, όπως αποκαλύφθηκε από πολλά μέσα ενημέρωσης τον περασμένο Ιούλιο.
Τον Δεκέμβριο, το Citizen Lab είπε ότι η ανάλυση έδειξε ότι ο εξόριστος Αιγύπτιος πολιτικός Ayman Nour και ένας Αιγύπτιος δημοσιογράφος που ζήτησε να παραμείνει ανώνυμος είχαν χακαριστεί από λογισμικό κατασκοπείας Predator που κατασκεύασε και πουλούσε η Cytrox. Η σάρωση στο Διαδίκτυο για διακομιστές spyware Predator εντόπισε πιθανούς πελάτες Predator στην Αρμενία, την Αίγυπτο, την Ελλάδα (!!!), την Ινδονησία, τη Μαδαγασκάρη, το Ομάν, τη Σαουδική Αραβία και τη Σερβία, ανέφερε το Citizen Lab.
Το Facebook είπε ότι είχε αφαιρέσει περίπου 300 λογαριασμούς συνδεδεμένους με Cytrox στο Facebook και το Instagram. Ο γίγαντας των μέσων κοινωνικής δικτύωσης είπε ότι, σε συνεργασία με το Citizen Lab, βρήκε «μια τεράστια υποδομή που πιστεύουμε ότι η Cytrox χρησιμοποίησε για να πλαστογραφήσει νόμιμες ειδησεογραφικές οντότητες στις χώρες που τους ενδιαφέρουν και να μιμηθεί νόμιμες υπηρεσίες συντόμευσης διευθύνσεων URL και κοινωνικών μέσων». χρήση ως μέρος των “καμπάνιες ηλεκτρονικού ψαρέματος (fishing) και συμβιβασμού”.
Ο γίγαντας των μέσων κοινωνικής δικτύωσης είπε ότι, σε συνεργασία με το Citizen Lab, βρήκε «μια τεράστια υποδομή που πιστεύουμε ότι η Cytrox χρησιμοποίησε για να πλαστογραφήσει νόμιμες ειδησεογραφικές οντότητες στις χώρες που τους ενδιαφέρουν και να μιμηθεί νόμιμες υπηρεσίες συντόμευσης διευθύνσεων URL και κοινωνικών μέσων». χρήση ως μέρος των “καμπάνιες ηλεκτρονικού ψαρέματος (fishing) και συμβιβασμού”.
«Πωλητές μισθοφόρων επιτήρησης»
Σύμφωνα με επίσημα έγγραφα που εξετάστηκαν από το BIRN στο Μητρώο Εταιρειών, η Cytrox ιδρύθηκε στα Σκόπια ως μετοχική εταιρεία τον Μάρτιο του 2017 από πέντε Ισραηλινούς υπηκόους και έναν Ούγγρο. Το 2020, η ιδιοκτησία πέρασε στην ουγγρική εγγεγραμμένη Cytrox Holding, αλλά τα αρχεία αναφέρουν τον «πραγματικό ιδιοκτήτη» της εταιρείας ως τον 70χρονο Ισραηλινό επιχειρηματία και βετεράνο της πολεμικής αεροπορίας Meir Shamir.
Σύμφωνα με την ισραηλινή εφημερίδα Haaretz, ο Shamir, μαζί με έναν από τους ιδρυτές της Cytrox, τον Abraham Rubinstein, είναι μέτοχος του ομίλου Aliaada, τα προϊόντα του οποίου φέρουν την επωνυμία «Intelexa». Η Cytrox είναι μέρος της λεγόμενης «συμμαχίας Intellexa», που περιγράφεται από το Citizen Lab ως «ετικέτα μάρκετινγκ για μια σειρά από μισθοφόρους πωλητές επιτήρησης που εμφανίστηκαν το 2019» και είναι ανταγωνιστής της NSO.
Επικεφαλής της Intellexa είναι ο Tal Dilian με έδρα την Κύπρο, πρώην διοικητής των Ισραηλινών Αμυντικών Δυνάμεων, IDF, ο οποίος, σύμφωνα με άρθρο του Forbes του 2019, «έσωσε» τη Cytrox «από την άβυσσο με εξαγορά κάτω των 5 εκατομμυρίων δολαρίων».
Το άρθρο του Forbes παρουσίαζε τον Dilian να δείχνει στους δημοσιογράφους ένα μαύρο βαν “με το κιτ παρακολούθησης εκατομμυρίων δολαρίων, κεραίες από πάνω που …απλώνουν το χέρι για να κατασκοπεύσουν οποιοδήποτε smartphone σε ακτίνα 1 χιλιομέτρου και, με το πάτημα ενός κουμπιού”.
