Πώς έγινε η εθνική υποκλοπή στην Cosmote - Μέχρι και 5 εκατομμύρια αριθμοί «ανοίχθηκαν» - Τι έγινε με τον δορυφόρο
Ποιος διέρρηξε την εθνική ασφάλεια και κατάφερε να υποκλέψει αρχεία δεδομένων κινητής τηλεφωνίας τουλάχιστον 3-5 εκατομμυρίων χρηστών από την εταιρεία Cosmote ιδιοκτησίας Deutsche Telekom;O τρόπος που έγινε η υποκλοπή και η χρονική συγκυρία -τουλάχιστον αυτή που εντοπίστηκε γιατί θεωρείται ότι υπήρξαν και άλλες που δεν εντοπίστηκαν- παραπέμπει σε ξένη κρατική υπηρεσία.
Η διάρρηξη των εθνικών αρχείων έγινε με «μάσκα» server στην Λιθουανία, αλλά κανείς μέχρι στιγμής δεν έχει εντοπίσει την προέλευση και την εθνικότητα των δραστών. Οι δράστες κατάφεραν και εισήλθαν μέσα στα αρχεία «σπάζοντας», όλους τους κωδικούς ασφαλείας και «ρουφώντας» τα αρχεία μέσα σε διάστημα μερικών ημερών.
Τώρα το μόνο που πρέπει να κάνουν είναι να διασταυρώσουν επαφές, μέσω της ιχνηλάτησης των αριθμών των κινητών και μέσω των κωδικών IMSI να εισέλθουν στα αρχεία φωνητικών και λοιπών υπηρεσιών (SMS, mail κλπ.), κάτι που σίγουρα έχει ήδη γίνει.
Η υποκλοπή που εντοπίστηκε αφορά το διάστημα 1 έως 5/9/2020 και εκλάπησαν και οι κωδικοί IMSI (International Mobile Subscriber Identity) που είναι ο μοναδικός 15ψήφιος κωδικός ο οποίος χρησιμοποιείται για την αναγνώριση του συνδρομητή στο δίκτυο κινητής τηλεφωνίας.
Αν δούμε τι συνέβαινε τότε θα διαπιστώσουμε ότι ήταν η περίοδος που το τουρκικό πλοίο Oruc Reis ερευνώντας εντός της ελληνικής υφαλοκρηπίδας, είχε «σπρώξει» σε αδιέξοδο την ελληνική πολιτική ηγεσία και είχαν ξεκινήσει διαπραγματεύσεις μεταξύ Αθήνας, Βερολίνου και Άγκυρας για την έναρξη διαπραγματεύσεων που κατέληξαν στο γνωστό φιάσκο.
Πολλοί είχαν ενδιαφέρον διεθνώς να πληροφορηθούν τις προθέσεις της ελληνικής κυβέρνησης και τις κινήσεις των Ενόπλων Δυνάμεων.
Κάτι που δίνει την δυνατότητα να προχωρήσουν σε στοχευμένες απ'ευθείας υποκλοπές συνομιλιών, εκτός από αυτές τις οποίες μπορούν να εντοπίσουν μέσω των αποθηκευμένων ηχητικών αρχείων (όλες οι συνομιλίες καταγράφονται για ένα χρονικό διάστημα).
Στόχος της υποκλοπής υποκλοπή και ιχνηλάτηση των επαφών του πρωθυπουργού Κυριάκου Μητσοτάκη, του συνόλου της κυβέρνησης, όλων των κρατικών υπηρεσιών, όλων των στρατηγικών υπηρεσιών της χώρας, φυσικά των Ενόπλων Δυνάμεων κλπ.
Η υπόθεση εντοπίστηκε από την Cosmote στις αρχές Σεπτεμβρίου και ενημερώθηκε καθυστερημένα η κυβέρνηση, όπως είχε συμβεί και με το σκάνδαλο Vodafone.
«Κατόπιν εορτής» κινητοποιήθηκαν ΕΥΠ και Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) του υπουργείου Εθνικής Αμυνας, καθώς το δίκτυο του ΟΤΕ χρησιμοποιείται και για τις κωδικοποιημένες, κρυπτογραφημένες επικοινωνίες του Μαξίμου και o εν λόγω φορέας (γερμανικών συμφερόντων) αναλαμβάνει την ασφάλεια των επικοινωνιών σε κρίσιμες κυβερνητικές υπηρεσίες, αλλά και οι δορυφορικές φωτογραφίες του ΥΠΕΘΑ και της ΕΥΠ από τον δορυφόρο HELIOS, αλλά και με τους δορυφόρους της Cosmote που «καταγράφουν» ολόκληρο το σύστημα επικοινωνιών των Ενόπλων Δυνάμεων.
