ΕΥΠ: Επικοινωνία με τη Hacking Team

Τον Ιούλιο του 2015 η ιστοσελίδα WikiLeaks δημοσίευσε ένα εκατομμύριο μηνύματα ηλεκτρονικού ταχυδρομείου από την εσωτερική αλληλογραφία της ιταλικής ιδιωτικής εταιρίας Hacking Team. Η εταιρία Hacking Team ειδικεύεται σε δύο τομείς, λογισμικά παρακολούθησης για κρατικούς οργανισμούς, και εργαλεία εκμετάλλευσης κενών ασφαλείας για απόκτηση μη εξουσιοδοτημένης πρόσβασης για κρατικούς οργανισμούς. Ανάμεσα στα άλλα η διαρροή είχε και μία επικοινωνία της ΕΥΠ (Εθνική Υπηρεσία Πληροφοριών) για αγορά ενός λογισμικού παρακολουθήσεων όπως θα δούμε σε αυτό το άρθρο.

Πηγή: PoliceNet.gr

Όλα ξεκίνησαν τη Τετάρτη 5 Νοεμβρίου του 2014 στις 09:28:27 όταν ένας υπάλληλος της ΕΥΠ με τη ψεύτικη-προσωρινή διεύθυνση ηλεκτρονικού ταχυδρομείου advsdl@otenet.gr έστειλε μήνυμα στο info@hackingteam.com ζητώντας πληροφορίες για το πρόγραμμα παρακολουθήσεων RCS Galileo της εταιρίας, συστήνοντας τον εαυτό του ως «Ανδρέας» από το Υπουργείο Δημόσιας Τάξης & Προστασίας του Πολίτη. Βλέπετε το email παρακάτω.


«Hi

Please provide us with more detail about R C s Galileo and what is the procedure for supply us with your product. What about prices ?

On Behalf of MiNISTRY OF PUBLIC ORDER AND CITIZEN PROTECTION

Andreas»



Στη 13:05 ο υπεύθυνος πωλήσεων της εταιρίας Hacking Team κύριος Μασιμιλιάνο Λούπι απάντησε ασφαλώς ότι το πρόγραμμα αυτό απευθύνεται μόνο σε κρατικές υπηρεσίες και γι’αυτό θέλει περισσότερες πληροφορίες για να συνεχίσουν την επικοινωνία. Βλέπετε την απάντηση του κυρίου Μ. Λούπι παρακάτω.


«Hello Sir,

thank you for your email and the interest in our technology.

As you can imagine, our solution is dedicated to governmental agencies only; because of this, I kindly ask you to provide us some more information.

Are you from a private company working with the ministry?

If you are from the ministry directly, would you be so kind to send us an email from your official address?

Please, feel free to call me directly if needed.

Best regards,
Massimiliano Luppi
Key Account Manager
»



Μόλις λίγα λεπτά αργότερα ο υπάλληλος της ΕΥΠ «Ανδρέας» έστειλε μία απάντηση στο κύριο Μασιμιλιάνο Λούπι, υπεύθυνο πωλήσεων της Hacking Team. Το email του αυτή τη φορά ήταν από μία επίσημη διεύθυνση της ΕΥΠ, τη διεύθυνση st@nis.gr. Βλέπετε την επικοινωνία παρακάτω που απλώς ενημερώνει ότι είναι ο ίδιος Ανδρέας που είχε επικοινωνήσει νωρίτερα από τη διεύθυνση advsdl@otenet.gr.