Το άρθρο προκάλεσε έρευνα από τις κυπριακές αρχές, οι οποίες επέβαλαν πρόστιμο 925.000 ευρώ στην εταιρεία WiSpear της Dilian. Η εταιρεία, η οποία αρνήθηκε οποιαδήποτε αδικοπραγία, λειτουργεί τώρα με την επωνυμία Passitora, η οποία αναφέρει τον διαχειριστή της ως Miftah Shamir Holdings, που ανήκει στον ιδιοκτήτη της Cytrox, Shamir.
Κρασί και όπλα
Η δικηγορική εταιρεία που εκπροσωπεί τη Cytrox με έδρα τα Σκόπια ανέφερε ότι ο Μαλινκόφσκι και η ομάδα του δεν είχαν «κανένα σχόλιο» για αυτή την ιστορία.
Οι φωτογραφίες του που συνοδεύουν την αναφορά του Citizen Lab, τραβηγμένες από τα μέσα κοινωνικής δικτύωσης, τον δείχνουν να ποζάρει μπροστά από δύο σπορ αυτοκίνητα με ένα μπλουζάκι με τις λέξεις «More Money» και κρατώντας ένα αντίγραφο μιας βιογραφίας του Steve Jobs, με το χέρι του στο πηγούνι ακριβώς όπως η φωτογραφία εξωφύλλου του αείμνηστου ιδρυτή της Apple.
Οι λογαριασμοί του Malinkovski στο Facebook και στο Instagram, ωστόσο, δεν είναι πλέον ενεργοί, ενώ η αναφορά στον ρόλο του στη Cytrox έχει διαγραφεί από το προφίλ του στο LinkedIn. Τα επίσημα αρχεία αναφέρουν τον Μαλινκόφσκι ως ιδιοκτήτη δύο εταιρειών πληροφορικής με έδρα τα Σκόπια – της Signet και της Sintelexa.
Το LinkedIn απαριθμεί τώρα τη θέση του ως διευθυντής του οικογενειακού οινοποιείου και εστιατορίου Kamnik στα περίχωρα των Σκοπίων, αγαπημένο των ντόπιων πολιτικών και όπου ο πρώην πρωθυπουργός Ζόραν Ζάεφ, πριν αποχωρήσει από την εξουσία, πραγματοποίησε την τελευταία του άτυπη συνάντηση με δημοσιογράφους την ίδια ημέρα με δημοσιεύθηκε η έκθεση Citizen Lab.
Αλλά δεν είναι όλα κρασί και καλό φαγητό. Η οικογένεια του Μαλινκόφσκι βρίσκεται επίσης πίσω από τη Mikei Internacional, η οποία εμπορεύεται στρατιωτικό υλικό και όπλα.
Διοικούμενος από τον πατέρα και τον θείο του Μαλινκόφσκι, ο Mikei χρονολογείται από τη δεκαετία του 1990, όταν η Βόρεια Μακεδονία έβρισκε τα πόδια της ως ανεξάρτητο κράτος μετά την κατάρρευση της ομοσπονδιακής Γιουγκοσλαβίας. Οι μεγαλύτεροι κρατικοί πελάτες της εταιρείας είναι τα υπουργεία Εσωτερικών και Άμυνας της Βόρειας Μακεδονίας.
Το 2009, η εφημερίδα Nova Makedonija ανέφερε ότι ο Mikei είχε μπει στη μαύρη λίστα από τις Ηνωμένες Πολιτείες, χωρίς εξηγήσεις. Ο τότε ιδιοκτήτης της εταιρείας, ο παππούς του Μαλινκόφσκι, Πάνσε, είπε ότι ήταν λάθος και τρεις μήνες αργότερα η εταιρεία αφαιρέθηκε από τη μαύρη λίστα, και πάλι χωρίς εξήγηση.
Ανησυχίες για την επιτήρηση που προέκυψαν στο παρελθόν
Το 2013, το Citizen Lab είπε ότι είχε εντοπίσει «διακομιστές Command and Control» του FinFisher, μιας προηγμένης σουίτας λογισμικού υποκλοπής υπολογιστών που πωλείται αποκλειστικά σε κυβερνήσεις, σε ορισμένες χώρες, συμπεριλαμβανομένης της Βόρειας Μακεδονίας.