Το ζήτημα είναι ότι η ΕΥΠ που είναι υπεύθυνη για την κυβερνοασφάλεια (άλλωστε η υπηρεσία αναφέρεται απ'ευθείας στο γραφείο του πρωθυπουργού, καθώς μετά τις εκλογές υπήχθη απ'ευθείας στον έλεγχο του Κ.Μητσοτάκη) προφανώς δεν κατάφερε να αποτρέψει αυτό που έγινε.
Και το ερώτημα είναι αν η υπηρεσία κυβερνοασφάλειας ή «κυβερνοχώρου», όπως ονομάζεται έκανε αυτό που έπρεπε.
Σύμφωνα με το σχετικό διάταγμα η σχετική Διεύθυνση της ΕΥΠ είναι αρμόδια:
α) για τεχνικής φύσεως θέματα ασφάλειας πληροφοριών (INFOSEC) και ειδικότερα για την ασφάλεια των εθνικών επικοινωνιών, των συστημάτων τεχνολογίας πληροφοριών καθώς και για την αξιολόγηση και πιστοποίηση των διαβαθμισμένων συσκευών και συστημάτων ασφάλειας επικοινωνιών και πληροφορικής
β) για τη συλλογή, την επεξεργασία δεδομένων και την ενημέρωση των αρμόδιων φορέων καθώς και για την, κατά περίπτωση, στατική και ενεργητική αντιμετώπιση των ηλεκτρονικών επιθέσεων κατά των κρίσιμων υποδομών της χώρας και ειδικότερα κατά των δικτύων επικοινωνιών, εγκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής
γ) για τον έλεγχο και την αξιολόγηση ασφάλειας συστημάτων καθώς και για τη συλλογή, εξόρυξη (data mining) και εκμετάλλευση δεδομένων.
Σύμφωνα λοιπόν με την ανακοίνωση της Cosmote τα αρχεία δεν περιλάμβαναν συνομιλίες ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις συνδρομητών, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών, αλλά αυτό όπως είδαμε, μπορεί να γίνει σε δεύτερη φάση, βάσει της ιχνηλάτησης των αριθμών και των κωδικών IMSI (International Mobile Subscriber Identity) που έκλεψαν.
Συγκεκριμένα «Κατά τη διάρκεια ελέγχου των συστημάτων της, ανιχνεύτηκε μη εξουσιοδοτημένη εξαγωγή αρχείου από σύστημα της εταιρείας ως αποτέλεσμα κυβερνοεπίθεσης.
Το εν λόγω αρχείο περιλάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: Αριθμός τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της.
Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI 1 , ηλικία, φύλο, ARPU 2, συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE».
Και συνεχίζει η ανακοίνωση «η εταιρεία απέκλεισε άμεσα την πρόσβαση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη και μέχρι στιγμής, δεν υπάρχει καμία ένδειξη περί δημοσιοποίησης ή άλλης χρήσης του παρανόμως αποκτηθέντος αρχείου».
Έχει ήδη ξεκινήσει προ εικοσαημέρου έρευνα της Εισαγγελίας Πρωτοδικών Αθήνας, που έχει διατάξει τη διενέργεια προκαταρκτικής εξέτασης και έχει αναθέσει τον σχηματισμό δικογραφίας στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ.
Τώρα το μόνο που πρέπει να κάνουν είναι να διασταυρώσουν επαφές, μέσω της ιχνηλάτησης των αριθμών των κινητών και μέσω των κωδικών IMSI να εισέλθουν στα αρχεία φωνητικών και λοιπών υπηρεσιών (SMS, mail κλπ.), κάτι που σίγουρα έχει ήδη γίνει.
Η υποκλοπή που εντοπίστηκε αφορά το διάστημα 1 έως 5/9/2020 και εκλάπησαν και οι κωδικοί IMSI (International Mobile Subscriber Identity) που είναι ο μοναδικός 15ψήφιος κωδικός ο οποίος χρησιμοποιείται για την αναγνώριση του συνδρομητή στο δίκτυο κινητής τηλεφωνίας.
Αν δούμε τι συνέβαινε τότε θα διαπιστώσουμε ότι ήταν η περίοδος που το τουρκικό πλοίο Oruc Reis ερευνώντας εντός της ελληνικής υφαλοκρηπίδας, είχε «σπρώξει» σε αδιέξοδο την ελληνική πολιτική ηγεσία και είχαν ξεκινήσει διαπραγματεύσεις μεταξύ Αθήνας, Βερολίνου και Άγκυρας για την έναρξη διαπραγματεύσεων που κατέληξαν στο γνωστό φιάσκο.
Πολλοί είχαν ενδιαφέρον διεθνώς να πληροφορηθούν τις προθέσεις της ελληνικής κυβέρνησης και τις κινήσεις των Ενόπλων Δυνάμεων.
Κάτι που δίνει την δυνατότητα να προχωρήσουν σε στοχευμένες απ'ευθείας υποκλοπές συνομιλιών, εκτός από αυτές τις οποίες μπορούν να εντοπίσουν μέσω των αποθηκευμένων ηχητικών αρχείων (όλες οι συνομιλίες καταγράφονται για ένα χρονικό διάστημα).