«Hi Mr Massimiliano Luppi

Thank you for your answer. I am writing from office email (Andreas) ministry of Public order and citizen protection-1020/16

Regards
Andrea
»



Δηλαδή, σε ελληνική απόδοση: «Σε ευχαριστώ για την απάντηση. Σου γράφω από το επαγγελματικό μου email (είμαι ο Ανδρέας) από το Υπουργείο Δημόσιας Τάξης & Προστασίας του Πολίτη-1020/16». Την επόμενη ημέρα, δηλαδή τη Πέμπτη 6 Νοεμβρίου του 2014 ο κύριος Μ. Λούπι απάντησε σε αυτό το μήνυμα με μία τυπική επαγγελματική απάντηση (εάν κρίνουμε και από τις άλλες επικοινωνίες του) που ζητάει από τον «Ανδρέα» της ΕΥΠ να υπογράψει τη συμφωνία τήρησης απορρήτου και δηλώνει ότι με χαρά θα μπορούσε να οργανώσει μία συνάντηση στην Αθήνα για να μιλήσουν από κοντά για το τι θέλει η ΕΥΠ από τη Hacking Team. Βλέπετε την απάντηση αυτή εδώ.


«Hello Sir,

thank you for your reply.
Attached to this email you will find our company Non-Disclosure Agreement, I kindly ask you to sign it and send it back.
With reference to your request, we would be more than happy to organize a meeting in Athens in order to better understand your needs/requirements and perform a demo of our solution capabilities.
Please let me know.

Best regards,
Massimiliano Luppi
»



Τελικά, τη Πέμπτη 6 Νοεμβρίου του 2014 ο «Ανδρέας» της ΕΥΠ απάντησε με το ακόλουθο μήνυμα που σε ελληνική απόδοση λέει: «Θα ενημερώσω τον αρχηγό μας και θα σου απαντήσω. Θα μπορούσες να μας δώσεις μία ιδέα από τις τιμές ή τα όρια σας; Δε θέλω να σε βάλω σε ταξίδια, κτλ. αν το κόστος είναι κάτι με το οποίος ο αρχηγός μας θα διαφωνεί. Οπότε πρώτα απ’όλα πρέπει να έχουμε μία ιδέα γι’αυτό εάν γίνεται».


«Hi

I will inform our chief and I will come back soon. By the way is possible to give us an idea of list prices or limits?

I don’t want to involve you In travel etc etc , if the cost is something that our chief maybe will not agree. So first of all we must have an idea about ,if possible.

Rgds
Andreas
»



Αντίστοιχα, ο κύριος Μασιμιλιάνο Λούπι του απάντησε άμεσα την ίδια ημέρα, τη Πέμπτη 6 Νοεμβρίου του 2014. Ουσιαστικά, η απάντηση ήταν ότι δε μπορεί να μοιραστεί αυτές τις πληροφορίες εάν πρώτα δεν υπογραφεί η συμφωνία τήρησης απορρήτου. Επίσης αναφέρει ότι η τιμή εξαρτάται από το πόσες άδειες, δηλαδή πόσες συσκευές θα παρακολουθούνται, και τι λειτουργικά συστήματα στοχεύει η υπηρεσία. Βλέπετε ολόκληρο το email της απάντησης παρακάτω.


«Dear Sir,

With reference to your request about prices, due to the sensitive information we are going to share, I’d preferr to discuss this topic in more details after the signature
of the Non-Disclosure Agreement.

However, in order to give you a budgetary information, please note that the price mainly depends on how many licenses (devices to be monitored) and operating syetems you want
to monitor.

Knowing those 2 factors will help me to better understand your needs and start building an initial budgetary offer.
Please let me know.

Best regards,
Massimiliano Luppi

Key Account Manager
HackingTeam
»



Το παραπάνω εστάλη στις 6:59:15 ώρα Ελλάδος και ο «Ανδρέας» απάντησε την ίδια ημέρα στις 10:48:42 με μία σύντομη απάντηση που βλέπετε παρακάτω και πρακτικά λέει ότι θα ενημερώσει τον αρχηγό του για την υπογραφή της συμφωνίας τήρησης απορρήτου και αναμένει την απάντηση του για τη συνάντηση.


«Hi

I understand very well.

I have inform our chief about the NDA and I am waiting for his answer.
Thanks again.I will come back soon.