Ανέφερε μια διεύθυνση IP της Makedonski Telekom, του μεγαλύτερου παρόχου τηλεπικοινωνιών της χώρας, ως χρησιμοποιούμενη από το λογισμικό κατασκοπείας. Δύο χρόνια αργότερα, το Citizen Lab είπε ότι οι διακομιστές FinFisher που εντοπίστηκαν στη Βόρεια Μακεδονία χρησιμοποίησαν το newsmagazine time.mk ως δόλωμα.
Το Citizen Lab είπε ότι, ενώ διατίθεται στην αγορά ως εργαλείο για την καταπολέμηση του εγκλήματος, ο FinFisher είχε εμπλακεί σε «μια σειρά από καταχρήσεις παρακολούθησης υψηλού προφίλ».
Οι αποκαλύψεις της Washington Post- Η Cyrtox είχε (έχει;) πελάτες και στην Ελλάδα
Στις 16 του περασμένου Δεκέμβρη, η Washington Post αποκάλυψε πως το Facebook ειδοποιεί σχεδόν 50.000 χρήστες σε περισσότερες από 100 χώρες ότι μπορεί να έχουν γίνει στόχοι απόπειρας hacking από εταιρείες παρακολούθησης που εργάζονται για κρατικούς φορείς ή ιδιώτες πελάτες, ανακοίνωσε η εταιρεία την Πέμπτη.Μεταξύ αυτών και η Ελλάδα.
Η ειδοποίηση είναι το αποτέλεσμα μιας πολύμηνης έρευνας από τη Meta, τη μητρική εταιρεία του Facebook, σχετικά με αυτό που οι αξιωματούχοι της Meta αποκαλούσαν «κυβερνο-μισθοφόρους» που εμπλέκονται σε «παρακολούθηση για μίσθωση». Ως αποτέλεσμα, το Facebook είπε ότι λαμβάνει μέτρα επιβολής κυρώσεων εναντίον επτά εταιρειών παρακολούθησης με έδρα σε τέσσερις χώρες, αφαιρώντας περίπου 1.500 ψεύτικους λογαριασμούς, μπλοκάροντας κακόβουλες διευθύνσεις ιστού και στέλνοντας επιστολές παύσης και διακοπής στις εταιρείες.
Οι ερευνητές της Meta κατέληξαν στο συμπέρασμα ότι αυτές οι εταιρείες χρησιμοποίησαν τις θυγατρικές της Meta στο Facebook και το Instagram για δραστηριότητες παρακολούθησης, κυρίως για να ερευνήσουν και να καλύψουν στόχους για μεταγενέστερες μολύνσεις από λογισμικό κατασκοπείας. Κάθε βήμα ήταν μέρος μιας ευρύτερης διαδικασίας στόχευσης που οι ερευνητές ονόμασαν «αλυσίδα επιτήρησης».
Η τελική έκθεση της έρευνας , με τίτλο «Αναφορά απειλών για τη βιομηχανία επιτήρησης προς μίσθωση», στόχευε σε μακροχρόνιους ισχυρισμούς της βιομηχανίας ότι το λογισμικό κατασκοπείας χρησιμοποιείται μόνο εναντίον τρομοκρατών και σοβαρών εγκληματιών , όπως οι βασιλιάδες των ναρκωτικών και οι παιδεραστές. Η έρευνα του Meta διαπίστωσε ότι οι εταιρείες παρακολούθησης «τακτικά» στοχεύουν πολιτικούς, εργαζόμενους στα ανθρώπινα δικαιώματα, δημοσιογράφους, διαφωνούντες και μέλη οικογενειών προσωπικοτήτων της αντιπολίτευσης, με ελάχιστους νομικούς ελέγχους ή άλλες μορφές λογοδοσίας.
Αυτά τα ευρήματα απηχούν εκείνα του Pegasus Project , μιας παγκόσμιας έρευνας της εταιρείας παρακολούθησης NSO Group με έδρα το Ισραήλ από την Washington Post και 16 άλλους ειδησεογραφικούς οργανισμούς, με επικεφαλής τον μη κερδοσκοπικό δημοσιογραφικό οργανισμό Forbidden Stories με έδρα το Παρίσι. Ωστόσο, οι αξιωματούχοι της Meta δήλωσαν ότι ενώ προηγουμένως είχαν λάβει μέτρα επιβολής κατά της NSO και μήνυσαν την εταιρεία το 2019 για φερόμενη παράδοση spyware σε χρήστες μέσω του WhatsApp, τα προβλήματα που δημιουργούνται από ιδιωτικές εταιρείες παρακολούθησης είναι ευρύτερα.
