“Italijanski posao” srpskih službi bezbednosti

13-07-2015

“Procurela” baza mejlova Hacking Team-a otkriva detalje o pregovorima za kupovinu špijunskog softvera

Najmanje jedna bezbednosna služba Srbije pregovarala je o kupovini, dok se Ministarstvo odbrane pojavljuje kao probni korisnik špijunskog softvera kompanije “Hacking Team” (HT) iz Milana, čije su elektronske baze ove sedmice postale dostupne javnosti zahvaljujući Anonimusima i Vikiliksu.

Nedugo pošto je kompromitovan tviter nalog italijanske kompanije, prošle nedelje je objavljeno preko 400 gigabajta podataka, uključujući interna dokumenta, liste klijenata kao i softverski kod.

Ogromne HT baze tek su u početnoj fazi analize među stručnjacima, novinarima i aktivistima širom sveta. Tim Share fondacije izdvojio je prepisku kompanije koja se odnosi na Srbiju, a u kojoj učestvuju pripadnici BIA i Ministarstva odbrane, kao i jedna privatna firma sa Novog Beograda.

Pregovori su vođeni od kraja 2011. godine, delom uz posredničke usluge privatne firme za trgovinu i proizvodnju računarske opreme “Teri Engineering“ sa Novog Beograda, čija je direktorka ugovarala sastanke, testiranje softvera i pregovarala o ceni. Ova beogradska firma se u internom razgovoru označava kao akter koji bi proizvođače špijunskog softvera mogao uvesti “u čitavu centralnu Evropu”.

Prema postojećim podacima, prvi zabeleženi kontakt iz Srbije uspostavljen je nakon međunarodnog sajma opreme za unutrašnju bezbednost MiliPol Paris 2011, kada se predstavništvu kompanije Hacking Team obratio pripadnik Bezbednosno-informativne agencije (BIA) sa pozivom za predstavljanje softvera HT u Beogradu.

BIA i Hacking Team

Reč je o sistemu za daljinsku kontrolu (Remote Control System, RCS) zasnovanom na ciljanom širenju virusa na računare i mobilne telefone osoba koje su pod nadzorom. Najveći broj klijenata ovog sistema čine države i bezbednosne službe širom sveta.

HT prepiska 1.png

Inicijalna prezentacija u Beogradu izvesno je održana, ali prepiska zamire do aprila 2012. kada se isti pripadnik BIA ponovo obraća menadžeru HT, koji će ga obavestiti da nova verzija softvera izlazi u maju i da bi se mogli sastati krajem tog meseca.

HT prepiska 2.png

U internoj prepisci menadžera HT o planiranoj prezentaciji u sedištu BIA u Beogradu 24. i 25. maja 2012, napominje se da je BIA već upoznata sa softverom “početkom godine u njihovom sedištu i pre mesec dana u Rimu“. Kako se navodi, BIA ih sada poziva da testiraju samo softver za nadzor mobilnih uređaja. Inače, jedan od predstavnika HT sa kojim komunicira pripadnik srbijanske bezbednosne službe pojavljuje se i u Vikiliksovoj bazi “Spyfiles 3”, vezanoj za niz globalnih proizvođača i dilera špijunske opreme i softvera.

VBA u potrazi za špijunskim virusom

Nezavisno od komunikacije sa Bezbednosno-informativnom agencijom, u isto vreme se menadžerima Hacking Team obraća i direktorka privatne beogradske firme “Teri Engineering”, uz preporuku (i predviđeni procenat za sklapanje posla) izraelske kompanije Nice Systems, specijalizovane za elektronski nadzor i analizu podataka. U prepisci, posrednica iz Beograda kao mogućeg klijenta navodi VBA, što je skraćenica za Vojno-bezbednosnu agenciju, i nudi usluge za lokalnu implementaciju.

VBA.jpg

Pregovori započinju početkom aprila, mesec dana pre parlamentarnih izbora 2012, i posrednici iz Srbije insistiraju da se prezentacija održi što pre. Iz mejlova se može razumeti da je prezentacija uskoro održana, kao i da je klijent iz Srbije (VBA) dobio sistem na testiranje.

belgrade.jpg

Usledili su pregovori o ceni, koju posrednica – uprkos značajnoj proviziji za svoju firmu kao i za partnere iz Izraela – uspeva značajno da spusti od iznosa blizu pola miliona evra, do oko 250.000. U prepisci za podršku oko tehničkih detalja aktiviranja virusa i iskorišćavanja zaraženog telefona učestvuje osoba sa mejl adresom na domenu Ministarstva odbrane Srbije.

MOD.jpg

 

 

blackberry.jpg

Krajem jeseni 2012. direktorka beogradske firme “Teri Engineering“, obaveštava HT da bi usled mogućih “problema sa budžetom”, naručilac posla (umesto VBA/Ministarstva odbrane) mogao biti Telekom Srbija, “firma u 100% državnom vlasništvu“.

telekom.jpg

U septembru iste godine, nakon što je testiranje završeno, posrednica iz Beograda javiće predstavnicima HT da u sistemu postoji problem “kojeg nema kod konkurenata”. Reč je o kompaniji Gamma iz Londona, čiji je softver FinSpy, kao što je poznato, uskoro našao svog kupca u Srbiji.

Gamma.jpg

Komunikacija je nastavljena tek početkom 2014. kada iz Beograda stiže vest da je budžet za ovaj posao konačno usvojen, ali pregovori zapinju oko cene. Zatim se kao prepreka pojavljuju i vanredni parlamentarni izbori (mart 2014) i očekivane smene u Ministarstvu odbrane i bezbednosnim agencijama, pa se iščekuju nova kadrovska rešenja.

