Home Archive by category Sigint (Page 2)

Sigint

Według ustaleń portalu O służbach największy w historii atak cybernetyczny na Niemcy mógł zostać dokonany przez hakerów sympatyzujących z Julianem Assangem. Część z nich, jak wynika z naszego śledztwa, prawdopodobnie pochodzi z Rosji.

Największy atak hakerski w historii Niemiec

Berlińska telewizja RBB poinformowała, że nieznani sprawcy opublikowali osobiste informacje setek niemieckich polityków z w zasadzie każdej partii, za wyjątkiem eurosceptycznej i proputinowskiej AfD. To jednak nie wszystko, bo wyciekły również dane dziennikarzy ARD i ZDF, a także artystów i youtuberów. Atak miał uderzyć również w Angelę Merkel. Agencja DPA podała, że wykradziono adres e-mail, numer faksu i listy napisane przez i do kanclerza Niemiec. Dane prawdopodobnie uzyskane zostały z różnych źródeł, a następnie upublicznione.

W reakcji na te działania sprawą zajęła się niemiecka agencja federalna odpowiedzialna za bezpieczeństwo informacyjne (BSI). Na Twitterze oświadczyła ona, że „najprawdopodobniej nie doszło do żadnego ataku na sieci rządowe”. Więcej o całym zdarzeniu służby niemieckie miały dowiedzieć się dopiero 3 stycznia, chociaż dane wyciekały od miesiąca. Problem polega na tym, że nie wiadomo skąd oraz kiedy je pozyskano i co motywuje sprawców.

Linki do paczek z wykradzionymi danymi były umieszczane regularnie na kontach w serwisie społecznościowym Twitter: @_0rbit oraz @_0rbiter. Zauważyliśmy, że samo konto jest również kompilacją dwóch pseudonimów: 0rbit oraz g0d. W obu przypadkach związanych z hakerem o pseudonimie siph0n. Dlaczego jest to ważne, wyjaśnimy w dalszej części publikacji.

Nie wszystkie wykradzione dane są nowe, ponieważ dotyczą lat 2007-2017. My jednak zwróciliśmy uwagę na pewne koincydencje i postanowiliśmy przeprowadzić własne śledztwo. Oto wyniki dociekań zespołu portalu O służbach:

Ślad nr 1: Tożsamość hakera

W przeszłości nickami „0rbit” oraz „orbit.girl”, „@Orbit_g1rl”, „crysis”, „rootcrysis” i „c0rps” posługiwał się haker Timothy Justen French. To pseudonim taki sam jak na kontach Twittera, wykorzystanych do ujawniania danych przy tzw. wycieku niemieckim.

French w czerwcu 2014 roku został zatrzymany przez FBI. Wpadł, ponieważ nie uczynił użytku z VPN, łączył się z domowego IP oraz nie zachowywał w tajemnicy swojej tożsamości, a FBI miało w jego otoczeniu informatora. Najprawdopodobniej był nim członek grupy NullCrew posługujący się pseudonimem siph0n. W tej sprawie zatrzymano również drugiego nastolatka, Kanadyjczyka Dominika Pennera używającego pseudonimów Null i zer0_pwn, rzekomego założyciela Grupy NullCrew. Penner został skazany na prace społeczne, ponieważ miał dopiero 14 lat. To przypuszczalnie on ujawnił, że siph0n współpracuje z FBI, co wywnioskował po zapoznaniu się z materiałem zgromadzonym w jego sprawie.

W grudniu 2015 roku French przyznał się przed sądem w Chicago do uczestnictwa w atakach dokonywanych przez grupę NullCrew. W listopadzie następnego roku został skazany na karę 45 miesięcy pozbawienia wolności. Okazało się, że nie tylko uczestniczył w cyberatakach, ale publikował informacje o nich na oficjalnym Twitterze NullCrew. W chwili zatrzymania miał 20 lat.

Czy zatem w sprawie ataku niemieckiego mamy do czynienia z Timothym Justenem Frenchem, który posługiwał się nickiem 0rbit?

Gdyby założyć, że French oczekiwał na wyrok w USA od czerwca 2014 roku i na poczet kary zaliczono mu 45 miesięcy (3 lata 9 miesięcy) wcześniejszej odsiadki, wyszedłby najwcześniej w połowie marca 2018 roku. Musimy też pamiętać, że konto twitterowe _0rbit zostało założone w dniu 09 lutego 2015 roku, _0rbiter 25 grudnia 2016 roku, a w grudniu 2015 roku w Internecie pojawiła się informacja, że _Orbit dziękuje za wsparcie i oczekuje w USA na proces w związku z atakami z lat 2013-2014.

Wszystkie te wydarzenia mają miejsce w trakcie odsiadki Frencha. Natomiast jest mało prawdopodobne, że po odbyciu kary on sam zdecydowałby się wykorzystać swój pseudonim do organizacji tzw. wycieku niemieckiego.

Co więcej, sprawdziliśmy, że przebywa w więzieniu.

W dniu 4 stycznia, w którym media ujawniły wyciek, rano pojawiła się informacja, że Timothy French 13 stycznia wychodzi z więzienia.

Należy zadać pytanie, czy mógł korzystać z cudzej pomocy lub inspirować innych do działania? Z całą pewnością tak. Nie jest bowiem problemem zmiana nazwy konta na Twitterze, w dowolnym czasie lub zlecenie jego utworzenia. Może chodziło też o oddanie swoistego „hołdu” 0rbitowi, który właśnie wychodzi z więzienia?

Sprawę uzyskania jednoznacznej odpowiedzi komplikuje fakt, że nie znamy czasu, w którym wyciekły dane w Niemczech oraz motywów, dla których są one publikowane. Wiemy jedynie, że sposób publikowania „wycieków” pasuje do 0rbita i pozostałych członków grupy NullCrew, np. siph0na.

Nie byłby to też pierwszy przypadek tworzenia na portalach kont o nazwie „0rbit” w celu publikowania wycieków i przypisania mu odpowiedzialności za nie. Tuż po ogłoszeniu zatrzymania Frencha przez FBI, z konta na pastebin.com, utworzonego już po zatrzymaniu Frencha, opublikowano wyciek adresów e-mail i haseł z jednego z izraelskich ministerstw. Autorem wycieku miał być “0rbit”. 

Ślad nr 2: Naśladowcy

Musimy postawić sobie pytanie: czy aktualnie mamy do czynienia z kimś kto naśladuje 0rbita? Jeśli to naśladowca to czym jest motywowany? Żeby znaleźć odpowiedzi na te pytania analizowaliśmy jego otoczenie. Siph0n do tej pory prowadzi stronę internetową: Siph0n.net, na której kolekcjonowane są wycieki. Samą stronę miał utworzyć tzw. “sn”. Jednak jest także możliwe, że skrót sn to skrót od siph0n.

Współpraca FBI z siph0nem była rzekomą przyczyną jego wyrzucenia z grupy hakerskiej NullCrew., która w 2014 roku uległa rozwiązaniu. W tym samym roku, siph0n zaczął samodzielną działalność, a jednymi z pierwszych jego „współpracowników” dokonujących włamań i publikujących dane byli g0d i zer0. Tu znów mamy do czynienia z łudząco podobnym pseudonimem do założyciela grupy NullCrew. Jest też ważne, że g0d na jakiś czas „wypożyczył” pseudonim 0rbit.

Przypuszczamy, że g0d to ktoś kto był w NullCrew, a następnie zmienił pseudonim w związku z rozwiązaniem grupy i zatrzymaniem Frencha, tym bardziej, że w wynikach wyszukiwania, g0d nie pojawia się wcześniej.

Niektóre wycieki (pliki txt) publikowane po czerwcu 2014 roku, kiedy zatrzymano zer0pwn (Null), są podpisane pseudonimem „zer0”, a ostatnie wpisy na stronie autorstwa „zero” są z lipca 2014 roku. Nie powinno to jednak to dziwić, ponieważ strona siph0n anonsowana była jako baza zawierająca „osiągnięcia” hakerskie, za które Grupa NullCrew wzięła odpowiedzialność.

Nie można więc wykluczyć, że „zero” i założyciel NullCrew to ta sama osoba, a działalność grupy siph0n jest w jakimś sensie kontynuacją działalności rozwiązanej Grupy NullCrew, pomimo że „grupa siph0na” w późniejszym okresie starała się odciąć od działalności NullCrew oraz innych grup.

Nie są to jedyne przypadki posługiwania się pseudonimem Orbit. Konto Twitter, na którym początkowo publikować miała „grupa siph0na”, miało nazwę „smitt3nz”.

 Haker smitt3nz (znany również jako „rubber”) twierdził, że jest z Palestyny. Smitt3nz (rubber) wykradał m.in. dane ze strony pokerowej, skupiając się przede wszystkim na adresach e-mail które obejmują kilka z domen rządowych i wojskowych, takich jak: whitehouse.gov, cdc.gov, nasa.gov, dhs.gov, irs.gov, defence.gov.au, army.mil, navy.mil, usmc.mil i af.mil.

Warto przypomnieć, że 0rbit był również podpisany pod dawnym wyciekiem danych z jednego z izraelskich ministerstw.

Czy zainteresowanie witrynami rządowymi miało zaspokoić jedynie ciekawość hakerów, czy działali na czyjeś zlecenie – tego nie wiemy i nie jesteśmy wstanie ustalić, ale to dobry kierunek do pracy dla śledczych.

Ślad nr 3: Tropy rosyjskie

Czym była Grupa NullCrew? To hakerzy, którzy nie tylko deklarowali poparcie dla działalności Juliana Assange i Wikileaks, ale w sierpniu 2012 roku, czynnie wsparli cyberatakami ruch #OpFreeAssange, atakując Uniwersytet Cambridge.

