Как ФБР и АФП осъществиха достъп до криптирани съобщения в разследването на TrojanShield

Изображение: ФБР

Министерството на правосъдието на САЩ разпечатва заповед, в която подробно се посочва как правоприлагащите органи имат достъп и използват криптирани комуникации на престъпници като част от разследването си TrojanShield, глобална операция за онлайн ужилване.

The заповед [PDF] разкрива, че Федералното бюро за разследвания (ФБР) през 2018 г. е започнало разследването, след като е наело поверителен човешки източник, за да осигури достъп до Anom, криптиран комуникационен продукт, използван от транснационални престъпни организации (TCO).

Поверителният човешки източник също разпространява устройствата на Anom към вече съществуващата им мрежа от дистрибутори на криптирани комуникационни устройства, които всички имат директни връзки към TCO.

Според заповедта ФБР заяви, че е вербувало източника малко след арестуването на Винсент Рамос, изпълнителен директор на Phantom Secure, който е продал криптирани устройства на компанията изключително на членове на престъпни организации.

Операция „Троянски щит“ ​​беше съсредоточена върху експлоатацията на Anom, като го включи в престъпни мрежи и работи с международни партньори, включително австралийската федерална полиция (AFP), за наблюдение на комуникациите. За да може дадено устройство Anom да бъде полезно за наблюдение, ФБР, AFP и поверителният човешки източник вградиха основен ключ в съществуващата система за криптиране, който тайно се прикрепя към всяко съобщение и дава възможност на правоохранителните органи да дешифрират и съхраняват съобщения, каквито са предадени. Потребителите на устройства на Anom не са знаели за главния ключ.

По проект, като част от разследването на TrojanShield, за устройства, разположени извън Съединените щати, криптиран “BCC” на съобщението е пренасочен към сървър “iBot”, разположен извън Съединените щати, където ще бъде декриптиран от поверителното кода за кодиране на човешкия източник и след това незабавно отново се кодира с кода за кодиране на ФБР. След това новозашифрованото съобщение ще бъде предадено на втори сървър iBot, собственост на ФБР, където е дешифрирано и съдържанието му ще стане достъпно.

Всеки потребител на Anom е бил присвоен на определена идентификация на Jabber (JID) от източника или администратор на Anom. JID е или фиксирана, уникална буквено-цифрова идентификация, или за по-нови устройства комбинация от две английски думи. Потребителите на Anom могат да изберат свои собствени потребителски имена и да променят списъка си с потребителски имена с течение на времето. Като част от разследването за Троянския щит, ФБР поддържа списък с JID и съответните екранни имена на потребителите на Anom.

По време на тестовия период за използване на устройства на Anom като част от разследването, AFP получи съдебно разпореждане за законно наблюдение на устройствата на Anom, които трябваше да бъдат разпространени на лица в Австралия или такива, които имаха ясна връзка с Австралия.

В Австралия разузнавателните и правоприлагащите органи могат да поискат или да поискат съдействие от доставчиците на комуникации за достъп до криптирани комуникации съгласно законите за криптиране, приети в края на 2018 г.

Приблизително 50 устройства бяха разпространени като част от теста, който беше счетен за успешен, се казва в заповедта.

“Чрез прихващането на тези комуникации AFP проникна в две от най-сложните престъпни мрежи в Австралия. AFP сподели като цяло с ФБР от Сан Диего естеството на разговорите, протичащи над Anom, които включват трафик на наркотици (включително обсъждане на транспортирането на стотици килограми наркотици), покупка на огнестрелно оръжие и друга незаконна дейност “, подробно се казва в заповедта.

След тестването в Австралия ФБР ангажира трета държава, която е останала неидентифицирана, която се съгласи да се присъедини към разследването на TrojanShield и създаде свои собствени сървъри iBot. След това третата държава се съгласи да получи съдебно разпореждане в съответствие със собствената си правна рамка за копиране на сървър на iBot, намиращ се там, и предоставяне на копие на ФБР съгласно Договора за взаимна правна помощ.

От проникването в мрежата на Anom, правоохранителните органи са превели съобщенията и са каталогизирали над 20 милиона съобщения от общо 11 800 устройства, разположени в над 90 държави, като част от операция TrojanShield. Първите пет държави, в които са използвани устройства на Anom, преди да бъдат закрити услугите на шифрования продукт във вторник, включват Австралия, Германия, Холандия, Испания и Сърбия.

В разпечатаната заповед един пример за устройствата на Anom, използвани за спиране на престъпни дейности, е пратка кокаин от Еквадор до Испания, която е била скрита в корабоплавателен контейнер с хладилна риба. ФБР и служителите на правоприлагащите органи в Испания прегледаха съобщенията, които съдържаха конкретни подробности относно пратката и разпространението, след като тя пристигна в Испания. След това служителите на правоприлагащите органи в Испания извършиха претърсване на контейнера и след завършване откриха около 1401 килограма кокаин.

В допълнение към дешифрирането на съобщения, направени на устройства на Anom, ФБР се опита да изземе съдържание, включително електронна поща и прикачени файлове, съхранени незабавни съобщения, съхранени гласови съобщения и снимки, от определени акаунти в Google чрез заповедта.

Разпечатването на документа идва малко след като Франс прес публикува онлайн операцията за ужилване, която се нарича Operation Ironside. Австралийският министър на вътрешните работи Карън Андрюс го определи като “най-значимата операция в историята на полицията” в Австралия.

Органите на реда решиха да изведат на бял свят онлайн операцията за ужилване, тъй като заповедта на третата държава изтече на 7 юни заедно със самата операция.

Операцията TrojanShield доведе до 525 заповеди за издирване, срещу 224 лица бяха повдигнати обвинения, общо 525 обвинения, свалени бяха шест тайни лаборатории и бяха предотвратени 21 заплахи за убийство. 3.7 тона наркотици, 104 огнестрелни оръжия и оръжия и активи в размер на над 45 милиона австралийски долара също бяха иззети като част от операцията.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com