Regards
Andreas
»



Σχεδόν αμέσως, ο κύριος Μ. Λούπι ευχαρίστησε τον «Ανδρέα» και του είπε ότι για οτιδήποτε άλλο χρειαστεί μπορεί να επικοινωνήσει μαζί του. Το σχετικό email είναι το ακόλουθο.


«Hello Sir,

Thank you.
In the meantime, don’t hesitate to contact me if you have further questions.

Best regards
Massimiliano Luppi


Massimiliano Luppi
Key Account Manager
Sent from my mobile.
»



Λίγα λεπτά αργότερα, στις 13:28:09 ο «Ανδρέας» της ΕΥΠ από την ηλεκτρονική διεύθυνση st@nis.gr απάντησε ότι έχει πολλές απορίες αλλά μπορεί να περιμένει για την υπογραφή της συμφωνίας. Μερικές ερωτήσεις του ήταν είναι: «σίγουρα δεν εντοπίζεται από αντιικά προγράμματα;», «τι γίνεται με νέες εκδόσεις λειτουργικών συστημάτων;», «μόνο η ΕΥΠ θα γνωρίζει το που, πως, κτλ;». Μπορείτε να δείτε ολόκληρο το email του παρακάτω.


«I have a lot of questions ,but lets first wait .

For example questions are ,what about antivirus sytems ,what about new versions ,if the solution is closed ,meaning that only us know where and how etc etc

Regards
Andreas
»



Λίγο αργότερα την ίδια ημέρα, τη Πέμπτη 6 Νοεμβρίου του 2014, στις 13:31:27 ο «Ανδρέας» έρχεται ξανά σε επικοινωνία με τον κύριο Μ. Λούπι για να τον ενημερώσει ότι οι στόχοι τους είναι λειτουργικά συστήματα Windows και Linux αλλά δεν είναι σίγουρος εάν χρειάζονται εργαλεία παρακολούθησης για Android και iOS. Επίσης αναφέρει ότι για τη πρώτη φάση θέλουν ένα μικρό αριθμό από άδειες χρήσης για παρακολουθήσεις, γύρω στις 5 στόχους, αλλά εξαρτάται από το πως λειτουργούν αυτές οι άδειες χρήσης. Βλέπετε το αντίστοιχο μήνυμα παρακάτω.


«As t give you also an idea
The operating system is mainly windows and Linux .I don’t know if there exist for android and Ios
Also for the quantity we don’t want a lot for beginning first phase .maybe till 5 for the first phase.
A question is what license mean and how this is working.

Andreas»



Αρκετές ημέρες αργότερα, τη Παρασκευή 14 Νοεμβρίου του 2014 ο «Ανδρέας» της ΕΥΠ επανέρχεται από τη διεύθυνση της OTENet (advsdl@otenet.gr) στις 12:02 με ένα σύντομο μήνυμα ότι μέχρι το απόγευμα θα έχει στείλει την υπογεγραμμένη συμφωνία τήρησης απορρήτου. Βλέπετε το email αυτό στη συνέχεια.


«Hi

Till afternoon I will send you the NDA .

Regards
Andreas
»



Λίγη ώρα αργότερα την ίδια ημέρα, στη 13:10 για την ακρίβεια, ο κύριος Μ. Λούπι απαντάει θετικά χωρίς ιδιαίτερα χρήσιμες πληροφορίες. Βλέπετε και αυτό το email παρακάτω.


«Hello sir,

perfect! Thank you!

Massimiliano Luppi
Key Account Manager
»



Όλη η επικοινωνία από εδώ και πέρα γίνεται μέσω της διεύθυνσης ηλ. ταχυδρομείου της OTENet (advsdl@otenet.gr) και πράγματι, στις 14:41:28 της ίδιας ημέρας ο «Ανδρέας» επιστρέφει με τις συμφωνίες τήρησης απορρήτου. Ήταν τα αρχεία Scan001.pdf, Scan002.pdf, και Scan003.pdf αλλά δυστυχώς δεν είναι διαθέσιμα από το δημόσιο αρχείο του WikiLeaks. Βλέπετε το email εδώ.


