Bron: AFP, ‘Operation Kraken’, YouTube, 18 september 2024

Op 18 september 2024 hebben buitenlandse politieorganisaties de cryptocommunicatiedienst ‘Ghost’ ontmanteld.

Cryptocommunicatiedienst Ghost

Ghost stond volgens Europol vooral bekend vanwege zijn ‘geavanceerde’ beveiligingsmaatregelen. Gebruikers konden de tool aanschaffen zonder persoonsgegevens af te geven. De tool bood een keuze in drie versleutelstandaarden en de optie om berichten op de telefoon te vernietigen als een code werd verstuurd.

Overigens wordt de geavanceerde staat van het product in het artikel ‘Ghost, Encrypted Phone for Criminals, Was an ‘Absolute Mess’ van Joseph Cox op 404media.co tegengesproken.

Slechts enkele duizenden personen maakten gebruik van de software, dat draaide op zijn eigen infrastructuur in verschillende landen. De servers bevonden zich in Frankrijk en IJsland (en in Zweden volgens de persconferentie), de eigenaren in Australië (deze zijn daar ook opgepakt) en de financiële ‘assets’ in de Verenigde Staten.

In september 2024 waren 51 verdachten gearresteerd, waarvan 38 in Australië en 11 in Ierland. De Australian Federal Police (AFP) meldt dat 50 ‘threaths to life’-incidenten voorkomen, een aantal drugslabs zijn ontmanteld en ongeveer 1 miljoen in cash is in beslag genomen. In Australië maakten volgens de AFP ‘outlaw motercycle gangs’, ‘middle eastern organised crime groups’, ‘Italian organised crimes’ en ‘Korean organised crime’ gebruik van de dienst voor drugshandel en moordopdrachten. Zij verdenken honderden verdachten, waaronder zeer bekenden bij de politie. In Italië is ook een bekende verdachte van de mafia opgepakt.

Internationale politieoperatie en resultaten

Negen politieorganisaties, hebben in samenwerking met Europol de dienst opgerold en gegevens verzameld. Europol benadrukt haar rol met de wat onduidelijke zin: “Due to the complexity of this data-driven investigation, a number of teams at Europol were involved with specialised technical skills, including cyber-related.”

In maart 2022 werd bij Europol een Operationele Taskforce (OTF) opgericht met instanties uit Australië, Canada, Frankrijk, Ierland, Italië, Nederland, Zweden en de Verenigde Staten. Deze taskforce heeft de wereldwijde technische infrastructuur in kaart gebracht, de belangrijkste leveranciers en gebruikers van het platform geïdentificeerd, het criminele gebruik ervan gemonitord en de gecoördineerde acties uitgevoerd om het platform te sluiten. In januari 2024 is ook een JIT opgezet tussen Franse en Amerikaanse autoriteiten.

Verloop Operation Kraken en hack

Het is vooralsnog onduidelijk hoe de operatie is verlopen, die in Australië ‘Operation Kraken’ werd genoemd. In het persbericht van de AFP en bovenstaande YouTube video over de persconferentie wordt enige duidelijkheid gegeven.

Ghost is al ongeveer negen jaar (dus in 2015) ontwikkeld. In Australië waren 376 telefoons actief. Het platform is in Australië sinds 2022 in het vizier gekomen van de Australian Federal Police (AFP). Nadat internationale partners zich ook richten op Ghost gingen ze samenwerken in het OTF.

Interessant is dat de Australische autoriteiten de Ghost telefoons via een update hebben geïnfecteerd met software (dus gehackt) en daarmee toegang kregen tot gegevens op de telefoons. In het AFP bericht staat daarover het volgende:

“While the AFP worked within the taskforce, it also established Operation Kraken after developing a covert solution to infiltrate Ghost.

The administrator regularly pushed out software updates, just like the ones needed for normal mobile phones.

But the AFP was able to modify those updates, which basically infected the devices, enabling the AFP to access the content on devices in Australia.”

Versplintering van de markt

Europol legt zelf op hun website uit dat het landschap van versleutelde communicatie is steeds gefragmenteerder geworden, als gevolg van recente acties met betrekking tot cryptocommunicatienetwerken (zie ook mijn pagina Overzicht cryptophone operaties).

Criminele actoren wenden zich nu tot verschillende minder gevestigde of op maat gemaakte communicatiemiddelen die verschillende gradaties van veiligheid en anonimiteit bieden.  Zo zoeken ze naar nieuwe technische oplossingen en maken ze ook gebruik van populaire communicatietoepassingen om hun methoden te diversifiëren. Deze strategie helpt deze actoren te voorkomen dat hun volledige criminele operaties en netwerken op één enkel platform worden blootgesteld, waardoor het risico op onderschepping wordt verkleind.

Het landschap van versleutelde communicatie blijft dus zeer dynamisch en gesegmenteerd, hetgeen de rechtshandhaving volgens Europol voor voortdurende uitdagingen stelt. Bijna ironisch – gezien de meer dan een miljard verzamelde versleutelde berichten en meer dan 6500 arrestaties uit voorgaande cryptophone operaties – wordt door Europol in het persbericht daarom (wederom) een oproep gedaan tot toegang tot versleutelde berichten bij communicatiediensten.