Ofiarami grupy w latach 2012-2014 padły m.in. Interpol, brytyjskie ministerstwo sprawiedliwości, biuro premiera, Uniwersytet Cambridge. Ponadto, Światowa Organizacja Zdrowia, Organizacja Narodów Zjednoczonych, Amerykański Departament Stanu, brytyjskie Ministerstwo Obrony, kanadyjski Bell, amerykański Comcast oraz Orange, konglomerat mediowy AlArabiya, ukraińskie Science and Technology Center, Sony.

Poza 0rbitem, w grupie miały brać udział również osoby ukrywające się pod pseudonimami: doc, 3cho, siph0n, Nop, Null, sl1nk, Saturnine, Vlad, Ignit3, airyz, Manst0rm, NullRoute and TiTaN. Twierdzili też, że „nie są częścią Anonymous, ale ich wspierają”, czemu dali wyraz atakując Uniwersytet Cambridge.

Sama grupa NullCrew powstała w 2012 roku, niedługo po rozwiązaniu innej grupy hakerskiej – LulzSec, która podobnie jak NullCrew została rozbita przez FBI dzięki pomocy informatora i od 2012 roku była nieaktywna. Niektórzy członkowie LulzSec, którzy nie zostali zatrzymani, dołączyli do Anonymous.

Czy członkowie Grupy NullCrew mogli być, świadomie lub nie, wykorzystywani przez służby rosyjskie do obrony Juliana Assange? Nie wiemy, ale sądzimy, że w tej sytuacji mogą nabrać, nowego znaczenia związki Assange z członkami Grupy NullCrew, a także  z Rosją.

Z całą pewnością trzeba to sprawdzić.

Jeden z członków grupy NullCrew – brytyjski nastolatek ukrywający się pod pseudonimem sl1nk, zatrzymany w związku z atakiem na Uniwersytet Cambridge, przed laty wskazywał na swoim Twitterze, że pisze z St. Petersburga w Rosji.

Znaleźliśmy też kolejny ślad wiążący siph0na z Rosjanami. Otóż on sam prowadzi konta Twitterowe np. https://twitter.com/datasiph0n – gdzie pisze, że jest z Rosji (podobnie jak inni związani z nim hakerzy). Jedna ze stron siph0na, na której publikowane były wycieki, miała końcówkę „ru”. Po co to robi? Może w dalszym ciągu realizuje zadania dla FBI, a może faktycznie jest w kontakcie z Rosjanami. Zastanawia nas fakt dlaczego FBI zatrzymała jedynie 0rbita i  przyczyniła się do ujęcia NULL-a (zer0), a pozwoliła na działalność siph0na i realizacje kolejnych bardzo dużych ataków przeprowadzonych przez grupę NullCrew?   Ciekawe – prawda?

To kierunek do weryfikacji. Tym bardziej, że gdy w 2012 roku, rosyjscy hakerzy wykradli z Linkedin dane ponad 100 milionów użytkowników kilkaset z nich zostało opublikowanych na stronie „wyciekowej” siph0n-a. Podpisał się pod tym „0x2Taylor”, z mailem @yandex, publikujący z konta „comcastkids”. Później, 15 lipca 2016 roku, też na stronie siph0n.net zostały opublikowane kolejne dane z Linkedina. Ciekawe, że początkowo do całości wycieku z LinkedIna miała mieć dostęp jedynie ograniczona liczba rosyjskich hakerów.

 Epilog

Jesteśmy świadomi, że możemy się mylić w naszym wnioskowaniu. Jest jednostronne i zawiera luki. Badania empiryczne zastąpiliśmy naszym dotychczasowym doświadczeniem, a więc zredagowane hipotezy należy poddać weryfikacji. Nie posiadamy do tego odpowiednich narzędzi, sił i środków. Jednak dzięki zastosowanym zabiegom mogliśmy podzielić się z czytelnikami wątpliwościami, które powinny stanowić wektory działań niemieckich służb, jeżeli będą chciały wyjaśnić szczegółowo sprawę tak rozbudowanego „wycieku” dramatycznie dużej ilości danych.

Fot. Pixabay

Chiński wywiad zagraża Polsce. Warszawa nie reaguje na zagrożenie

Mocarstwa rezygnują ze współpracy z Huawei. Polska ją kontynuuje nieświadoma zagrożenia.

O chińskich gigantach telekomunikacyjnych, takich jak ZTE i Huawei, pisaliśmy na naszym portalu kilkakrotnie.

Rząd Australii, zakazał używania ich sprzętu do budowania krajowej sieci 5G ze względu na chęć zachowania wysokich standardów bezpieczeństwa.

Wcześniej podobną decyzję w odniesieniu do ZTE podjęły władze Stanów Zjednoczonych, a na „tapecie” są już projekty aktów prawnych zakazujących amerykańskim agencjom nabywanie, eksploatowanie oraz wynajem sprzętu telekomunikacyjnego chińskiej produkcji. Mają one wymieniać Huawei jako przykład podejrzanego chińskiego sprzedawcy. Szefowie amerykańskich służb wywiadowczych stoją na stanowisku, że smartfony Huawei oraz ich infrastruktura sieciowa mogą być wykorzystywane do gromadzenia informacji wywiadowczych, w szczególności dotyczy to nowej, zaawansowanej technologii 5G.

Podobną sytuację mamy w Kanadzie. Tam trzech byłych dyrektorów najważniejszych kanadyjskich agencji bezpieczeństwa wzywało rząd federalny by zwrócił uwagę na ostrzeżenia amerykańskich służb wywiadowczych i zerwał związki z chińską firmą Huawei, producentem smartfonów i sprzętu telekomunikacyjnego. Podniesiono także inne kwestie, np. to, że też firma Huawei, założona została przez byłego oficera chińskiej Armii Czerwonej Ren Zhenfei i nie posiada publicznej listy akcjonariuszy.

Wszystkie wymienione państwa z Nową Zelandią oraz Wielką Brytanią są częścią sojuszu wywiadowczego, tzw. Five Eyes i ściśle ze sobą współpracują dzieląc się poufnymi informacjami. Dlatego również brytyjski BT Group zapowiedział likwidację sprzęt chińskich producentów ze swej sieci rdzeniowej 3G i 4G.

Sylwia Czubkowska w na łamach Gazety Wyborczej z dnia 14 grudnia br. w artykule pt. „Największe telekomy w Europie odsuwają się od Huawei. Ale nie w Polsce” zadaje bardzo istotne pytanie: dlaczego Niemiecki Deutsche Telekom i Francuski Orange rezygnują bądź ograniczają współpracę Chińskimi usługodawcami lub producentami w swoich rodzimych państwach?

Tymczasem w Polsce T-Mobile, którego właścicielem jest Deutsche Telekom zawarły umowy na budowę pilotażowych rozwiązań 5G właśnie przy użyciu sprzętu Huawei. Podobnie Orange, wykorzystuje sprzęt Huawei, swojego partnera biznesowego. Zadane przez autorkę artykułu pytanie pozostają bez odpowiedzi.

Naszym zdaniem – władze w Polsce nie sformułowały Polityki bezpieczeństwa w omawianym zakresie, opartej na rzetelnie przeprowadzonej analizie ryzyka, a tym samym efektywnych regulacji. W sprawie, która de facto dotyczy szeroko pojętego bezpieczeństwa ważna byłaby optyka służb specjalnych, które powinny przedstawić pogłębione dane i uświadomić rządzącym, z jak wielkim ryzykiem wiąże się brak należytej troski o integralność polskiej telekomunikacji.

Kiedy wydarzy się coś złego, politycy z reguły narzekają, że służby nie informowały o zagrożeniu, a powinny były, i że trzeba powołać spec komisję do wyjaśnień… Już teraz, w ciemno, można przewidzieć, co powiedzą komentatorzy, kiedy okaże się, że polskie telekomy – inaczej niż europejskie, opanowały firmy z Chin. Skoro służby na całym świecie alarmują przed dopuszczeniem Chińczyków do wrażliwych systemów telekomunikacyjnych – może warto byłoby zastanowić się nad tym i dokonać stosowanej analizy już dzisiaj.

Fot. Pixabay

Terroryści z łatwym dostępem do wiedzy o bazach wojskowych i ich personelu. Wszystko dzięki fitnessowi

Polar, aplikacja fitness, ujawnia ważne dane osób ćwiczących na terenie tajnych obiektów takich jak agencje wywiadowcze, bazy i lotniska wojskowe czy ambasady. Wyniki wspólnego śledztwa w tej sprawie ujawnia Bellingcat i holenderska platforma dziennikarska De Korespondent.

W styczniu Nathan Ruser odkrył, że aplikacja fitness Strava ujawniła wrażliwe miejsca na całym świecie, śledząc i publikując ćwiczenia jednostek wojskowych, w tym żołnierzy w zakonspirowanych placówkach wojskowych. To odkrycie trafiło na nagłówki gazet na całym świecie, ale dzięki Polar, który zasila aplikację Strava można dowiedzieć się jeszcze więcej.

Producent pierwszego na świecie bezprzewodowego czujnika tętna wykorzystuje swoją witrynę “Polar Flow” jako platformę społecznościową, na której użytkownicy mogą udostępniać swoje trasy i przebyte dystanse. W porównaniu do podobnych usług Garmin i Strava to Polar publikuje więcej danych o użytkowniku w bardziej przystępny sposób, co może mieć katastrofalne skutki.

Dom jest tam gdzie Twoje serce

Pokazując wszystkie sesje osoby połączone na jednej mapie, Polar nie tylko ujawnia tętno, trasy, daty, czas, czas trwania i tempo wykonywanych ćwiczeń, ale wśród nich te same informacje np. o żołnierzach, a także położeniu ich domów.