«Ο κλάδος της επιτήρησης είναι πολύ μεγαλύτερος από μία μόνο εταιρεία και είναι πολύ μεγαλύτερος από κακόβουλο λογισμικό για ενοικίαση», δήλωσε ο Nathaniel Gleicher, επικεφαλής της πολιτικής ασφαλείας της Meta και συν-συγγραφέας της έκθεσης της Πέμπτης. «Η στόχευση που βλέπουμε είναι αδιάκριτη. Στοχεύουν σε δημοσιογράφους. Στοχεύουν πολιτικούς. Στοχεύουν σε υπερασπιστές των ανθρωπίνων δικαιωμάτων. Στοχεύουν επίσης απλούς πολίτες».
Στοιχεία από το Pegasus Project
Μεταξύ των εταιρειών στις οποίες επέβαλε κυρώσεις η Meta ήταν μια ελάχιστα γνωστή εταιρεία παρακολούθησης, η Cytrox, με έδρα τη Βόρεια Μακεδονία.
Η έκθεση της Meta, η οποία ανέφερε ότι το κύκλωμα είχε αφαιρέσει 300 λογαριασμούς Facebook και Instagram τους οποίους χρησιμοποιούσε για να εμπλακεί και να εξαπατήσει στόχους και απαριθμεί 10 χώρες όπου η Cytrox έχει πελάτες, όπως η Αίγυπτος, η Αρμενία, η Ελλάδα, η Σαουδική Αραβία, το Ομάν, η Κολομβία, η Ακτή Ελεφαντοστού, το Βιετνάμ. τις Φιλιππίνες και τη Γερμανία.
Πως λειτουργεί το spyware
Το Pegasus και άλλες μορφές spyware επιτρέπουν στους χειριστές να μετατρέπουν εξ αποστάσεως smartphone και άλλους υπολογιστές σε συσκευές παρακολούθησης ικανές να ακούν κλήσεις και να παρακολουθούν τις τοποθεσίες των χρηστών, καθώς και να κλέβουν φωτογραφίες, βίντεο, λίστες επαφών και άλλα αρχεία. Το προηγμένο λογισμικό υποκλοπής spyware μπορεί να παραδοθεί χωρίς οι χρήστες να γνωρίζουν ή να κάνουν οποιαδήποτε ενέργεια, συχνά μέσω μηνύματος κειμένου ή μιας εφαρμογής συνομιλίας, και στη συνέχεια μπορούν να ενεργοποιήσουν τις κάμερες και τα μικρόφωνα που είναι ενσωματωμένα σε smartphone.
Ένα αρχικό σημάδι μόλυνσης ήταν ότι το smartphone άρχισε να «τρέχει» καθώς διαχειριζόταν τις υπολογιστικές απαιτήσεις δύο τύπων spyware ταυτόχρονα, ανέφερε η έκθεση. Αυτές οι μολύνσεις συνέβησαν παρόλο που το iPhone του Nour είχε την πιο πρόσφατη έκδοση του iOS, του λειτουργικού συστήματος για κινητά που κατασκευάστηκε από την Apple .
Η έκθεση της Meta αναφέρει άλλες έξι εταιρείες. Την BellTrox, με έδρα στην Ινδία ,μία άλλη στην Κίνα, αλλά οι ερευνητές της Meta δεν μπόρεσαν να προσδιορίσουν το όνομά της. Οι υπόλοιπες τέσσερις εδρεύουν στο Ισραήλ: Cognyte, Cobwebs Technologies, Bluehawk CI και Black Cube , η τελευταία από τις οποίες προσλήφθηκε και από τον παραγωγό του Χόλιγουντ Χάρβεϊ Γουάινστιν (που ενεπλάκη στο μεγάλο σκάνδαλο) για να συλλέξει πληροφορίες για γυναίκες που τον κατηγορούν για σεξουαλική παρενόχληση και δημοσιογράφους που κάλυπταν αυτή την ιστορία.
Το επικίνδυνο spyware, πίσω από το οποίο βρίσκεται η Cytrox, στα ακατάλληλα χέρια, μπορεί να προξενήσει μεγάλο κακό στα θύματά του κάτι που αντιλήφθηκε εγκαίρως η ομάδα ερευνητών του CitizenLab από τον Καναδά και πραγματοποίησε σχετικό forensics analysis σε συσκευές θυμάτων του εν λόγω λογισμικού παρακολούθησης.
Η ανάλυση των ειδικών ασφαλείας κοινοποιήθηκε στις 16 Δεκεμβρίου 2021 αλλά τα περισσότερα μέσα μαζικής επικοινωνίας παγκοσμίως φαίνεται να “έπνιξαν” την είδηση εντέχνως.