Hacking Team pokušava da izdejstvuje još jednu prezentaciju u Beogradu, u nastojanju da odvrati potencijalnog klijenta od konkurencije. U tom trenutku, međutim, konkurentski špijunski softver već je uveliko u Srbiji.

Maja prošle godine, komunikacija iz Beograda potpuno zamire.

Kako službe nadziru zaražene uređaje

Do sada je identifikovano nekoliko načina na koje sistem Hacking Team-a koristi slabe tačke meta (npr. uređaja) koje se napadaju. Radi se o naprednom grafičkom interfejsu u kome se većina radnji obavlja prostim klikom. Pored samog sistema, kupci dobijaju i uputstvo kako da izvrše različite vrste infekcija, fizički i preko interneta.

Najčešći način inficiranja ciljanih uređaja preko interneta jeste slanje zaraženih dokumenata (.doc fajlova) mejlom, koji prilikom preuzimanja automatski pokreću “skidanje” špijunskog softvera (spyware) u pozadini i instaliraju bezbednosnu “rupu” (backdoor) na zaraženom uređaju, čime se implementira HT spyware.

U okviru kontrolnog panela sistema postoji lista svih zaraženih uređaja, s tim da njihov maksimalni broj zavisi od konkretnog proizvoda. Bitno je napomenuti da je svaki sistem napravljen po meri i cena sistema zavisi od toga koje će funkcije obavljati, koje vrste uređaja obuhvata (PC, Mac, BlackBerry, mobilne uređaje) i na kojim operativnim sistemima može da radi (Windows, Linux, OS X).

Osnovna namena softvera je da nadgleda sistem na kom je spyware implementiran i da ga pritom antivirus program ne prepozna, zbog čega je neophodno redovno ažurirati sistem, pa cena godišnjeg održavanja iznosi 20% ukupne vrednosti licence (75.000 €).

Offer.jpg

U okviru svog servera, Hacking Team je imao i deo sa bazom znanja (KnowledgeBase) gde je detaljno opisano koji se podaci iz kojih uređaja i operativnih sistema mogu izvlačiti. U okviru istog dela, nalaze se uputstva kako zaraziti uređaje, kao i analize različitih anti-malware softvera.

Za tehničku podršku, korisnik je otvarao ticket na sajtu Hacking Team-a, nakon čega bi njihova ekipa u laboratoriji uradila rekonstrukciju problema i nalazila rešenje, što može da bude još jedan od razloga zašto je cena održavanja relativno visoka.

Korisnici RCS softvera su uglavnom vlade pojedinih država ili vladine agencije. Sistem funkcioniše na bazi proksi servera koji “peru” saobraćaj kroz nekoliko država, tako da je tehnički gotovo nemoguće utvrditi ko vrši nadzor i gde se nalazi operator koji vrši nadzor.

Kako funkcioniše “pranje saobraćaja” (izvor: CitizenLab)

Proizvođač softvera i opreme za nadzor, Hacking Team je poslednjih godina na meti različitih građanskih organizacija zbog aktivnog učešća u globalnom razvoju industrije nadzora bez civilne kontrole, kao i prodaje softvera državama poznatim po teškim kršenjima ljudskih prava, čak i kada to predstavlja kršenje UN sankcija kao u slučaju Sudana.

Početkom prošle godine je Hacking Team bio ključni akter u istraživanju koje je sproveo CitizenLab, zbog prodaje RCS softvera vladama različitih država. Njihov proizvod je 2012. korišćen za praćenje nagrađivanog marokanskog informativnog portala “Mamfakinch“ kao i aktiviste za ljudska prava iz Ujedinjenih Arapskih Emirata.

Organizacija Privacy International je prošle godine upozorila na mogućnost da je ova kompanija tokom 2007. dobila milion i po evra od fondova povezanih sa Regionom Lombardije. Iz procurelih baza finansijskih podataka vidi se da su Meksiko, Italija i Maroko najveći klijenti Hacking Team-a, sa “porudžbinama” ukupne vrednosti od više miliona evra.

Prihodi Hacking Team-a

Ko može sebi da priušti softver za nadzor?

Share fondacija je još 2013. povodom slučaja “Trovicor” pisala o pravnom okviru za uvoz ovakve vrste softvera, smatrajući da se na njega moraju primeniti pravila koja se odnose na robu dvostruke namene i da je za njen uvoz potrebna dozvola Ministarstva trgovine, turizma i telekomunikacija. U oktobru 2014. godine, Evropska komisija je proširila listu robe dvostruke namene između ostalog i zbog potrebe kontrole intruzivnih softvera, kao i opreme za nadzor telekomunikacija i interneta. U skladu sa tim je i Vlada Republike Srbije u maju 2015. godine donela odluku kojom je u potpunosti uskladila nacionalnu kontrolnu listu robe dvostruke namene sa listom Evropske komisije.

Sa druge strane, upotreba opreme poput one koju prodaje Hacking Team nije eksplicitno predviđena kao mera koju mogu da preduzimaju državni organi. Ako pretpostavimo da određene organizacije mogu dobiti ovlašćenje za korišćenje ove opreme, to u našem pravnom sistemu ne bi bilo moguće bez odluke suda u skladu sa zakonom. Korišćenje na bilo koji drugi način bi predstavljalo očigledno kršenje ljudskih prava zagarantovanih Ustavom Republike Srbije i brojnim međunarodnim konvencijama.