Śledzenie wszystkich tych informacji jest bardzo proste dzięki stronie internetowej: znajdź bazę wojskową, wybierz ćwiczenia opublikowane w tym miejscu i załączony do nich profil. Zobacz, gdzie jeszcze ta osoba skorzystała z połączenia.

Ponieważ ludzie często włączają / wyłączają urządzenia do fitnessu podczas opuszczania lub wchodzenia do mieszkań, nieświadomie zaznaczają ich lokalizację na mapie. Użytkownicy często używają swoich nazwisk w profilach, którym towarzyszy zdjęcie – nawet jeśli nie połączyli swojego profilu na Facebooka z kontem Polar. Polar nie jest jedyną aplikacją, która to robi, ale różnica między nią, a innymi popularnymi platformami fitness, takimi jak Strava lub Garmin, polega na tym, że inne wymagają nawigacji do określonej osoby, aby zobaczyć jego sesje, a każde ćwiczenie ma własną małą mapę. Co więcej, często ograniczają liczbę ćwiczeń, które można oglądać.

Polar pokazuje wszystkie ćwiczenia danej osoby od 2014 roku, na całym świecie i jednej mapie. W rezultacie wystarczy przejść do interesującej strony, wybrać jeden z profilów tam ćwiczących i uzyskać pełną historię tej osoby.

Znać na pamięć

Zaledwie kilkoma kliknięciami można znaleźć oficera wysokiego szczebla bazy lotniczej, znanej z obsługi broni jądrowej. Z domu, niezbyt daleko od tej bazy, zaczął i kończył wiele kolejnych biegów w niedzielne poranki. Jego ulubioną ścieżką jest las, ale czasami zaczyna się i kończy na oddalonym parkingu. Profil pokazuje jego pełne imię i nazwisko.

Działania normalnie osłonięte tajemnicą składają się z niewiarygodnych szczegółów. W bazie Sił Powietrznych Stanów Zjednoczonych, gdzie stacjonują uzbrojone drony, można znaleźć funkcjonariusza wywiadu. Jego nazwisko i zdjęcie profilowe są dostępne.

Możemy znaleźć zachodnich wojskowych w Afganistanie przez stronę Polar. Sprawdzenie krzyżowe nazwy i zdjęcia profilowego za pomocą mediów społecznościowych potwierdziło tożsamość jednego żołnierza lub oficera. Polar pokazał przebyte dystanse i trasy w kilku bazach wojskowych rozrzuconych po całym Bliskim Wschodzie, a także rozpoczęcie i koniec dziesiątek ćwiczeń w domu w stanie Nowy Jork. Na początku 2017 roku, jak „mówi” nam bez problemów aplikacja Polar, odbył podróż do zachodniej części Stanów Zjednoczonych i tam skorzystał z roweru. Zapisał także ćwiczenia, wyruszając z hotelu podczas pobytu w Tajlandii. Wszystkim tym zajęciom towarzyszył znacznik czasu, jego dokładna trasa, tętno i spalone kalorie.

Możemy „przechodzić” przez inne bazy wojskowe na Bliskim Wschodzie, w południowej Azji i Afryce, aby znaleźć zachodnich wojskowych, żołnierzy i kobiety oraz przyporządkować do nich pełne nazwy z profilami społecznościowymi, w tym z LinkedIn. Wybór osób, znalezionych na stronie Polar, które można było zidentyfikować na podstawie upublicznionych informacji i których domy możemy zlokalizować, obejmuje:

• personel wojskowy ćwiczący w bazach znanych lub podejrzewanych o przechowywanie broni jądrowej,
• osoby pracujące w agencjach wywiadowczych, a także w ambasadach, ich domy i inne istotne miejsca ich pobytu,
• osoby pracujące w FBI i NSA,
• personel wojskowy specjalizujący się w cyberbezpieczeństwie, IT, obronie przeciwrakietowej, wywiadzie oraz innych wrażliwych dziedzinach,
• osoby służące na okrętach podwodnych i ich ćwiczenia w bazie okrętów podwodnych,
• osoby z kadry zarządzającej jak i z bezpieczeństwa, pracujące w elektrowniach jądrowych,
• dyrektora generalnego firmy produkcyjnej, ćwiczącego w lokalizacjach na całym świecie,
• Amerykanów w Zielonej strefie w Bagdadzie,
• rosyjskich żołnierzy na Krymie,
• personel wojskowy w Guantanamo Bay,
• oddziały stacjonujące w pobliżu granicy z Koreą Północną,
• lotników zaangażowanych w bitwę przeciwko Państwu Islamskiemu.

Ta lista nie jest wyczerpująca. Udało się wykorzystując lukę w systemie bezpieczeństwa strony Polar dotrzeć do osób ogłaszających swoje ćwiczenia w ponad 200 innych podobnych witrynach i utworzyć listę blisko 6500 unikalnych użytkowników.

Razem ci użytkownicy wykonali ponad 650.000 ćwiczeń, zaznaczając miejsca w których pracują, mieszkają i wyjeżdżają na wakacje. Implikacje związane z bezpieczeństwem są oczywiście poważne. W krajach, gdzie żołnierzom zakazano noszenia mundurów na ulicy w obawie, że spotkają potencjalnego terrorystę, adresy i schematy życia mogą teraz być łatwo dostępne dla każdego, kto ma dostęp do Internetu i spryt, aby korzystać z witryny Polar.

Obecnie łatwo można znaleźć: czas, lokalizacje, dom, zdjęcia i funkcje żołnierza, w strefie konfliktu. Nie trzeba wiele wyobraźni, aby zobaczyć, w jaki sposób dane te mogą być wykorzystywane w niebezpieczny sposób przez ekstremistów lub służby wywiadowcze.

Dotyczy to w szczególności informacji, które udało się zgromadzić na temat personelu w wielu magazynach broni jądrowej.

Ryzyko wynikające z otwartych zbiorów danych Polar stanowi również ryzyko dla cywili, ponieważ osoby motywowane złymi intencjami mogą wykorzystać Polar do sprawdzenia, kiedy i przez jak długi czas użytkownicy w danym obszarze przebywają z dala od swoich domów, a także kiedy przebywają za granicą, jeśli zabiorą ze sobą czujniki tętna.

Po zarejestrowaniu konta, Polar prosi o podanie nazwiska, lokalizacji, wzrostu, wagi, daty urodzenia, płci i liczby treningów w tygodniu. Choć oczywiście można podać fałszywe informacje, większość użytkowników, którzy wzięli udział w ankiecie, dostarczyła wiarygodnych informacji. Oprócz możliwości połączenia konta do Facebooka, Polar oferuje także integrację z pięcioma innymi aplikacjami (w tym ze Strava), aby udostępniać “wszystkie sesje automatycznie”.

Nawet przy ustawieniach prywatności wiele danych będzie nadal dostępnych. Oto kilka przykładów:

Zmiana ustawień prywatności z “Public” na “Followers” nadal pozwoli innym profilom pokazywać imiona, zdjęcia i lokalizację, w której pisali podczas rejestracji.

Użytkownicy musieliby również wyłączyć opcję, która pozwala innym automatycznie stać się „obserwatorem”, jeśli tego chcą.
Zmiana ustawień prywatności dla sesji, nawet na najbardziej rygorystyczne, wpływa tylko na nowe sesje. Starsze, pozostaną widoczne.

Inne witryny fitness, takie jak Strava, zapewniają opcję automatycznego zapobiegania publikowaniu lokalizacji domu lub miejsca pracy. Polar nie.

Możliwe jest usuwanie pojedynczych sesji, ale wiele kont ma zarejestrowane setki sesji, co czyni proces bardzo uciążliwym.

Istnieją sesje na mapie, które są całkowicie prywatne i nie powiązane z niczym innym. Jednakże, gdy kilka takich sesji zaczyna i kończy się w tym samym domu, wciąż można zebrać informacje o tym, kiedy i gdzie przebywa dana osoba.

Identyfikatory użytkownika połączone z “prywatnymi” przebiegami są łatwe do odzyskania, co oznacza, że nadal można łączyć ćwiczenia w różnych lokalizacjach z jedną osobą.

Polityka prywatności została zaktualizowana w sierpniu 2017 roku, a nowe konta mają domyślne ustawienia skonfigurowane w ten sposób aby uwzględniały najwyższy stopień ochrony prywatności, co oznacza, że użytkownicy muszą wyrazić zgodę na udostępnienie.

Polar w odpowiedzi na krytykę oświadczył, że zidentyfikował możliwości ujawniania danych wrażliwych i postanowił tymczasowo zawiesić funkcję “eksploruj”. Obecnie Polar pracuje nad innymi rozwiązaniami tych problemów, takimi jak dodanie możliwości wykasowania za jednym razem historii ćwiczeń.

Wady

Podobnie jak w przypadku większości otwartych źródeł, platforma Polar ma swoje ograniczenia. Dane Polar opierają się na GPS, który może być niedokładny i fałszywy, tak jak Bellingcat opisał w artykule na temat korzystania z danych Strava. Ponadto użytkownicy mogą (i prawdopodobnie powinni) włączać / wyłączać swoje czujniki w pewnej odległości od swoich mieszkań. Jednak trzeba pamiętać, że po wielu treningach punkty początkowe i końcowe zwykle mają uśrednione miejsce lokalizacji.

Dane natomiast są na tyle dokładne, aby można było stwierdzić, kiedy użytkownicy znajdują się na ulicy lub na terenie danego domu. Staje się to trudniejsze, gdy mamy do czynienia z gęstymi miastami i budynkami mieszkalnymi, chociaż większość fitness trackerów dość dokładnie śledzić też wysokość.

