Как ФБР прослушивало мир

Как ФБР прослушивало мир

Опубликована часть кода приложения для обмена зашифрованными сообщениями Anom.

Motherboard опубликовала часть кода приложения для обмена зашифрованными сообщениями Anom, которое тайно управлялось ФБР для отслеживания организованной преступности в глобальном масштабе.

Спецоперация ANOM (AN0M или ΛNØM) (известная как Operation Trojan Shield или Operation Ironside) — совместная работа правоохранительных органов из нескольких стран, проводившаяся в период с 2018 по 2021 год, в ходе которой были перехвачены миллионы сообщений, отправленных через предположительно защищенный смартфон в приложении для обмена сообщениями ANOM. Служба ANOM использовалась преступниками, но вместо обеспечения защищенной связи фактически представляла собой троянского коня, тайно распространяемого Федеральным бюро расследований США и Федеральной полиции Австралии (AFP), что позволило правоохранителям контролировать все коммуникации. Благодаря сотрудничеству с другими правоохранительными органами по всему миру в результате операции было арестовано более 800 подозреваемых, предположительно причастных к преступной деятельности, в 16 странах. Среди арестованных были предполагаемые члены базирующейся в Австралии итальянской мафии, албанской организованной преступности, преступных мотоклубов, наркосиндикатов и других организованных преступных групп.

Код показывает, что сообщения тайно дублировались и отправлялись "призрачному" контакту, который был скрыт в списках контактов пользователей. Призрачный пользователь, в некотором смысле, был агентом ФБР и его партнеров из правоохранительных органов, читающим сообщения организованных преступников во время их общения друг с другом.

Схема функционирования бота, фигурирующая в файлах правоохранительных органов

Для отправки мгновенных сообщений приложение использовало протокол XMPP. Кроме того, Anom обеспечивало шифрование сообщений. Контакт внутри XMPP использует специальный дескриптор, который чем-то похож на адрес электронной почты. ФБР внедрило в Anom учётную запись и бот XMPP для поддержки клиентов. Бот был скрыт в списках контактов пользователей Anom и работал в фоновом режиме. На практике приложение прокручивало список контактов пользователя, и когда оно натыкалось на аккаунт бота, приложение отфильтровывало его и скрывало из поля зрения.

Власти ранее выдвигали идею использования фантомного контакта для проникновения в зашифрованные сообщения. В статье, опубликованной на сайте Lawfare в ноябре 2018 года, Ян Леви и Криспин Робинсон, два сотрудника британского разведывательного управления GCHQ, написали, что «разработчик любого мессенджера может незаметно добавить представителя правоохранительных органов в групповой чат или звонок».

В разделе, который обрабатывает отправку сообщений, приложение прикрепляет информацию о местоположении к любому сообщению, отправляемому боту. Для работы приложения требовались специальные разрешения, включая разрешение «ACCESS_FINE_LOCATION». В результате многие из перехваченных сообщений Anom включали точное местоположение устройства по GPS на момент отправки.

Основной код для обработки сообщений был взят из приложения XMPP для обмена сообщениями с открытым исходным кодом. Сам код беспорядочен, большие куски закомментированы, и приложение постоянно регистрирует отладочные сообщения на самом телефоне.

Купер Куинтин, старший технолог активистской организации Electronic Frontier Foundation (EFF), считает "странным", что ФБР использовало обычных разработчиков для сверхсекретной правоохранительной операции.

«Представьте, если бы Raytheon (американский многонациональный аэрокосмический и оборонный конгломерат) нанял компанию по производству фейерверков, расположенную на той же улице, для изготовления ракетных капсюлей, но не сообщил им, что они делают ракетные двигатели», — сказал он.

Компания Motherboard не будет публиковать полный код приложения Anom. По их мнению, код содержит идентифицирующую информацию о тех, кто работал над приложением. Большинство людей, создававших приложение Anom, не знали, что программа была тайным инструментом ФБР для наблюдения за организованной преступностью. Раскрытие личностей разработчиков может подвергнуть серьезному риску их жизни. Motherboard не будет выпускать приложение в открытый доступ или распространять его дальше.

Издание отмечает, что получило код от источника, который предоставил копию APK-файла Anom, и намерено защищать его конфиденциальность.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!