Νέες αποκαλύψεις για το Predator: 285 ηλεκτρονικές διευθύνσεις και 213 URL που συνδέονται με το παράνομο λογισμικό

498 συνδέσμοι (URL) που φέρεται να συνδέονται με το εν λόγω κακόβουλο λογισμικό predator από το 2021 είναι οι νέες αποκαλύψεις όσον αφορά στην υπόθεση των υποκλοπών. Σύμφωνα με την εφημερίδα documento οι διακόσιες ογδόντα πέντε ηλεκτρονικές διευθύνσεις και 213 URL που άφησαν πίσω τους οι διαχειριστές έχουν ένα κοινό στοιχείο: μοιράζονται την ίδια διεύθυνση IP (72.34.38.64).

Επίσης, οι 498 σύνδεσμοι (URL) που βρίσκονται στη λίστα έχουν κατάληξη .gr.com. Πραγματοποιώντας γεωεντοπισμό της IP είδαμε ότι οι διακομιστές (servers) βρίσκονται στο Τσάτσγουορθ της Καλιφόρνιας, όπου εδρεύει η εταιρεία IHNetworks LLC (τίτλος Insider Hosting), η οποία είναι και ο πάροχος. Ακόμη, τα 285 links που έχουμε βρει έχουν ακριβώς την ίδια IP με το domain.gr.com (η σελίδα είναι στην ελληνική γλώσσα), το οποίο είναι και η πλατφόρμα που παραχώρησε τη διακριτική κατάληξη .gr.com. Ανοίγοντας τον παραπάνω ιστότοπο βλέπει κανείς το όνομα Lexi Lavranos. Παρά τη σατανική σύμπτωση, όμως, τα μέχρι στιγμής στοιχεία του Documento δεν έχουν πιστοποιήσει συγγενική ή άλλη σχέση με τον επιχειρηματία που φέρεται να εμπλέκεται με το Predator Γιάννη Λαβράνο.

Συν τοις άλλοις, σημειώνεται ότι οι πάροχοι για νομικούς λόγους συχνά –αν και πολλές φορές άτυπα– κρατάνε αρχείο δραστηριότητας των διαχειριστών (back logs) ακόμη και για δώδεκα μήνες. Επιπροσθέτως, τα τιμολόγια πιθανότατα δεν έχουν εξαφανιστεί αφού πολλά από τα URL είναι ακόμη ενεργά. Από την έρευνα προέκυψε επίσης πως οι διαχειριστές –διαπράττοντας εγκληματικά λάθη– άφησαν πίσω τους εκατοντάδες ίχνη (συγκεκριμένα 213 διαχειριστικά URL). Αρκετές μάλιστα από αυτές τις ιστοσελίδες είναι ακόμη «στον αέρα», γεγονός που ενισχύει τις υποψίες ότι το Predator είναι ακόμη «ζωντανό», προκαλώντας ανησυχίες για την εθνική ασφάλεια αλλά και για το αδιάβλητο του προεκλογικού αγώνα. Τέλος, αποκαλύπτουμε την ψηφιακή ιστορία του blogspot.edolio5.com, συνδέσμου υπεύθυνου για την επιμόλυνση των κινητών τηλεφώνων του Θανάση Κουκάκη και του Θεόδωρου Καρυπίδη, ενώ ο ίδιος σύνδεσμος είναι υπεύθυνος για την επιχείρηση παγίδευσης του Νίκου Ανδρουλάκη.

• Η λίστα με τα URL που αποκαλύπτει το Documento εμπλουτίζει αλλά και διασταυρώνεται με τη λίστα που δημοσίευσε πρώτη η Meta (Facebook) σε συνεργασία με το καναδικό Citizen Lab τον Δεκέμβριο του 2021. Εκείνη, πέραν των άλλων, είχε επικεντρωθεί στη βορειομακεδονική εταιρεία Cytrox, η οποία ανέπτυξε πρώτη το Predator, ενώ εξαγοράστηκε στη συνέχεια από την Intellexa του Ταλ Ντίλιαν. Η δημοσίευση αυτή περιείχε 43 ονόματα domains, ενώ έρευνα του Inside Story (16.5.2022) αποκάλυψε επιπλέον έξι domains.

Συνολικά, η λίστα των domains χωρίζεται σε έξι ενότητες και συγκεκριμένα ως εξής:

• 285 σύνδεσμοι (URL), 13 με την ιδιότητα autodiscover, 31 με την ιδιότητα cpanel, 17 με την ιδιότητα cpcalendars, 15 με την ιδιότητα cpcontracts, 74 με την ιδιότητα hostmaster και 63 με την ιδιότητα mail. Οι παραπάνω δυσνόητοι χαρακτηρισμοί υποδεικνύουν ότι ο διαχειριστής έχει αφήσει πολλά ίχνη – κρίνοντας από τα νούμερα, μάλλον πολλά. Συνακόλουθα, τα ονόματα των συνδέσμων που βρίσκονται στη λίστα δεν είναι καθόλου τυχαία. Αφορούν διάφορα σάιτ: ειδησεογραφικά, πορνογραφικού περιεχομένου, social media, τραπεζών, κρατικών μηχανισμών (ΣΕΠΕ), αγγελιών, αθλητικά, στοιχηματικά κ.ά.

Ενδεικτικά παραθέτουμε μερικά:

• estia.gr.com, exoplismoi.gr.com, inews.gr.com, instagram.gr.com, piraeus.bamk.gr.com, porno.gr.com, sirina.gr.com, myalpha.gr.com, protothema.gr.com, stoiximan.gr.com, mobile.piareus.gr.com, opap.gr.com, pireaus.gr.com, unfollow.gr.com και thestival.gr.com. Υπογραμμίζεται ότι για το Σώμα Επιθεώρησης Εργασίας (ΣΕΠΕ) και το υπουργείο Εργασίας καταγράφεται ιδιαίτερο ενδιαφέρον, μια και υπάρχουν πέντε καταχωρήσεις με τα εξής links: apps.sepenet.gr.com, hostmaster.apps.sepenet.gr.com, hostmaster.sepenet.gr.com, hostmaster.www.sepenet.gr.com, sepenet.gr.com.

Από τα παραπάνω μπορούμε εύκολα να ξεχωρίσουμε την περίπτωση του «sepe», διότι είναι σαφές πως ο σύνδεσμος αναφέρεται στο Σώμα Επιθεώρησης Εργασίας και ενδεχομένως να απευθύνεται σε στελέχη του υπουργείου Εργασίας. Επισημαίνεται ότι το Documento στο δημοσίευμά του για τη δεύτερη λίστα παρακολουθούμενων από Predator είχε αποκαλύψει πως τόσο ο υπουργός Κωστής Χατζηδάκης όσο και ο συνεργάτης του Νίκος Σιγάλας είχαν παγιδευτεί. Η δε ύπαρξη απομιμήσεων πορνογραφικών σάιτ επιβεβαιώνει πως κάποιοι μπορεί να εκμεταλλεύονταν και τον σεξουαλικό προσανατολισμό ενός ατόμου ώστε να τον θέσουν υπό καθεστώς εκβιασμού.

• Ακόμη, στη λίστα διακρίνεται το όνομα (domain) exoplismoi.gr.com, το οποίο ενδεχομένως να έχει χρησιμοποιηθεί για να υποκλέψει άτομο που λόγω επαγγέλματος ενδιαφέρεται για ζητήματα άμυνας ή εθνικής ασφαλείας. Το Documento, το «Βήμα» και η «Καθημερινή» έχουν αποκαλύψει μεταξύ άλλων ότι είχαν τεθεί υπό παρακολούθηση ο πρώην σύμβουλος Εθνικής Ασφαλείας Αλέξανδρος Διακόπουλος, ο αντιναύαρχος, γενικός διευθυντής της Γενικής Διεύθυνσης Αμυντικών Εξοπλισμών και Επενδύσεων Αρης Αλεξόπουλος, ο πρώην υπουργός Προστασίας του Πολίτη Μιχάλης Χρυσοχοΐδης, ο εν ενεργεία αρχηγός της ΕΛΑΣ Μιχαήλ Καραμαλάκης και κυρίως ο υπουργός Εξωτερικών Νίκος Δένδιας.

Περαιτέρω, ο επιχειρηματίας Θεόδ. Καρυπίδης, όπως αποκάλυψε το Documento, είχε δεχτεί «επίθεση» από το Predator και τέσσερα links ήταν υπεύθυνα για την επιμόλυνσή του: Blogspot.edolio5.com, cnn.gr.com, thesival.gr.com και yout.ube.gr. Τα τρία τελευταία δεν βρίσκονται στη λίστα των παρόχων του Predator, όμως έπειτα από αναζήτηση των τριών αυτών URL στο dns.dumpster.com επιβεβαιώσαμε ότι έχουν την ίδια IP (72.34.38.64), άρα είτε κάποιος φρόντισε επιμελώς να τα διαγράψει είτε πρόκειται για ακόμη μία σατανική σύμπτωση.

Το blogspot.edolio5.com, σύνδεσμος υπεύθυνος για την επιμόλυνση των κινητών τηλεφώνων του Θ. Κουκάκη, του Θεόδ. Καρυπίδη και την επιχείρηση παγίδευσης του Ν. Ανδρουλάκη, ενδεχομένως να είναι από πιο τους αναγνωρισμένους συνδέσμους κακόβουλου λογισμικού στη σύγχρονη ιστορία. Ομως λίγα γνωρίζουμε για την πραγματική ιστορία του. Το Documento έχει στην κατοχή του πρόσφατο τεχνικό έλεγχο που αποδεικνύει ότι «γεννήθηκε» στις 9 Μαρτίου 2021, μόλις έφταναν οι πρώτοι υπάλληλοι της Intellexa στην Αθήνα. Η ληξιαρχική πράξη της «γέννησης» βρίσκεται στους servers της Namecheap, όπου η τιμή για ένα όνομα είναι πολύ χαμηλή. Τονίζεται ότι το blogspot.edolio5.com δεν έχει καμία διαφορά με το edolio5.com, απλώς το πρώτο αποτελεί σάρκα εκ της σαρκός του δεύτερου. Στη γλώσσα των τεχνικών πληροφορικής είναι ένας υποτομέας (subdomain) και έχει ρόλο μπάμπουσκας.