W jednym z przypadków śledzono osobę pracującą we wrażliwej lokalizacji i jego powrót do budynku mieszkalnego. Ta osoba często biegała przed budynkiem na ziemi, ale od czasu do czasu zaczęła wykonywać ćwiczenia na znacznie większej wysokości. Różnica między tymi dwoma wysokościami w połączeniu ze współrzędnymi odpowiadała dokładnie podłodze w budynku mieszkalnym.

Sedno sprawy

Możliwość znalezienia nazwisk, a nawet adresów żołnierzy online nie jest nowością. Ilość danych, które ludzie (nieświadomie) umieszczają w Internecie, od dawna budziła obawy zarówno ze strony społeczeństwa, jak i rządów. Oddzielne konta, posty i informacje w mediach społecznościowych można połączyć w całość, aby uzyskać kompletny obraz osoby. Jak widać w setkach artykułów Bellingcat i w innych witrynach opartych na otwartym źródle, obrazy i filmy pokazują wiele danych i można je wykorzystać w geolokalizacji, aby uzyskać dodatkowy kontekst.

Nowością jest to, jak łatwo jest śledzić osoby korzystające z aplikacji fitnessowych, takich jak Strava, a zwłaszcza Polar.

Amerykańskie wojsko już dokonało przeglądu zasad dotyczących monitorowania kondycji i prawdopodobnie inne kraje również to zrobią. Jednak w wielu lokalizacjach wojskowych wciąż można było zidentyfikować wielu amerykańskich użytkowników. Warto również zauważyć, że są to tylko dane z monitorów tętna Polar, podczas gdy istnieje cały świat urządzeń do śledzenia i aplikacji. Na przykład chińskie aplikacje fitness są już wykorzystywane przez setki milionów ludzi i są sponsorowane przez rząd, który ma na celu rozwój “różnorodnych zajęć fitness i specjalnych przedmiotów sportowych”.

Urządzenia i aplikacje fitness to jeszcze jeden obszar, w którym ludzie muszą być świadomi tego, jakie dane są udostępniane, zwłaszcza, że silnie opierają się na wrażliwych danych, takich jak lokalizacja i dane o stanie zdrowia.

Pamiętaj, zawsze, sprawdź uprawnienia aplikacji, spróbuj anonimizować swoją obecność w Internecie i jeśli nadal aplikacja będzie śledziła twoje działania, rozpocznij i zakończ sesje na zewnątrz budynku, a nie przy drzwiach wejściowych. Na koniec, jeśli chcesz uzyskać absolutną pewność, że nie będziesz wpadał w pułapki aplikacji podczas przyszłych ćwiczeń, możesz pozostawić urządzenie w domu, abyś mógł pobiegać anonimowo do rytmu swojego serca.

Źródło: Bellingcat

Fot. Pixabay

Szpiedzy bez granic. W jaki sposób FSB infiltrowało międzynarodowy system wizowy?

Jednym z pytań, które pozostało bez odpowiedzi po ujawnieniu przez Bellingcata tożsamości podejrzanych o otrucie Siergieja i Julii Skripalów, jest to w jaki sposób dwóch tajnych funkcjonariuszy GRU -pułkownik Anatolij Czepiga vel Boszirow oraz Aleksander Myszkin vel Pietrow - było w stanie otrzymać wizy na podróż do Wielkiej Brytanii.

Uzyskanie wizy do Wielkiej Brytanii – tak jak w przypadku większości miejsc w UE – nie jest prostą procedurą. Jednorazowa wiza jest łatwa do zdobycia – wymaga zaproszenia od rezydenta lub firmy w Wielkiej Brytanii albo zorganizowanej wycieczki turystycznej. Jednak aby uzyskać długoterminową wizę wielokrotnego wjazdu – taką, o której jest mowa w kontekście tych dwóch funkcjonariuszy – aplikujący Rosjanie musieli przejść bardziej złożoną procedurę.

Osoba ubiegająca się o wizę musi przedstawić przekonujące uzasadnienie konieczności odbywania wielokrotnych podróży i przedstawić dowody zarówno na stałe związki z krajem ojczystym, jak i zdolność finansową do utrzymania się w Wielkiej Brytanii przez dłuższy czas.

Jak to możliwe, że brytyjski konsulat w St. Petersburgu zezwolił na wielokrotny wjazd dwóm nieistniejącym osobom, które rzekomo twierdziły, że są „międzynarodowymi biznesmenami” z dobrze zaopatrzonymi rachunkami bankowymi, biorąc pod uwagę gęste sito, podyktowane chęcią poznania przeszłości aplikujących o wizę?

To pytanie jest szczególnie istotne, bo proste wyszukiwanie w ogólnie dostępnych rosyjskich bazach danych o otwartym kodzie źródłowym pokazuje, że żadna z dwóch fałszywych osób nie została zarejestrowana jako właściciele – lub członkowie zarządu, jakiejkolwiek z obecnie działających rosyjskich firm.

Szeroko zakrojone przeszukiwanie przez Bellingcat gospodarczych rejestrów w Rosji wykazało, że jedyną firmą, w której „Boszirow” był formalnie zatrudniony, był Kursor Ltd, moskiewski „producent sprzętu medycznego”. Firma została zlikwidowana zaledwie kilka miesięcy po tym, jak Boszirow otrzymał swoją tożsamość w 2009 roku.

Jednak nieistniejące osoby takie jak ofcierowie GRU zaangażowani w próbę otrucia Skripalów najwyraźniej były w stanie uzyskać wizę wielokrotnego wjazdu do Wielkiej Brytanii, a także wizy Schengen. Odwiedzali oni Wielką Brytanię co najmniej cztery razy i wielokrotnie podróżowali do co najmniej 7 innych krajów UE w latach 2014-2018.

Bellingcat i Insider próbują ustalić, w jaki sposób rosyjskie służby bezpieczeństwa „przebijały się” przez zaporę wizową w Wielkiej Brytanii i innych krajach UE.

Hakowanie brytyjskiego systemu wizowego

Gdy śledczy Bellingcat pracowali nad ujawnieniem prawdziwej tożsamości „Boszirowa” i „Pietrowa”, Vadim Mitrofanov oczekujący na decyzję o azyl, skontaktował się z nimi. Przekazał to co jego zdaniem było częścią danych istotnych dla wykrycia sprawców otrucia Skripala.

Vadim powiedział, że dwa lata wcześniej, w 2016 roku pracował jako główny specjalista techniczny w firmie, która ma wyłączność na świadczenie usług przetwarzania wniosków wizowych w konsulatach (również brytyjskich) w Rosji.

Jak wyznał, w tym czasie został zwerbowany do współpracy w charakterze tajnego współpracownika FSB, służby bezpieczeństwa Rosji.

FSB planowała wykorzystać Vadima do próby naruszenia poufności przepływu danych osób ubiegających się o wizę, a także do zhakowania systemu wydawania wiz w brytyjskim konsulacie.

Według słów Vadima, w czerwcu 2016 roku jego prowadzący z FSB zapytał, czy możliwe jest zorganizowanie wiz dla „kilku facetów, którzy muszą odwiedzić Wielką Brytanię”. „Ważne jest, aby ich paszporty zostały zaakceptowane i zatwierdzone bezpośrednio przez konsulat, bez żadnej kontroli i sprawdzania przeszłości oraz bez pozostawienia śladów w centrum wizowym” – poinformował go pracownik FSB. Vadim odpowiedział, że jest to praktycznie niemożliwe, o ile wewnątrz ambasady nie mają swojej osoby.

Outsourcing danych to kwestia zaufania

Prawie rok po tym, jak został zwerbowany przez FSB, Vadim przybył z rodziną do USA na podstawie wizy turystycznej i złożył wniosek o azyl polityczny dla swojej rodziny i dla siebie.

Powód – podany w 10-stronicowym oświadczeniu skierowanym do władz USA, które Bellingcat i Insider przeanalizowali, uzasadniał tym, że – będąc zmuszony do współpracy z FSB, świadomie sabotował ich pracę.

Vadim jest świetnie wyszkolonym specjalistą IT, absolwent poważnej moskiewskiej uczelni inżynierskiej. W 2015 roku pracował w Pekinie, w siedzibie głównej TLSContact, wiodącym dostawcy usług informatycznych i logistycznych dla konsulatów. W skrócie, firma pomagała ambasadom różnych krajów w przetwarzaniu ogromnej liczby wniosków wizowych, pozostawiając jedynie ostateczne decyzje – w proces wydawania wiz – konsulatom. Firma jest wyłącznym partnerem outsourcingowym dla konsulatów z wielu krajów UE.

Praca Vadima obejmowała projektowanie systemów komputerowych w nowych lokalizacjach i w dużej ilości krajów. Był on też kluczowym specjalistą firmy w zakresie zbierania i magazynowania danych biometrycznych.

Outsourcing przetwarzania wniosków wizowych wymaga dużego zaufania ze strony konsulatu, ponieważ pozwala prywatnej firmie gromadzić gigantyczne ilości danych osobowych, dokumentów i danych biometrycznych wnioskodawców, z których tylko część jest przekazywana do wydziałów konsularnych.

Oczywiście, wszyscy pracownicy TLSContact i podobnych firm muszą przejść procedurę sprawdzenia. Praca Vadima wymagała od niego obecności w różnych konsulatach, dlatego on też musiał przejść taką procedurę. Był również poddawany wewnętrznym kontrolom i musiał przedkładać w regularnych odstępach czasu dowód na to, że nie figuruje w rejestrach kryminalnych. W rezultacie powierzono mu pełny dostęp do poufnych danych biometrycznych wnioskodawców, a jego rola w firmie się rozszerzyła. Ściśle współpracował z działami IT sekcji wizowych ambasad UE.

Pod koniec 2015 roku Vadim został przeniesiony do moskiewskiego oddziału firmy. Rosyjskie biuro TLSContact już wtedy zapewniało przetwarzanie wniosków wizowych do brytyjskich i szwajcarskich konsulatów, a jego celem było dalsze zwiększenie udziału w rynku.

Rodzinny koszmar zorganizowany przez FSB

Rozpoczynając pracę w firmie, Vadim mieszkał w Chinach. Tam ożenił się z kobietą z Mongolii. Mieli córkę. Aby pojechać z rodziną do Rosji, Vadim musiał zorganizować dla nich zezwolenie na pobyt, ponieważ nie posiadali rosyjskich paszportów.

Zabrał ich na podstawie bezwizowego porozumienia między Rosją i Mongolią. Było to możliwe ponieważ planowali ubiegać się o pozwolenie na pobyt na terenie Rosji.

To, co nastąpiło po przybyciu do Rosji, było koszmarem. W ciągu następnych sześciu miesięcy władze stawiały rodzinie na drodze wszelkie możliwe biurokratyczne przeszkody – zgodne z prawem i rażąco nielegalne – co uważał za starannie zaplanowaną próbę zmuszenia go do współpracy z FSB.

Jego matka, była wielokrotnie nękana przez władze imigracyjne, a jej dom został przeszukany „pod kątem obecności nielegalnych imigrantów”.

Żona i córka musiały wielokrotnie opuszczać kraj i ponownie wracać, aby nie dopuścić do przekroczenia 30-dniowego limitu na pobyt bezwizowy. Po każdym ponownym przyjeździe biuro ds. migracji wymagało ponownego rozpoczęcia całego procesu składania wniosków – tworząc błędne, niekończące się, biurokratyczne koło.

Wszystkie zarzuty Vadima i jego rodziny, że przeszkody te naruszyły rosyjskie prawa, pozostały bez reakcji, a rzecznik praw człowieka odrzucił ich skargi bez podania przyczyn.

Ostatecznie też odrzucono – bez żadnego wyjaśnienia – rodzinne podanie Vadima o zezwolenie na pobyt. W tym momencie uświadomił sobie, że jest to coś więcej niż nieudolność biurokracji w Rosji. Złożył pozew sądowy przeciwko Federalnej Służbie Migracyjnej.

W tym czasie – w marcu 2016 roku – zwrócił się do niego przychylny „Andrei”, który zaproponował rozwiązanie wszystkich problemów jego rodziny. Później „Andrei” powiedział, że Vadim zwrócił uwagę służby bezpieczeństwa prawie rok wcześniej, w marcu 2015 roku, kiedy złożył wniosek o odnowienie ważności paszportu w rosyjskiej ambasadzie w Pekinie. Jego kwalifikacje zawodowe – i dostęp do poufnych informacji na temat systemów wydawania wiz w krajach zachodnich – uczyniły go głównym celem FSB.

Pierwsze spotkanie z „Andriejem” to rozmowa telefoniczna z nieznanego numeru, która zakończyła się spotkaniem w moskiewskiej kawiarni niedaleko biura TLSContact.

„Andrei” powiedział Vadimowi, że postara się pomóc w rozwiązaniu nieprzyjemnej sytuacji wokół jego rodziny, ale “sprawy nie wyglądają dobrze” i gdyby wyjście nie zostało znalezione, to będzie musiał wszcząć postępowanie karne przeciwko matce Vadima, która chroni nielegalnych imigrantów.

Ponadto, „Andrei” powiedział, że być może będzie musiał zainicjować kontrolę obecnego pobytu Vadima w Moskwie, co oznacza, że jego żona i córka – których ostatni wniosek został odrzucony – zostaną aresztowani. “Byłoby nieprzyjemnie, gdyby twoja żona musiała czekać na deportację w więzieniu” – powiedział.

Jako alternatywę „Andrei” położył na stoliku w kawiarni „Umowę o współpracę z FSB”, wyjaśniając, że gdyby ją podpisał, Vadim musiałby przekazywać FSB informacje dotyczące jego pracy w ośrodku składania wniosków wizowych. Vadim nie miał innego wyboru, jak podpisać umowę, która brzmi wprost:

„Dobrowolnie zgadzam się na świadczenie usług doradczych dla FSB, w celu wspierania działań operacyjnych. Oświadczam, że zostałem poinformowany, że ujawnienie istnienia tej współpracy będzie uważane za ujawnienie tajemnic państwowych, zagrożonych karą więzienia na podstawie kodeksu karnego “

W ciągu następnych kilku tygodni Vadim zauważył, że władze migracyjne zaczynają wywierać presję na rodzinę. Jednocześnie „Andrei” przekazywał bardziej szczegółowe prośby: chciał uzyskać informacje na temat: wewnętrznych regulacji TLSContact i struktury organizacyjnej, sieci IT i projektów infrastrukturalnych, a także korzystania z systemów wykrywania włamań.

Vadim zastosował się do żądań, ale podał fałszywe dane. Krótko po przekazaniu „mapy sieci” Vadim zauważył próby włamania. Kiedy „zanurkował” głębiej w logi dostępu, zdał sobie sprawę, że FSB już wcześniej miała dostęp do kamer CCTV zainstalowanych w centrum aplikacji wizowej. Przypuszczał, że dostęp uzyskano dzięki systemowi SORM-2, umożliwiającemu FSB monitorowanie praktycznie wszystkich nieszyfrowanych połączeń. Jest on obowiązkowy dla wszystkich dostawców usług internetowych w Rosji.

Później Vadim zauważył również, że co najmniej jeden z programów wbudowanych w kamery CCTV został zmodyfikowany, aby zapewnić backdoor do wewnętrznej sieci. Vadim powiadomił zespół bezpieczeństwa firmy o możliwym ryzyku związanym z odkrytymi lukami.

Na początku kwietnia 2016 roku „Andrei” przedstawił Vadima „Aleksandrowi”, który miał być ekspertem działu cyberprzestępczość FSB. „Alexander” zadał dokładniejsze pytania dotyczące struktury wewnętrznej sieci IT firmy i pokazał Vadimowi, przestarzały jej diagram, prosząc o potwierdzenie, czy ten układ zmienił się od czasu zdobycia go przez FSB.

„Aleksander” interesował się również logistyczną interakcją między firmą, a ambasadami. W szczególności pytał o drogę dostarczania paszportów konsulatom oraz o kontrolę dostępu do systemów komputerowych na terytorium konsulatu.

Udaremnione próby ucieczki

Vadim był świadomy, że musi sprostać rosnącym wymaganiom FSB, ale niepokoił się własnym przymusowym współudziałem w łamaniu bezpieczeństwa swojego pracodawcy i zagranicznych ambasad. Vadim wymyślił plan wyjazdu ze swoją rodziną z Rosji.

W ciągu następnych miesięcy rodzina Vadima podjęła kilka prób opuszczenia Rosji, jednak za każdym razem zatrzymywana była przez straż graniczną – lub w innym przypadku przez samego “Andrieja”, a za każdym razem towarzyszyła temu eskalacja ostrzeżeń, że nie powinien podejmować dalszych prób i pogodzić się z losem.

Vadim i jego rodzina, w tym jego niepełnoletnie dziecko, byli kilkakrotnie zatrzymywani w areszcie, za każdym razem wypuszczani po kilku godzinach i interwencji „dobrego” gliniarza „Andreja”. W jednym przypadku żona Vadima została aresztowana i przetrzymywana do czasu rozprawy sądowej, pomimo zaawansowanej ciąży. Vadim uświadomił sobie, że FSB potrzebuje jego rodziny jako formy nacisku na niego i postanowił wykonywać polecenia, przynajmniej tymczasowo.

Kolejne instrukcje „Andreja” stawały się coraz bardziej stanowcze i daleko idące. Kazano mu szpiegować i sporządzać raporty dla FSB dotyczące wniosków wizowych składanych przez niektóre osoby. Wśród nich był Aleksiej Golubowicz, niegdyś partner Jukosu i świadek w sprawie przeciwko Chodorkowskiemu.

Vadim wykonywał polecenia, mając nadzieję na stworzenie iluzji dobrowolnej współpracy. W pewnym momencie Vadim został poinformowany przez Andreja, że preferowana przez FSB osoba szuka pracy jako szef szwajcarskiego centrum wizowego firmy. Kandydat jednak jej nie dostał.

Szokująca prośba

Pod koniec czerwca 2016 roku „Andrei” i „Alexander” powierzyli Vadimowi zadanie: miał stworzyć backdoora w sieci ośrodków wizowych w Wielkiej Brytanii. Vadim powiedział im, że można tego dokonać, ale wymaga to czasu i skupienia.
Obiecał podjąć się zadania po powrocie z właśnie trwającej podróży służbowej do Chin. W zamian zażądał, aby „Andrei” pozwolił żonie i córce przebywać u rodziców w Mongolii, jako odpoczynek od stresu odczuwanego w Rosji.

Entuzjastycznie nastawiony optymizmem Vadima do perspektyw backdoora, „Andrei” wyraził zgodę na propozycję.

Po wywiezieniu rodziny, Vadim powrócił, aby ukończyć pewne projekty dla swojego pracodawcy, TLSContact. Pod koniec sierpnia – i zasadniczo nie wykonując żadnej pracy przy backdoorze – powiedział swojemu prowadzącemu, że musi wyjechać aby sprowadzić rodzinę z powrotem do Rosji.

Bez otrzymania ostatecznej odpowiedzi od „Andreja”, Vadim wprost z pracy, udał się na lotnisko – według jego własnych słów, jak opisał we wniosku o azyl. „W dniu 2 września 2016 roku podjęto próbę aresztowania mnie. Zrobiłem sobie pół dnia wolnego, żeby przygotować moje rzeczy do podróży. Po obiedzie około godziny 14:00 jechałem do biura po mojej zwykłej trasie. Na skrzyżowaniu przed budynkiem biurowym, w którym zazwyczaj działa patrol policji drogowej, zaparkowany był czarny samochód. Osoba stojąca obok samochodu rozpoznała mnie i kazała mi wsiadać. Kiedy, próbowałem zachowywać się tak, jakbym go nie usłyszał, ruszył w moją stronę. Było jasne, że próbował mnie przechwycić. Na szczęście stało się to w zatłoczonym miejscu publicznym, więc po prostu odwróciłem się i uciekłem. Ta osoba mnie wtedy nie śledziła.”

Wykorzystując metodę, którą postanowiliśmy nie publikować na prośbę Vadima, mógł on opuścić Rosję następnego dnia.

Później, Vadim poinformował TLSContakt o okolicznościach jego nagłego odejścia i opowiedział o swojej wymuszonej współpracy z FSB oraz o nieustających próbach infiltracji infrastruktury sieci firmy. Vadim próbował również ostrzec brytyjski konsulat o próbie włamania się FSB.

Próby potwierdzenia historii Vadima

Bellingcat wielokrotnie przeprowadzał wywiady z Vadimem, aby potwierdzał swoją historię. Vadim dostarczył kopie dokumentów przesłanych do odpowiednich władz, a także wiadomości wysłanych do TLSContact i do pracownika, którego znał w konsulacie Wielkiej Brytanii.

Bellingcat doszedł do wniosku, że są to autentyczne dokumenty, przesłane lub wysłane w momencie, na który wskazywał Vadim.

Vadim dostarczył także nagrania dźwiękowe dwóch rozmów telefonicznych między nim, a „Andrejem”. Jednym z nagrań, jest rzekomo wstępna rozmowa telefoniczna wykonana 17 marca 2016 roku przez „Andreja”. W drugiej rozmowie z dnia 29 maja 2016 roku, nie można sprawdzić znaczników czasu nagranych rozmów, ale format audio i format nazw plików – które zawierają znaczniki czasu i numer dzwoniącego – są zgodne z popularną aplikacją do nagrywania połączeń Android.

Bellingcat przeanalizował treści audio połączeń, które nie zawierają żadnych znaków edycji ani manipulacji. W pierwszym połączeniu osoba, która przedstawia się jako “Andrei” zimno, wzywa Vadima i mówi mu, że dzwoni z centrali rosyjskiej służby migracyjnej i że zna sytuację prawną żony Vadima. “Andrei” mówi Vadimowi, że jego matka może być zagrożona karnie i proponuje spotkanie w celu omówienia sprawy. Vadim się zgadza, a “Andrei” proponuje spotkać się gdzieś w okolicach ulicy Pokrowskiej w Moskwie. Zarówno centralne biuro Federalnej Służby Migracyjnej, jak i centrala FSB znajdują się w rejonie ulicy Pokrowskiej. Żądanie Andreja, by spotkać się poza terenem Federalnej Służby Migracyjnej, nie może być uważane za normalną oficjalną praktykę i jest znane z praktyk wymuszania przez rosyjskich urzędników. Taka sytuacja byłby również zgodna z wersją wydarzeń przedstawionych przez Vadima.

Od 29 maja 2016 roku, „Andrei” udziela Vadimowi wskazówek na temat tego, jak jego żona musi postępować podczas zbliżającej się wizyty w smoleńskim biurze imigracyjnym.

Vadim dostarczył też dwa numery telefonów, z których odbierał połączenia od „Andreja”. Bellingcat próbował ustalić ich posiadaczy. Jeden numer jest aktualnie zarejestrowany na niezwiązanego ze sprawą mężczyznę, który powiedział, że ma ten numer od marca 2018 roku i nie wie, kim był poprzedni użytkownik. Drugi numer telefoniczny jest obecnie nieaktywny, ale zapisy pokazują, że w 2016 roku został zarejestrowany przez młodą kobietę pracującą jako barmanka. Kobieta, która – początkowo zgodziła się odpowiedzieć na pytania o „Andreja” – wyłączyła swój telefon i nie jest już dostępny.

Vadim dostarczył także podejrzany dokument, który odkrył podczas pracy dla TLSContact. Plik zawiera zbiorczą bazę danych wszystkich osób ubiegających się o wizy w Wielkiej Brytanii w okresie od kwietnia 2014 roku do maja 2016 roku, które wycofały swoje wnioski przed rozpatrzeniem ich spraw dotyczących wiz.

Vadim uważa, że nie ma uzasadnienia biznesowego dla przechowywania takiej zbiorczej bazy danych i że plik ten mógł być przechowywany i wyeksportowany przez pracownika firmy na żądanie FSB. Prezentowany plik zawiera dane personalne (które anonimizował Vadim przed przedstawieniem Bellingcat) ponad 1500 obywateli rosyjskich. Niektóre nazwiska, takie jak polityków lub osób publicznych, zostały oznaczone pogrubioną czcionką. Właściwości pliku sugerują, że został on utworzony i zmodyfikowany przez osobę, która pracowała w firmie w 2016 roku.

Bellingcat i Insider zwrócili się do brytyjskiego konsulatu z szeregiem pytań związanych z potencjalnymi słabościami łańcucha procesu wydawania wiz oraz z możliwym ryzykiem, jakie stwarza centrum przetwarzania wniosków wizowych infiltrowane przez zagraniczny rząd. Konsulat skierował pytania do brytyjskiego Ministerstwa Spraw Wewnętrznych, które odpowiedziało, że ostateczna decyzja o wydaniu lub odmowie wydania wizy jest składana przez personel konsularny, bez żadnej roli odgrywanej przez przedsiębiorstwo przetwarzające.

W odpowiedzi nie uwzględniono jednak ryzyka, że poufne dane osobowe wnioskodawcy zostaną potencjalnie wystawione na działanie służb specjalnych, ani ryzyka wykorzystania hipotetycznych luk w systemach komunikacji między firmą outsourcingową, a konsulatem.

Te same pytania zadawane były TLSContact, ale nie można było połączyć się z dyrektorem firmy za pośrednictwem centrum telefonicznego firmy. Były dyrektor firmy, który opuścił TLSContact kilka miesięcy przed odejściem Vadima w liście, napisał, że nie był świadomy prób ingerencji firmy trzeciej.

Insider porozmawiał z byłym dyrektorem firmy, którego nazwisko pojawiło się w “raporcie wypłat”. Powiedział, że nie był świadomy jakichkolwiek prób infiltrowania firmy przez FSB. Zapytany o pochodzenie dokumentu, który zawierał uzasadnienie dla odrzucenia wniosku wizowego – i czy był autorem tego dokumentu – zakończył rozmowę.

Bellingcat skontaktował się z FBI, aby uzyskać komentarz, czy otrzymali informację od Vadima i czy informacje te zostały przekazane brytyjskim organom ścigania do wykorzystania w sprawie ataku na Skripala? Do czasu publikacji FBI nie odpowiedziało na zapytanie.

Historia Vadima nie dowodzi jednoznacznie, że FSB lub jakakolwiek inna agencja wywiadowcza odniosły sukces w naruszeniu systemu wydawania wiz, a tym samym umożliwiły funkcjonariuszom GRU wielokrotne podróżowanie do Wielkiej Brytanii i przeprowadzenie próby zabójstwa Skripala. Pokazuje natomiast metody i determinacje, które zostały wykorzystane w próbach zhakowania systemu protokołów wizowych. Takie starania nie są zaskakujące, biorąc pod uwagę, że służby specjalne w sposób naturalny poszukują możliwości legalizowania pobytu w różnych miejscach na terenie Europy.

Jednak wobec braku alternatywnego wyjaśnienia, w jaki sposób ci i inni funkcjonariusze GRU mogli „przemknąć” przez filtr wniosków o wizy wielokrotnego wjazdu, doświadczenie Vadima skłania do konstatacji, że płk Chepiga i płk Miszkin po raz pierwszy udali się do Wielkiej Brytanii i Szwajcarii kilka miesięcy po pierwszym zapytaniu „Andreja” skierowanym do Vadima o możliwości uzyskania wiz do tych państw.

Przypadek?

Źródło: Bellingcat

Chińczycy ukradli numery paszportów 320 mln osób

Cyberatak na sieć hoteli Marriott (Starwood), wykryty we wrześniu br. i ujawniony w ubiegłym miesiącu, spowodował wyciek danych osobowych około 500 milionów gości. Była to część chińskiej operacji wywiadowczej.

Hakerzy zaatakowali także ubezpieczycieli zdrowotnych i dotarli do akt osobowych milionów obywateli USA. Jak twierdzą źródła zbliżone do toczącego się postępowania, cyberprzestępcy którzy dokonali tego włamania podejrzewani są o pracę na rzecz chińskiego Ministerstwa Bezpieczeństwa Państwa. Baza danych Marriotta zawiera nie tylko dane dotyczące kart kredytowych, ale również dane paszportowe. Chińczycy mieli ukraść numery paszportów ok. 320 milionów osób, z których wiele korzystało z usług hotelowych Sheratona, Westina i innych hotelu sieci Starwood. Poza tym, w ręce chińskich hakerów dostały się numery telefonów gości, daty urodzenia i inne dane wrażliwe.

Administracja Trumpa planuje sporządzenie aktów oskarżenia przeciwko chińskim hakerom pracującym na rzecz wywiadu i wojska, a także zdjąć klauzule tajności raportów służb specjalnych dotyczących Chin, by pokazać opinii publicznej działania chińskich służb przynajmniej od 2014 roku, polegających na budowaniu bazy danych zawierającej nazwiska urzędników amerykańskich posiadających poświadczenia bezpieczeństwa.

Geng Shuang, rzecznik chińskiego MSZ zaprzeczył, by Chiny posiadały jakąkolwiek wiedzę na temat ataku hakerskiego wymierzonego w Marriott. Twarda linia Amerykanów widoczna stała się także kilka dni temu, kiedy aresztowano Meng Wanzhou, odpowiadającą za finanse giganta telekomunikacyjnego Huawei, córki założyciela korporacji. Meng, zatrzymana została w Kanadzie, pod zarzutem naruszenia amerykańskich sankcji na Iran.  Jej zatrzymanie rozgniewało Chińczyków. We wtorek kanadyjski sędzia zarządził w stosunku do niej kaucję w wysokości 10 milionów dolarów kanadyjskich (7.5 milionów USD), która ma zostać wpłacona przed ekstradycją Meng do USA. Tego samego dnia ogłoszono, że były dyplomata kanadyjski Michael Kovrig, pracujący dla International Crisis Group, organizacji na rzecz zapobiegania konfliktów, został zatrzymany przez służby bezpieczeństwa Chin.

James R. Clapper Jr., były koordynator amerykańskich służb wywiadowczych, odnosząc się do agresywnych operacji Chińczyków stwierdził: „Jedna rzecz jest dla mnie absolutnie jasna, oni nie zamierzają z tym skończyć”. 

Więcej na temat Huawei pisaliśmy w art. pt. “Byli szefowie służb: Huawei to zagrożenie dla bezpieczeństwa Kanady”.

Źródło: The NewYork Times

Fot. Pixabay

Izraelski kontrwywiad rekrutuje za pomocą gry internetowej

By pozyskać kandydatów do współpracy, posiadających kompetencje w obszarze technologii, izraelska służba bezpieczeństwa Szin Bet, znana też jako Szabak, stworzyła grę o nazwie „Shabah Challenge”, dostępną pod adresem https://www.israelneedsu.com. Portal zachęca odwiedzających, by zidentyfikowali grupę terrorystów o nazwie „Biały wrzesień”.

„Są oni związani z globalnym ruchem dżihadystów i finansuje ich Iran oraz Hezbollah,” informuje portal. „Kilka tygodni temu wykorzystali darknet by ogłosić zwoje zamierzenia, polegające na przeprowadzeniu ataku terrorystycznego o wielkiej skali na Izrael”. Operację swoją nazwali „Izraelski 11 września”. „Są wykwalifikowani i bezwzględni.” Na portalu widnieje też informacja, że część terrorystów już przeniknęło do kraju. „Nasi agencji rozpoczęli realizację operacji, której celem jest powstrzymanie terrorystów”.

Według mediów już około 150 tysięcy osób z całego świata odwiedziło tę stronę, natomiast tylko dwie rozwiązały zadanie. Odwiedzający pochodzą z USA, Rosji, Francji, Wielkiej Brytanii, ze Strefy Gazy, Turcji, Afganistanu, Pakistanu i Iraku. Portal powstał dlatego, ze Szin Bet stara się poszerzać swą bazę kompetencyjną, także w dziedzinie nowych rozwiązań technologicznych, w tym innowacyjnych startupów. Po udanej pierwszej rundzie inwestycji zrealizowanych przez Szin Bet wspólnie z inkubatorem biznesu Uniwersytetu w Tel Awiwie (TAU Ventures), który nosi nazwę „The Xcelerator”, izraelska służba dalej poszukuje nowych rozwiązań. Komisja złożona z przedstawicieli Szin Bet i TAU Ventures wytypuje teraz dziewięć start-upów, które zostaną włączone w czteromiesięczny program inkubatora. Jest on przeznaczony dla początkujących przedsiębiorców, którzy są w stanie wykazać się kompetencjami, nie muszą jednak koniecznie funkcjonować w obszarze bezpieczeństwa.

Źródło: Jerusalem Post

Fot. Pixabay

Zewnętrzna ingerencja we francuskie protesty?

W związku z trwającymi od kilku tygodni zamieszkami, prezydent Francji zapowiedział ważne wystąpienie na początku ubiegłego tygodnia. Czy Emmanuele Macron zasugeruje, że za eskalacją przemocy stoją siły zewnętrzne?

Francuskie służby specjalne intensywnie badają czy za organizacją zamieszek we Francji nie stoją obce służby. Pierwsze ustalenia wskazują, że jest to bardzo prawdopodobne – twierdzą nasze źródła.

Francuskie służby specjalne intensywnie badają czy za organizacją zamieszek we Francji nie stoją obce służby. Pierwsze ustalenia wskazują, że jest to bardzo prawdopodobne. Click To Tweet

DGSI – służba zajmująca się bezpieczeństwem wewnętrznym, ustaliła miedzy innymi, że o ile pierwsza faza protestów była organizowana rzeczywiście spontanicznie, o tyle dalszy rozwój wypadków sugerował już zaangażowanie z zewnątrz. Funkcjonariusze DGSI przeanalizowali między innymi, przy pomocy narzędzi informatycznych, dedykowanych mediom społecznościowym, to w jaki sposób kolportowane były nieprawdziwe informacje o eskalacji przemocy (w tym o ofiarach śmiertelnych po stronie protestujących). Okazuje się, że ponadstandardową aktywność w tym zakresie prezentowały fałszywe konta działające na dwóch najpopularniejszych serwisach społecznościowych. Prawdopodobnie konta te miały szereg wspólnych cech, które pozwalają przyporządkować je do jednego zbioru. Innymi słowy wiele wskazuje, że wszystkie one powstały z inicjatywy tej samej farmy trolli.

W trakcie czynności ustalono także, że organizatorzy procederu nie za bardzo przejmowali się kwestiami „legendowania” o czym świadczy fakt, że wiele z kont powstało dokładnie w tym samym czasie. Nikt też nie dbał o ich dotychczasową zawartość.

Nasze źródła sugerują również, że do zwiększonej aktywności podejrzanych doszło już po tym jak Prezydent Macron ugiął się pod presją protestujących i wycofał z pomysłu podatku paliwowego. Powszechnie liczono, że decyzja ta zatrzyma falę przemocy. Tak się jednak nie stało. Wygląda na to, że ktoś wykonał bardzo dużą pracę, aby mimo sukcesu „żółtych kamizelek” zmobilizować siły protestujących i kontynuować gwałtowne wystąpienia uliczne.

Sytuacja pozostaje więc bardzo napięta a francuskie władze obawiają się, że protesty mogą przerodzić się w coś jeszcze poważniejszego. Dziś celem „żółtych kamizelek” jest już sam prezydent.

DGSI zwróciło także uwagę na bardzo dobrą organizację protestujących (logistyka, łączność, taktyka walk z policją) mimo, iż są to bardzo niejednorodne grupy. Według naszych informacji zeznania niektórych zatrzymanych potwierdzają obawy służb, że w najbliższym otoczeniu liderów protestu są również osoby podejrzewane o współpracę z obcymi służbami. Chodzi tu przede wszystkim o środowiska skrajne, które od dawna znajdują się pod dyskretną obserwacją DGSI – zarówno z prawej jak i z lewej strony sceny politycznej.

Francuska służba DGSI zwróciła uwagę na bardzo dobrą organizację protestujących (logistyka, łączność, taktyka walk z policją) mimo, iż są to bardzo niejednorodne grupy. Click To Tweet

Fot. Pixabay

Szef MI6: tworzymy wywiad czwartej generacji

Rzadko się zdarza, by szef MI6 występował publicznie. W ciągu czterech lat sprawowania tej funkcji Alex Younger przemówił dopiero drugi raz. 3 grudnia br. wygłosił on wykład kierowany do studentów Uniwersytetu St Andrews.

Szef brytyjskiego wywiadu, stwierdził, że technologia cyfrowa dokonała „głębokiej zmiany” w pracy kierowanej przez niego służby. „Świat się zmienia i SIS (Secret Intelligence Service – MI6) zmienia się razem z nim” – powiedział. Dodał jednocześnie, że podstawowe funkcje służb wywiadowczych pozostaną niezmienione. „Nie sądzę, by rola informacji pozyskiwanych przez człowieka zmieniła się fundamentalnie” – stwierdził. „Zawsze będziemy musieli zrozumieć motywacje, zamiary i dążenia mieszkańców innych krajów. Nawet w erze sztucznej inteligencji informacje pozyskiwane przez człowieka są potrzebne. Tak naprawdę, będą one ważniejsze w bardziej złożonym świecie” – skonkludował Younger.

Szef MI6, znany pod kryptonimem „C” powiedział, że zdecydował się na publiczne wystąpienie by poinformować społeczeństwo o tym, „co tak naprawdę robimy – w przeciwieństwie do mitów dotyczących naszej pracy”, a także powodowała nim chęć przyciągnięcia do służby „utalentowanych młodych ludzi” posiadających umiejętności, które pomogą zmierzyć się z wyzwaniami zmieniającej się rzeczywistości.

„Jesteśmy na początku czwartej rewolucji przemysłowej, która dalej będzie zamazywać granice między światem fizycznym, cyfrowym i biologicznym”. „Technologie używane zgodnie z prawem, takie jak dane masowe, nowoczesna analityka i uczenie maszynowe są wielką szansą dla społeczeństwa, również dla MI6. Z drugiej zaś strony byłem też świadkiem tego, jakie szkody nowe technologie mogą spowodować, jeśli trafią w ręce sprawnego przeciwnika, którego nie ograniczają normy prawa czy moralności” – stwierdził Younger.

Szef MI6 wskazał ponadto, że era informacyjna stawia tradycyjnym metodom pracy operacyjnej nowe wyzwania, których celem jest opanowanie nowych technologii w takim zakresie, by działały na korzyść SIS, nie na korzyść jej przeciwników.  Younger powiedział, że „era czwartej rewolucji przemysłowej wymaga wywiadu czwartej generacji”, czyli umiejętności człowieka uzupełnionych potencjałem nowych technologii.

Szef MI6: era czwartej rewolucji przemysłowej wymaga wywiadu czwartej generacji Click To Tweet

W jego opinii praca służb wywiadowczych rozwija się aktualnie w trzech podstawowych kierunkach. Pierwszy z nich polega na wzmocnieniu współpracy z partnerami, jako że potencjał obronny państw „jest testowany na wielu frontach jednocześnie”.

Kolejna wielka zmiana wymaga nauczenia się „prowadzenia tajnych operacji w erze cyfrowej: „Kiedy wstępowałem do SIS, naszym podstawowym zadaniem było dotarcie do tajemnic” – stwierdził Younger. „W świecie zagrożeń hybrydowych nie wystarczy wiedzieć co robi przeciwnik. Trzeba uzyskać zdolność podjęcia działań, które zmienią jego postępowanie” – dodał.

Trzecie wyzwanie dla MI6 to rozwój kompetencji, dążenie do sprawności większej niż przeciwnicy. Era cyfrowa dokonała głębokich zmian w naszym środowisku operacyjnym” – stwierdził. „Dane masowe połączone z nowoczesną analityką sprawiają, że nowoczesny świat staje się transparentny, to fakt który pomógł zawstydzić GRU po ataku w Salisbury. Ale jest też poważnym wyzwaniem, kiedy ktoś go używa przeciwko nam” – podkreślił szef MI6. Dlatego też, pion cybernetyczny jest jednostką rozwijającą się w MI6 najdynamiczniej.

Alex Younger dodał też, że tempo rozwoju technologicznego jest kluczowym czynnikiem, który sprawia, że świat staje się „dramatycznie bardziej skomplikowany”. „Ta złożoność dokonała erozji w granicach, na których tradycyjnie opieraliśmy swoje bezpieczeństwo: to granice między tym, co wirtualne i realne; wewnętrzne i międzynarodowe; rozgrywane między aktorami państwowymi i pozapaństwowymi; co jest granicą między wojną i pokojem. W efekcie tych zmian żyjemy w świecie coraz bardziej niejednoznacznym. Nowe spojrzenie i kreatywność, to w opinii szefa SIS droga, którą podążać będzie kierowana przez niego służba.

Źródło: gov.uk

Fot. Pixabay

Czeski kontrwywiad: główne zagrożenia to Rosja i Chiny

Czeski kontrwywiad (BIS) opublikował 3 grudnia br. jawny raport z działalności za rok 2017. Za kluczowe zagrożenia czeska służba uważa Rosję i Chiny.

Według BIS to Rosja stała za cyberatakami wymierzonymi w czeski MSZ. W opinii służby był to najpoważniejszy do tej pory przypadek cyberszpiegostwa wymierzonego w państwo europejskie. BIS obwinia za ten atak rosyjską FSB, która miała realizować operację „Turla”, oraz GRU, którego działania miały być realizowane przez grupę hakerów znaną jako APT 28.

Czeski kontrwywiad twierdzi, że to Rosja stała za cyberatakami wymierzonymi w czeski MSZ Click To Tweet

Służba twierdzi, że dokonano ataku hakerskiego na 150 kont mailowych. Operacja ta rozpoczęła się na początku 2016 roku, wykryto ją rok później. Czesi stwierdzili, że były to wyrafinowane działania „wrogiego państwa”.  Kolejny atak miał też miejsce w grudniu 2016 roku.

BIS aktywnie rozpoznaje rosyjską aktywność w obszarze tzw. wojny hybrydowej, której narzędziami są portale dezinformacyjne. Zauważa przy tym, że większa część takich portali to efekt aktywności Czechów – ideologicznie motywowanych, przekonanych o szkodliwej roli NATO, UE, USA, liberalnej demokracji, o prorosyjskich poglądach, których rosyjskie podmioty wcale nie wspierają. Osoby te korzystają z wolności obywatelskich i przekazują informacje, w których prawdziwość wierzą.

W swoim raporcie BIS zwraca również uwagę na zjawisko nabywania przez Rosjan prywatnych podmiotów gospodarczych oraz budowania związków rosyjsko-czeskich opartych na korupcji i innych nielegalnych działaniach. Uwagę służby przyciągają rosyjscy inwestorzy (których często reprezentują byli funkcjonariusze rosyjskich służb specjalnych), współpracujący z obywatelami czeskimi albo reprezentującymi zagraniczne spółki przejmujące kontrolę własnościową nad czeskimi firmami uczestniczącymi w ważnych przetargach. Dotyczy to też przetargów ogłaszanych przez tzw. resorty siłowe.

Raport BIS: Rosyjskie służby nabywają czeskie firmy startujące m.in. w przetargach dla wojska Click To Tweet

Ważnym segmentem działalności BIS jest ochrona bezpieczeństwa energetycznego Czech. BIS twierdzi, że już w 2016 roku dało się w tym sektorze zaobserwować zjawiska mające negatywny wpływ na interesy energetyczne tego kraju. Wśród nich był aktywny lobbing prywatnych podmiotów wymierzony między innymi przeciwko najistotniejszym projektom infrastrukturalnym i regulacyjnym. BIS dyplomatycznie pisze, że „zagraniczne podmioty z państw, w których są one silnie związane z administracją rządową” przejawiały stałe zainteresowanie kluczowymi projektami czeskiego sektora energetycznego. Rodziło to szereg ryzyk.

Źródła: Bis.cz, Associated Press

Fot. Pixabay

Irańska propaganda w cyberprzestrzeni

Portal Nile Net Online obiecuje Egipcjanom „prawdziwe informacje“, ale poglądy które prezentuje nie są zgodne z linią egipskich państwowych mediów, podkreślających ciepłe relacje Donalda Trumpa z Kairem.

W jednym z niedawno opublikowanych artykułów portal Nile Net Online opisuje  amerykańskiego prezydenta jako „podrzędnego aktora”, który ośmieszył USA, krytykując Iran na forum ONZ. Do niedawna portal miał około 115 000 followers’ów na Facebook’u, Twitterze i na Instagramie. Jednak podane na stronie numery kontaktowe, w tym np. 0123456789 w rzeczywistości nie istnieją, a lokalizacja na Facebook’u wskazuje miejsce siedziby redakcji na środku ulicy. Notabene stali bywalcy tej lokalizacji o tej redakcji nigdy nie słyszeli.

Powód: Nile Net Online jest elementem operacji wpływu Teheranu. Jest jednym z ponad 70 portali zlokalizowanych przez dziennikarzy Reutersa, udostępniających  propagandę Iranu do 15 państw, w ramach operacji, którą eksperci w obszarze cyberbezpieczeństwa, firmy działające w sektorze mediów społecznościowych i dziennikarze dopiero zaczynają odkrywać.Portale które zostały zlokalizowane przez agencję Reuters odwiedza milion osób miesięcznie. Są one także promowane przez konta w mediach społecznościowych, posiadające ponad milion obserwujących.

Były dyrektor CIA John Brennan powiedział, że wszystkie kraje świata korzystają aktualnie z taktyki wojny informacyjnej. „Irańczycy są wyrafinowanymi graczami w cyberprzestrzeni”, stwierdził.

Według byłego dyrektora CIA, Johna Brennan’a Irańczycy są bardzo aktywnymi graczami w cyberprzestrzeni. Click To Tweet

Niektóre ze zidentyfikowanych portali mają  związki z Teheranem o czym świadczy fakt, że transmitują historie, materiały video i rysunki których źródłem jest internetowa firma International Union of Virtual Media (IUVM), której centrala mieści się w Teheranie. Co istotne portale te posiadają takie tożsame adresy i numery kontaktowe, a w dwudziestu dwóch przypadkach portale pełnią także rolę pasa transmisyjnego i posiadają dane rejestrowe takie jak IUVM.

Ponad 70 portali zlokalizowanych przez Reutersa przekazuje irańską propagandę do 15 krajów. Publikują one informacje w 16 językach, od azerskiego po urdu.  Są wśród nich, na przykład:

  • portal newsowy o nazwie Another Western Dawn, któremu udało się oszukać ministra obrony Pakistanu do tego stopnia, ze groził on bronią jądrową Izraelowi;
  • dziesięć portali, których celem są czytelnicy w Jemenie, gdzie od 2015 roku trwa wojna domowa;
  • portal prezentujący informacje i satyrę w Sudanie;
  • portal o nazwie Realnie Novosti, lub „Real News,” przeznaczony dla rosyjskojęzycznych czytelników, oferujący aplikację telefonu, jednak  nie można ustalić operatora tej aplikacji.

Jak ustalił Reuters, 70 portali powiązanych z Iranem przekazuje propagandę do 15 krajów. Publikują one informacje aż w 16 językach. Click To Tweet

Ustalenie aktualnych powiązań z Iranem jest trudne. Dane lub lokalizacje można zidentyfikować jedynie w oparciu o stare dane rejestracyjne byłych właścicieli tych portali. 17 z 71 właścicieli stron wykazywało w przeszłości dane lokalizacyjne w Iranie lub w Teheranie, albo wskazywało w danych kontaktowych irański numer telefonu lub faksu. Ich aktualni właściciele są głęboko schowani. Co ważne, ponad 50 z wspomnianych portali wykorzystuje amerykańskich providerów internetowych – Cloudflare i OnlineNIC. Firmy te odmówiły Reutersowi informacji, kim są właściciele wskazanych przez agencje portali.

Źródło: Reuters

Fot. Pixabay