«Please find attached the signed NDA

Please provide us with details about capabilities, methods of working ,best practices , prices etc etc

Regards
Andreas
»



Την ίδια ημέρα στις 18:35 ο κύριος Μ. Λούπι έστειλε στον «Ανδρέα» ένα κρυπτογραφημένο αρχείο που περιείχε όλες τις λεπτομέρειες του προγράμματος. Ωστόσο, για λόγους ασφαλείας το κωδίκο για αποσυμπίεση του αρχείου τον έδωσε στον «Ανδρέα» μέσω τηλεφώνου. Πολύ καλή πρακτική από τον κύριο Μ. Λούπι και την εταιρία του.


«Hello Sir,

I’m sending you the solution description.

Inside you’ll find many of the information you are looking for. Is a zip file protected with password.

Please send me your mobile number so I can give it to you.

With reference to the price, I would like to better understand with you which operating systems you would like to monitor and how many devices (licenses); knowing this 2 details will allow me to better understand your needs.

Best regards,
Massimiliano Luppi
Key Account Manager
»



Με μεγάλη διαφορά το πιο ενδιαφέρον μήνυμα εστάλη από τον «Ανδρέα» τη Κυριακή 16 Νοεμβρίου του 2014 στις 14:55. Αναφέρει ότι για τη πρώτη φάση του προγράμματος θέλουν κάτι απλό που δεν απαιτεί παραπάνω από 1-3 άδειες. Έχουν φυσική πρόσβαση στο στόχο που χρησιμοποιεί Windows 7, XP, 2008 Server, Windows 8 ή Windows 8.1 και θέλουν να στείλουν κάποιον να εγκαταστήσει το λογισμικό παρακολούθησης χωρίς να εντοπιστεί από αντιικά προγράμματα. Αυτό που τους ενδιαφέρει είναι η συλλογή δεδομένων από τον υπολογιστή-στόχο όπως συζητήσεις στο Skype, κωδικούς πρόσβασης στα μέσα κοινωνικής δικτύωσης, κτλ. Επίσης, ρωτάει πως θα είναι σίγουροι ότι τα δεδομένα που θα υποκλέπτονται θα μεταφέρονται ανώνυμα, και δεύτερον, ρωτάει εάν ο στόχος έχει συστήματα τοίχους προστασίας (firewall) και κεντρική καταγραφή (log servers) κατά πόσο το λογισμικό θα είναι ασφαλές. Βλέπετε το πλήρες email του «Ανδρέα» στη συνέχεια όπως ακριβώς εστάλη στο κύριο Μ. Λούπι.


«Dear sirs

Thanks a lot for your information. Actually our most questions are solved but also new ones is raised.

In any case for the first phase we want to start we want simple things.

A simple scenario
1. Suppose we are able to have physical access to a computer running windows 7 or Xp or 2008 server or windows 8,8.1
2. We want manually install the agent and be sure that the antivirus system does not alert.
3. We want to collect data from the target computer for skype convertations passwords from using social media etc.

This is the first phase . Then we will go further step by step

For the moment we want 1-3 agents for the above situations

Questions,
1. for the anonymizes should we take care and find solution or there exists some standard ways from you ?
2. If I install an agent to a computer that belongs to a network which is the behavior Of the agent? Especially if in the network thee exists firewalls ,log server etc etc?

Regards
Andreas
»



Τη Δευτέρα 17 Νοεμβρίου του 2014 στις 07:43 ο κύριος Μ. Λούπι απάντησε ότι θα ταξιδεύει και δεν είναι σε θέση να απαντήσει αυτή τη στιγμή. Βλέπετε το σχετικό μύνημα παρακάτω.


«Good morning Sir,

Today I’m traveling all day long.
Tomorrow I will send you a detailed email with all the answers to your questions.

Best regards,
Massimiliano Luppi
»



Στις 09:38 της ίδιας ημέρας ο «Ανδρέας» απαντάει ότι η υπηρεσία του ενδιαφέρεται για όλες τις ικανότητες της πλατφόρμας τους αλλά για αρχή θέλουν να ξεκινήσουν με μικρά βήματα. Το email αυτό το βλέπετε εδώ.


«Also keep in mind

That we want to go step by step. It means that we are interested in all capabilities of the platform etc etc but also we want to in the beginning to test first and pay as we go in general

Regards
Andreas
»



Τη Τρίτη 18 Νοεμβρίου 2014 στις 16:18 ο κύριος Μ. Λούπι απαντάει στον «Ανδρέα» με τις απαντήσεις στα ερωτήματα του σε ένα κρυπτογραφημένο αρχείο που έχει τον ίδιο κωδικό που είχε μοιραστεί και πριν μέσω τηλεφώνου. Επίσης, του αναφέρει ότι στο εν λόγω κείμενο μπορεί να δει ένα ενδεικτικό κόστος για αυτά που περιέγραψε. Το μύνημα αυτό το βλέπετε παρακάτω.


«Hello Sir,

please find attached a document with the answers to your questions, the password is the same we used last time.

With reference to your last email, I would like to better understand:
Are you talking about a proof of concept before the purchase or are you referring to a “renting solution”
Please consider that the renting is not possible.
Inside the document I gave you a rough estimation of how much the configuration you indicated would cost.

Kindly let me know how you would like to move forward.

Best regards,
Massimiliano Luppi
Key Account Manager
»



Την ίδια ημέρα, Τρίτη 18 Νοεμβρίου του 2014, στις 18:16 ο «Ανδρέας» απάντησε. Η απάντηση έχει αρκετό ενδιαφέρον καθώς είναι αρκετά έντονη σε τόνο. Ο «Ανδρέας» περιγράφει πως η λύση τους είναι εξαιρετική αλλά η τιμή είναι υπερβολικά ακριβή και λυπάται που δε θα έχει την ευκαιρία να τη χρησιμοποιήσει. Έπειτα συνεχίζει με μία περίεργη ερώτηση, «γιατί είναι τόσο ακριβή;», δηλώνοντας ότι μπορεί να βρει συστήματα υποκλοπής για μερικές εκατοντάδες Ευρώ αλλά όχι με τις δυνατότητες του RCS Galileo και δε πιστεύει ότι το Υπουργείο του μπορεί να βρει αυτά τα χρήματα σήμερα.


«Hi

The software and solutions is excellent! The price is out of the question!! I am very sorry that I will not have the opportunity to manage and use such a software and solution!

Why is so expensive ? Meaning someone can find in the market other solutions –maybe no so advanced but in general can do some job with only few thousands and maybe less

Some keyloggers in market is only few hundred euros ..offcourse not with the same functionality but…. I don’t think that our ministry in now days can pay such amount of money is impossible!

Andreas»



Η τελευταία επικοινωνία ήταν τη Τετάρτη 19 Νοεμβρίου του 2014 στις 12:29 από το κύριο Μ. Λούπι που ευχαριστεί τον «Ανδρέα» που αναγνωρίζει το ποιότητα του RCS Galileo. Στη συνέχεια του αναλύει πως η Hacking Team ήταν η πρώτη εταιρία που έφτιαξε κάτι τέτοιο και έχει πελάτες πάνω από 50 κυβερνήσεις παγκοσμίως. Επίσης, του εξηγεί πως οι λύσεις των λίγων εκατοντάδων Ευρώ δε συγκρίνονται σε ποιότητα και αξιοπιστία. Του εξηγεί πως το RCS Galileo μπορεί να επιτίθεται, να μολύνει, και να παρακολουθεί υπολογιστές και κινητά χωρίς να εντοπίζεται, υποστηρίζει και τα τρία δημοφιλή λειτουργικά συστήματα (Windows, OS X, και Linux), όπως επίσης και δημοφιλή κινητά (Android, iOS, Blackberry, και Windows), και δίνει εύκολη πρόσβαση σε όλα τα δεδομένα του στόχου όπως συνομιλίες Skype, μέσα κοινωνικής δικτύωσης, που βρίσκεται ο στόχος, κρυφές καταγραφές από το μικρόφωνο, κτλ. Τέλος του περιγράφει πως το RCS Galileo μπορεί επίσης να κάνει αυτόματη συσχέτιση για να βρει ενδιαφέροντα δεδομένα για το στόχο της υπηρεσίας, και ασφαλώς η εταιρία είναι ανοικτή σε συζητήσεις για να δουν εάν μπορούν να κάνουν κάποια καλύτερη τιμή. Βλέπετε ολόκληρο αυτό το μήνυμα εδώ.


«Hello Sir,

I’m happy to know that you realize how truly developed and advanced our solution is.

With reference to your concern about the price, please note that HackingTeam has been the first company to develop such kind of solution, because of this we are market leaders in this sector with more than 50 customers all over the world.

As you have seen from the solution description I sent you, we are not talking about a keylogger, one of those cheap solution that can be bought on internet for few hundreds euros.

Such solution are not only cheap but also not reliable: the collected date will pass to a third party servers, this means that your investigations will rely on a solution you cannot control.

Remote control system is designed to attack, infect and monitor target PCs and Smartphones, in a stealth way.

It allows you to covertly collect data from the most common desktop operating systems, such as:
-Windows
-OS X
-Linux

Furthermore, Remote Control System can monitor all the modern smartphones:
-Android
-iOS
-Blackberry
-Windows Phone

Once a target is infected, you can access all the information, including:
-Skype calls
-Facebook, Twitter, WhatsApp, Line, Viber and many more
-device location
-files
-screenshots
-microphone
-and much more.

To protect your operations, resistance and invisibility to the major antiviruses systems is integral to the solution.

Galileo also introduces Intelligence, a module designed to correlate the collected information, to speed up your investigation and highlight relevant connections.

Last but not least, i would be happy to evaluate with you the budget limitations you have in order to see how we can address the issue.

Best regards,
Massimiliano Luppi
Key Account Manager
»



Πηγή: Monitor.co.ke

Σίγουρα μία πολύ ενδιαφέρουσα διαρροή που δεν εμφανίστηκε στα ελληνικά ή διεθνή ΜΜΕ. Από τη διαρροή μπορούμε να μάθουμε αρκετά για την ΕΥΠ όπως ήταν το 2014. Πράγματα όπως τα παρακάτω:

  • Πρακτική χρήσης προσωρινών διευθύνσεων μέσω της OTENet
  • Ανάγκη για παρακολουθήσεις σε οργανισμούς όπου στελέχη της ΕΥΠ έχουν ήδη φυσική πρόσβαση
  • Πάρα πολύ σοβαρά προβλήματα προϋπολογισμού/χρηματοδότησης για τεχνικά μέσα παρακολουθήσεων
  • Έλλειψη εσωτερικού τμήματος ανάπτυξης λογισμικών εκμετάλλευσης υπολογιστών/παρακολουθήσεων (καθώς βλέπουμε αναζήτηση για έτοιμες λύσεις όπως το RCS Galileo)

Ελπίζουμε όλα τα παραπάνω να έχουν λυθεί εδώ και χρόνια και πλέον η ΕΥΠ να λειτουργεί αξιόπιστα σε επίπεδα εφάμιλλα άλλων αντίστοιχων ευρωπαϊκών υπηρεσιών όπως η Supo της Φινλανδίας, η GCHQ της Μεγάλης Βρετανίας, η AIVD της Ολλανδίας, η EFIS της Εσθονίας, κτλ. καθώς τα παραπάνω φαντάζουν ως πάρα πολύ σημαντικά προβλήματα για μία εθνική υπηρεσία πληροφοριών & ασφαλείας.

Πηγή: Wikileaks.org & Nis.gr (επεξεργασμένη)

Γράψτε τα σχόλια σας εδώ...

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s