Στόχος της υποκλοπής υποκλοπή και ιχνηλάτηση των επαφών του πρωθυπουργού Κυριάκου Μητσοτάκη, του συνόλου της κυβέρνησης, όλων των κρατικών υπηρεσιών, όλων των στρατηγικών υπηρεσιών της χώρας, φυσικά των Ενόπλων Δυνάμεων κλπ.
Η υπόθεση εντοπίστηκε από την Cosmote στις αρχές Σεπτεμβρίου και ενημερώθηκε καθυστερημένα η κυβέρνηση, όπως είχε συμβεί και με το σκάνδαλο Vodafone.
«Κατόπιν εορτής» κινητοποιήθηκαν ΕΥΠ και Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) του υπουργείου Εθνικής Αμυνας, καθώς το δίκτυο του ΟΤΕ χρησιμοποιείται και για τις κωδικοποιημένες, κρυπτογραφημένες επικοινωνίες του Μαξίμου και o εν λόγω φορέας (γερμανικών συμφερόντων) αναλαμβάνει την ασφάλεια των επικοινωνιών σε κρίσιμες κυβερνητικές υπηρεσίες, αλλά και οι δορυφορικές φωτογραφίες του ΥΠΕΘΑ και της ΕΥΠ από τον δορυφόρο HELIOS, αλλά και με τους δορυφόρους της Cosmote που «καταγράφουν» ολόκληρο το σύστημα επικοινωνιών των Ενόπλων Δυνάμεων.
Το ζήτημα είναι ότι η ΕΥΠ που είναι υπεύθυνη για την κυβερνοασφάλεια (άλλωστε η υπηρεσία αναφέρεται απ'ευθείας στο γραφείο του πρωθυπουργού, καθώς μετά τις εκλογές υπήχθη απ'ευθείας στον έλεγχο του Κ.Μητσοτάκη) προφανώς δεν κατάφερε να αποτρέψει αυτό που έγινε.
Και το ερώτημα είναι αν η υπηρεσία κυβερνοασφάλειας ή «κυβερνοχώρου», όπως ονομάζεται έκανε αυτό που έπρεπε.
Σύμφωνα με το σχετικό διάταγμα η σχετική Διεύθυνση της ΕΥΠ είναι αρμόδια:
α) για τεχνικής φύσεως θέματα ασφάλειας πληροφοριών (INFOSEC) και ειδικότερα για την ασφάλεια των εθνικών επικοινωνιών, των συστημάτων τεχνολογίας πληροφοριών καθώς και για την αξιολόγηση και πιστοποίηση των διαβαθμισμένων συσκευών και συστημάτων ασφάλειας επικοινωνιών και πληροφορικής
β) για τη συλλογή, την επεξεργασία δεδομένων και την ενημέρωση των αρμόδιων φορέων καθώς και για την, κατά περίπτωση, στατική και ενεργητική αντιμετώπιση των ηλεκτρονικών επιθέσεων κατά των κρίσιμων υποδομών της χώρας και ειδικότερα κατά των δικτύων επικοινωνιών, εγκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής
γ) για τον έλεγχο και την αξιολόγηση ασφάλειας συστημάτων καθώς και για τη συλλογή, εξόρυξη (data mining) και εκμετάλλευση δεδομένων.
Σύμφωνα λοιπόν με την ανακοίνωση της Cosmote τα αρχεία δεν περιλάμβαναν συνομιλίες ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις συνδρομητών, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών, αλλά αυτό όπως είδαμε, μπορεί να γίνει σε δεύτερη φάση, βάσει της ιχνηλάτησης των αριθμών και των κωδικών IMSI (International Mobile Subscriber Identity) που έκλεψαν.
Συγκεκριμένα «Κατά τη διάρκεια ελέγχου των συστημάτων της, ανιχνεύτηκε μη εξουσιοδοτημένη εξαγωγή αρχείου από σύστημα της εταιρείας ως αποτέλεσμα κυβερνοεπίθεσης.
Το εν λόγω αρχείο περιλάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: Αριθμός τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της.
Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI 1 , ηλικία, φύλο, ARPU 2, συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE».
Και συνεχίζει η ανακοίνωση «η εταιρεία απέκλεισε άμεσα την πρόσβαση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη και μέχρι στιγμής, δεν υπάρχει καμία ένδειξη περί δημοσιοποίησης ή άλλης χρήσης του παρανόμως αποκτηθέντος αρχείου».
Έχει ήδη ξεκινήσει προ εικοσαημέρου έρευνα της Εισαγγελίας Πρωτοδικών Αθήνας, που έχει διατάξει τη διενέργεια προκαταρκτικής εξέτασης και έχει αναθέσει τον σχηματισμό δικογραφίας στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ.