PREDATOR: ΤΟ ΛΟΓΙΣΜΙΚΟ ΚΑΤΑΣΚΟΠΕΙΑΣ, Η ΕΤΑΙΡΕΙΑ ΣΤΗ ΒΟΡΕΙΑ ΜΑΚΕΔΟΝΙΑ ΚΑΙ Η ΣΧΕΣΗ ΤΗΣ ΜΕ ΤΗΝ ΕΛΛΑΔΑ
Το "Predator, the thief" είναι λογισμικό που παρακολουθεί τα κινητά μας και ο άμεσος ανταγωνιστής του Pegasus, που κάνει ακριβώς το ίδιο. Και τα δυο spywares ανήκουν σε Ισραηλινούς. Αμφότερα τα έχει αγοράσει και τα χρησιμοποιεί, η Ελλάδα.
Το πρωί της Τρίτης 26/7 ο πρόεδρος του ΠΑΣΟΚ- Κινήματος Αλλαγής, Νίκος Ανδρουλάκης προσήλθε στην Εισαγγελία του Αρείου Πάγου. Κατέθεσε μηνυτήρια αναφορά, αφότου είχε εντοπίσει στο κινητό του λογισμικό παρακολούθησης. Συγκεκριμένα αυτού που είναι γνωστό ως Predator the Thief. Δηλαδή, ο “Θηρευτής, ο κλέφτης”.
Δέκα μήνες νωρίτερα η Google είχε επιβεβαιώσει πως το Predator είχε πουληθεί σε κρατικούς φορείς χωρών, στις οποίες συμπεριλαμβανόταν και η Ελλάδα.
Ποτέ δεν διευκρινίστηκε ποιες ελληνικές κρατικές υπηρεσίες αγόρασαν το εν λόγω λογισμικό και για ποιους λόγους.
Είχε προηγηθεί η παρέμβαση εισαγγελέα, μετά τις αποκαλύψεις των Reporters United και του Inside Story, για την παρακολούθηση του κινητού του δημοσιογράφου Θανάση Κουκάκη. Η Google είχε διευκρινίσει ότι το λογισμικό επιμόλυνσης (malware) δεν αφορούσε μόνο τα iPhone, αλλά και τα Android.
Όπως εξηγεί προγραμματιστής λογισμικού “δεν χρειάζεται να γίνουν πολλά για να ενεργοποιηθεί το λογισμικό κατασκοπείας. Αρκεί να στείλετε στον στόχο ένα iMessage -ένα μήνυμα με ειδικό gif. Αμέσως οι χάκερ αποκτούν πρόσβαση στη συσκευή του ατόμου. Χρησιμοποιούν μια ‘τρύπα’ ασφαλείας στο λειτουργικό σύστημα του τηλεφώνου και εγκαθιστούν το δικό τους λογισμικό, για την παρακολούθηση του στόχου, χωρίς να το γνωρίζει ο χρήστης”.
Mε περισσότερα λόγια, ο κωδικός πρόσβασης και trojan (εκ του Trojan Horse, δηλαδή του Δούρειου Ίππου, καθώς με ένα click σε link που μας πείθει πως αφορά κάτι που μας ενδιαφέρει, επιτρέπουμε την είσοδο κακόβουλου προγράμματος που εγκαθιστά στη συσκευή μας άλλα κακόβουλα προγράμματα) που κλέβει δεδομένα, ανακαλύφθηκε και έκανε θραύση, μέσω του YouTube.
Χρησιμοποιεί βίντεο για την προώθηση μιας ψεύτικης διεύθυνσης bitcoin κρυπτογράφησης ιδιωτικού κλειδιού, που επιτρέπει την κλοπή κρυπτονομισμάτων.
Αν κάνουμε λήψη των συνδέσμων, ανοίγει ένα αρχείο zip που προστατεύεται με κωδικό πρόσβασης. Έχει όνομα License.exe. Εγκαθιστά και εκτελέσει τον trojan, με τον Predator the Τhief να μπορεί να κλέψει διάφορους τύπους πληροφοριών και κωδικών πρόσβασης της συσκευής, όλα τα αρχεία και το υλικό του μικροφώνου και της κάμερας.
Ο ‘θηρευτής’ μπορεί να ακούει live όσα λέει ο ‘στόχος’ στο κινητό του τηλέφωνο, σε κάθε κλήση.
Ποιος έφτιαξε το Predator the Thief
Το Predator the Thief είναι προϊόν start up με όνομα Cytrox και έδρα στη Βόρεια Μακεδονία. Ανασκόπηση των εγγράφων εταιρικού μητρώου δείχνει ότι ιδρύθηκε το 2017 από πέντε Ισραηλινούς και έναν Ούγγρο και είχε εταιρική παρουσία στο Ισραήλ και την Ουγγαρία.