Συνακόλουθα φιλοξενήθηκε στους servers της Amazon.com Inc. για εννέα μήνες, από τις 10.3.2021 έως ότου αποκαλύφθηκε η παρακολούθηση του Κουκάκη. Εξι ημέρες μετά την αποκάλυψη του Inside Story, το σάιτ «έπεσε» ξαφνικά (20.4.2022). Ωστόσο η παρακολούθηση Κουκάκη εντάσσεται στον πρώτο κύκλο ζωής αυτού του domain, διότι στις 10.3.2022 ανανεώθηκαν οι συνδρομές για τον server, ενδεχομένως και για το όνομα. Από τον Μάρτιο έως τις 20 Απριλίου 2022 διαρκεί ο δεύτερος κύκλος ζωής που έληξε απότομα. Εντούτοις, την ίδια μέρα το edolio5.com καταχωρήθηκε ονοματολογικά στην πλατφόρμα της εταιρείας Above.Com Pty Ltd και εκπέμπει μέσα από τους servers της εταιρείας Trellian Pty (Αυστραλία) Limited. Η αρχική σύμβαση ήταν για τέσσερις μήνες, δηλαδή έως τις 24.8.2022. Με την εκπνοή της προθεσμίας ανανεώθηκε η συνδρομή, η οποία κρατάει έως και σήμερα.

Τη στιγμή που πραγματοποιήθηκε η τεχνική έκθεση το edolio5.com έβαινε προς τη διαγραφή (pending delete) σύμφωνα με το τυποποιημένο μήνυμα. Η έδρα της Namecheap είναι στο Ρέικιαβικ της Ισλανδίας και συγκεκριμένα στη διεύθυνση Kalkofnsvegur 2 (τ.κ. 101). Η διεύθυνση αυτή θεωρείται από τους Αμερικανούς ιδιαίτερα επικίνδυνη, διότι σύμφωνα με έκθεση της Υπηρεσίας Κυβερνοασφάλειας και Προστασίας Υποδομών (CISA) (8.7.2021) ακόμη έξι ιστότοποι (domains) έχουν καταγραφεί ως παγιδευμένοι από κακόβουλα λογισμικά (malware). Ειδικότερα, πρόκειται για λογισμικό τύπου ransomware, το οποίο θεωρείται τόσο επικίνδυνο που το Στέιτ Ντιπάρτμεντ στις 21.10.2021 όρισε αμοιβή 10 εκατ. δολαρίων για όσους δώσουν σχετικές πληροφορίες για «τη διεθνική οργανωμένη εγκληματική οργάνωση» Darkside.

Υπογραμμίζεται ότι η κατοχύρωση ενός ονόματος είναι πολύ απλή διαδικασία, αφού το μόνο που απαιτείται είναι η πληκτρολόγηση του ονόματος, μερικά κλικ και μια πληρωμή 9,45 ευρώ ανά έτος. Η πληρωμή γίνεται αποκλειστικά με χρεωστική κάρτα και όχι με κρυπτονομίσματα, άρα δεν υφίσταται ανωνυμία. Επομένως, οι αρμόδιες εισαγγελικές αρχές μπορούν κάλλιστα να μάθουν ποιος αγόρασε το domain, την τράπεζα μέσω της οποίας έγινε η συναλλαγή, καθώς επίσης πότε έγινε και πόσο κόστισε.

Συνοψίζοντας, αποτελεί απορίας άξιο τι υλικό και τι αρχεία υπάρχουν στον server του edolio5.com. Υπάρχει λόγος που είναι ακόμη στον «αέρα»; Αραγε εκεί βρίσκονται υλικά που χρησιμοποιούνται για εκβιασμούς; Υπάρχουν στοιχεία που ενοχοποιούν κάποιους που νόμιζαν ότι κανείς ποτέ δεν θα τους καταλάβαινε; Το τέλειο έγκλημα δεν έχει ακόμη διαπραχθεί και τα ίχνη είναι εδώ, αρκεί να ξέρει κανείς πού να ψάξει. Πολλές φορές τα στοιχεία βρίσκονται σε κοινή θέα και λίγα κλικ παραπάνω πράγματι αποκαλύπτουν πολλά, ακόμη και σε σημεία ξεχασμένα… Το Predator, που ενεργοποιήθηκε και λειτούργησε εντός των τειχών του ΚΕΤΥΑΚ (ΕΥΠ), άφησε πίσω του έναν ορυμαγδό από στοιχεία. Πέρα από τα στόματα που έχουν ανοίξει, τώρα αναδύονται και οι τεχνικές ατασθαλίες, που μέχρι στιγμής είχαν μείνει εν πολλοίς αθέατες.