Το 2020 η ιδιοκτησία πέρασε στη Cytrox Holding με έδρα την Ουγγαρία. Αρχεία αναφέρουν ως ‘πραγματικό ιδιοκτήτη’ της εταιρείας τον 70χρονο Ισραηλινό επιχειρηματία και βετεράνο της πολεμικής αεροπορίας, Meir Shamir.
Επιβεβαιωμένα υπάρχουν οντότητες της Cytrox που δραστηριοποιούνται στην Ουγγαρία και το Ισραήλ. Η πρώτη είναι υπεύθυνη για την ανάπτυξη λογισμικού και η δεύτερη για τη διαχείριση των πωλήσεων.
Στην εγγραφή της επιχείρησης στα Σκόπια (όπου γίνεται η παραγωγή, καθώς οι Ούγγροι δεν είχαν ικανοποιήσει), αναφέρεται ότι απασχολεί 16 άτομα και το εισόδημα φτάνει κοντά στο 1.500.000 ευρώ.
Μαζί με έναν εκ των ιδρυτών της εταιρίας, τον Abraham Rubinstein είναι μέτοχοι του ομίλου Aliaada, τα προϊόντα της οποίας κυκλοφορούν υπό το brand “Intellexa”. Είναι ο κύριος ανταγωνιστικής του NSO Group.
Σε περίπτωση που δεν θυμάσαι, το NSO Group είναι η ισραηλινή εταιρία που βρέθηκε στο επίκεντρο του σκανδάλου που αποκαλύφθηκε πριν ένα χρόνο, με την παρακολούθηση δημοσιογράφων κορυφαίων μέσων του πλανήτη, πολιτικών, ακτιβιστών ανθρωπίνων δικαιωμάτων και αξιωματούχων σε επιχειρήσεις, μέσω του λογισμικού κατασκοπείας με το όνομα Pegasus.
Το “απόλυτο spyware”, όπως είχε χαρακτηριστεί, είχε πουληθεί σε διάφορες κυβερνήσεις. Μεταξύ τους και αυτή της Ελλάδας.
Η Intellexa έχει για επικεφαλής τον Tal Dilian, ο οποίος ζούσε για χρόνια στην Κύπρο και είναι πρώην διοικητής των Ισραηλινών Αμυντικών Δυνάμεων (Israel Defense Forces-IDF). Από όταν αποστρατεύτηκε (προηγήθηκε παραπομπή για οικονομικές ατασθαλίες), συνέχισε να ασχολείται με την τεχνολογία πληροφοριών στη βιομηχανία του κυβερνοχώρου “να ανοίγει νέες εταιρίες σε διάφορες περιοχές και να εφαρμόζει αμφίβολες συμφωνίες, όπως προσπαθεί να γίνει πιο πλούσιος”, έγραψε το KYC360.
Στοιχεία δείχνουν πως η εταιρία λειτουργεί και στην Ελλάδα (Intellexa S.A.), χώρα που αναφέρεται στο LinkedIn ως έδρα του Dilian
Παρεμπιπτόντως, συστήνεται ως επιχειρηματίας, φιλάνθρωπος και ιδιοκτήτης επιχείρησης. “Η αποστολή μου είναι να εκπαιδεύσω και να βοηθήσω άλλους να γίνουν οικονομικά ελεύθεροι και να ζήσουν έναν μεγαλύτερο, πιο υγιεινό τρόπο ζωής. Προσφέρω ευκαιρίες στους ανθρώπους, εκτός από την προστασία και τη διασφάλιση της σωματικής τους ασφάλειας”.
Κατά το Forbes ο Dilian ήταν αυτός που έσωσε την Cytrox από τον αφανισμό, με εξαγορά που πλησίασε στα 5.000.000 ευρώ.
Μια προκαταρκτική εξέταση της τεκμηρίωσης του εταιρικού μητρώου δείχνει ότι η συμμαχία έχει εταιρική παρουσία όχι μόνο στην Ελλάδα (Intelexa S.A.), αλλά και στην Ιρλανδία (Intelexa Limited). Η καταχώριση Dun & Bradstreet για την Intellexa S.A. και την Intellexa Limited αναφέρει τη Sara-Aleksandra Fayssal Hamou (ή Sara Hamou) ως βασικό εντολέα και στις δύο εταιρείες. Είναι η δεύτερη σύζυγος του Dilian.
Σε άρθρο του Forbes ο Dilian παρουσίασε στους δημοσιογράφους ένα μαύρο βαν με εξοπλισμό που μπορούσε να κάνει δικό του το περιεχόμενο όσων smartphones υπήρχαν σε ακτίνα ενός χιλιομέτρου, μόλις με το πάτημα ενός κουμπιού.
Όταν οι δημοσιογράφοι σχολίασαν πως αυτό δεν ήταν κάτι που τιμούσε τα προσωπικά δεδομένα ή τα ανθρώπινα δικαιώματα, είχε απαντήσει το εξής:
“Δεν είμαστε οι αστυνομικοί ή οι κριτές του κόσμου. Δουλεύουμε με τα καλά παιδιά. Και μερικές φορές τα καλά παιδιά δεν συμπεριφέρονται καλά”.
Το συγκεκριμένο περιεχόμενο είχε υποκινήσει έρευνα των κυπριακών αρχών, που είχε ως κατάληψη την επιβολή προστίμου 925.000 ευρώ στην εταιρία WiSpear, που ανήκει στον Dilian.
Η εταιρεία είχε αρνηθεί πως είχε πράξει -με τον όποιον τρόπο- παρανόμως. Τώρα η WiSpear λειτουργεί με την επωνυμία Passitora. Έχει για διαχειριστή την Miftah Shamir Holdings, η οποία ανήκει στον ιδιοκτήτη της Cytrox, Shamir.
Όταν το Citizen Lab δημοσίευσε όσα διάβασες, ενημέρωσε και ότι “ως διευθύνων σύμβουλος αναφερόταν ο Ivo Malinkovski”.
Στην ιστοσελίδα που έχει ο Malinkovski αναφέρει ότι ολοκλήρωσε τις μεταπτυχιακές του σπουδές στη Διοίκηση και την Παγκοσμιοποίηση στη Βαρκελώνη. Η πρώτη του δουλειά ήταν στην ομάδα μάρκετινγκ και πωλήσεων της εταιρίας της οικογενείας του, Vino M DOOEL Skopje που ασχολείται με τις πωλήσεις κρασιού.
Ακολούθησε η θέση marketing and sales manager για τα κρασιά του οικογενειακού οινοποιείου “Chateau Kamnik” και η είσοδος στο διεθνές εμπόριο (ως project manager της Mikei Internacional -άλλης μιας οικογενειακής επιχείρησης με αντικείμενο τις υπηρεσίες και τα μέσα ασφαλείας που είναι ό,τι φαντάζεσαι).
O Malinkovski δεν αναφέρει πουθενά τη Cytrox, ενώ μετά τις αποκαλύψεις κλείδωσε όλα τα social media. Πηγή ωστόσο, που προφανώς και ήθελε να διατηρήσει την ανωνυμία του, αποκάλυψε πως ο πατέρας του Ivo, Ilija (αφεντικό της επιχείρησης με τα όπλα και την ασφάλεια) είχε πάρει μέρος σε διαπραγματεύσεις που αφορούσαν τη Cytrox, όταν ήταν start up. Ο πατήρ φαμίλιας διέψευσε.
Η Ελλάδα ήταν χρήστης του Predator εδώ και χρόνια
Η Cytrox έγινε ευρέως γνωστή το Δεκέμβριο του 2021, όταν ιατροδικαστική ανάλυση είχε δείξει πως ο εξόριστος Αιγύπτιος πολιτικός Ayman Nour (πρώην υποψήφιος για την προεδρία και επικριτής του Αιγύπτιου ηγέτη Abdel Fattah al-Sisi) και ένας Αιγύπτιος δημοσιογράφος είχαν ‘χακαριστεί” από το Predator -με ένα link που είχε σταλεί στο WhatsApp.
Η παραβίαση έγινε αντιληπτή, όταν η συσκευή ‘ανέβαζε’ διαρκώς θερμοκρασία και ο κάτοχος της την πήγε για έλεγχο.
Οι διωκτικές αρχές ερεύνησαν και είδαν ότι το τηλέφωνο του Nour είχε και το Predator και το Pegasus. Μετά το ‘σκανάρισμα’ στους servers ανακάλυψαν ότι η Cytrox είχε πελάτες στην Ελλάδα, την Αρμενία, την Αίγυπτο, την Ινδονησία, τη Μαδαγασκάρη, το Ομάν, τη Σαουδική Αραβία και τη Σερβία.
Σε άμεσο χρόνο η νυν Meta αφαίρεσε περίπου 300 λογαριασμούς, οι οποίοι ήταν συνδεδεμένοι με την Cytrox από στο Facebook και το Instagram.
Ο κολοσσός είχε ανακοινώσει ότι ανακαλύψει όσα είχε ‘εγκαταστήσει’ η start up, για να πλαστογραφήσει νόμιμες οντότητες ειδήσεων στις χώρες του ενδιαφέροντος της -ώστε να μιμηθεί νόμιμες υπηρεσίες συντόμευσης διευθύνσεων URL και υπηρεσιών κοινωνικών μέσων, στο πλαίσιο της εκστρατείας fishing και εισόδου σε ηλεκτρονικές συσκευές.
Η έρευνα αποκάλυψε πως η Cytrox είχε από την αρχή ως πλάνο να αναπτύξει λογισμικό παρακολούθησης “κυρίως για χρήση από την αστυνομία και τις κρατικές υπηρεσίες ασφαλείας”. Ώσπου ανακάλυψε μια πιο επικερδή αγορά, με θύματα όποιον επιλέγουν οι πελάτες της.