![[Haaretz]](/sites/default/files/styles/image_main_xxl/public/2025-12/rceintellexa.jpg.webp?itok=QaPEvbLW)
Intellexa Leaks: Νέα θύματα του Predator παρά τις αμερικανικές κυρώσεις
Το περασμένο καλοκαίρι ένας δικηγόρος ανθρωπίνων δικαιωμάτων στο Πακιστάν έλαβε ένα μήνυμα στο Whatsapp από άγνωστο νούμερο. Ο αποστολέας υποτίθεται ότι ήταν ένας δημοσιογράφος που έστειλε λινκ για ένα άρθρο το οποίο ανέφερε τον δικηγόρο ονομαστικά. Η φωτογραφία του δημοσιογράφου έμοιαζε αυθεντική, ο τίτλος του άρθρου πιστευτός και το λινκ του άρθρου φαινόταν να προέρχεται από την ιστοσελίδα γνωστού και αξιόπιστου ευρωπαϊκού μέσου ενημέρωσης. Όμως το λινκ ήταν παγίδα και ο ιστότοπος στον οποίον οδηγούσε ψεύτικος – κάποιος προσπαθούσε να χακάρει τη συσκευή του δικηγόρου.
Κάτι στο μήνυμα έδειχνε ύποπτο, έτσι ο δικηγόρος το προώθησε στους ερευνητές της Διεθνούς Αμνηστίας. Η εγκληματολογική ανάλυση που πραγματοποίησε το Εργαστήριο Ασφαλείας (Security Lab) της Διεθνούς Αμνηστίας αποκάλυψε ψηφιακές ενδείξεις γνώριμες στο Εργαστήριο, το οποίο εδώ και καιρό παρακολουθεί το λογισμικό υποκλοπής δεδομένων – επρόκειτο για το Predator, το spyware που εμπορεύεται η γνωστή και στην Ελλάδα Intellexa, το λογισμικό της οποίας χρησιμοποιήθηκε παράνομα κατά πλήθος στόχων εντός της χώρας και στην οποία έχουν επιβληθεί κυρώσεις από τις ΗΠΑ.
Σύμφωνα με τα στοιχεία της έρευνας υπήρξαν επιπλέον κακόβουλα λινκ τα οποία εστάλησαν και σε άλλους στόχους στο Πακιστάν, συμπεριλαμβανομένων πολιτικών, σε μια πιθανή απόπειρα να μολυνθούν οι συσκευές τους με το spyware.
Τα ευρήματα της Διεθνούς Αμνηστίας για τον δικηγόρο από το Πακιστάν δημοσιεύονται σήμερα στο πλαίσιο διεθνούς δημοσιογραφικής έρευνας με τίτλο «The Intellexa Leaks» η οποία βασίζεται σε διαρροή εσωτερικού υλικού. Η έρευνα αποκαλύπτει για πρώτη φορά τη χρήση του Predator στο Πακιστάν –μια χώρα η οποία δεν διατηρεί διπλωματικές σχέσεις με το Ισραήλ– και δείχνει πώς η Intellexa συνεχίζει να πωλεί τα προηγμένα εργαλεία της, παρότι βρίσκεται εδώ και δύο χρόνια σε κυρώσεις από τις ΗΠΑ.
Η Intellexa είναι πιθανότατα η μεγαλύτερη ισραηλινή εταιρεία στο χώρο των επιθετικών κυβερνοπροϊόντων που δραστηριοποιείται εκτός Ισραήλ και εμπορεύεται το κατασκοπευτικό λογισμικό Predator. Ιδρυτής της είναι ένας πρώην ανώτατος αξιωματικός της Στρατιωτικής Υπηρεσίας Πληροφοριών του Ισραήλ και πρωτοπόρος στον χώρο της ψηφιακής παρακολούθησης, ο Ταλ Ντίλιαν, ένας εκ των κατηγορουμένων στη δίκη των υποκλοπών που είναι σε εξέλιξη αυτή την περίοδο στο Μονομελές Πλημμελειοδικείο Αθηνών.
Τον Ιούλιο του 2023 το υπουργείο Εμπορίου των ΗΠΑ επέβαλε κυρώσεις κατά της ελληνικής Intellexa και τριών ακόμη νομικών προσώπων. Τον Μάρτιο του 2024 το αρμόδιο Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του υπουργείου Οικονομικών των ΗΠΑ (OFAC) επέβαλε προσωπικές κυρώσεις στον ιδρυτή της Intellexa, Ταλ Ντίλιαν και τη σύντροφό του Σάρα Χάμου (επίσης εκ των κατηγορούμενων στην ελληνική δίκη για τις υποκλοπές) για τον ρόλο της σε εταιρείες όπως η Intellexa AE. Στη μαύρη λίστα μπήκαν και πέντε νομικές οντότητες, με πρώτη την ελληνική ναυαρχίδα του ομίλου εταιρειών της Intellexa και άλλες σχετιζόμενες εταιρείες σε Βόρεια Μακεδονία και Ιρλανδία. Έναν μήνα μετά, τον Απρίλιο του 2024, το υπουργείο Εξωτερικών των ΗΠΑ ανακοίνωσε ότι 13 άτομα που έχουν εμπλακεί στην ανάπτυξη και πώληση εμπορικού spyware ή που είναι μέλη της οικογένειας των εμπλεκομένων έχουν μπει σε καθεστώς ταξιδιωτικών περιορισμών. Τον Σεπτέμβριο του 2024 ήρθε νέο κύμα κυρώσεων από την OFAC. Στο στόχαστρο μεταξύ άλλων φυσικών και νομικών προσώπων μπήκε και ο Έλληνας επιχειρηματίας Φέλιξ Μπίτζιος για τον ρόλο του στην Intellexa AE (επίσης κατηγορούμενος στη δίκη που είναι σε εξέλιξη στην Αθήνα). Σύμφωνα με τις ανακοινώσεις του Μαρτίου και του Σεπτεμβρίου 2024, η OFAC τους επέβαλε κυρώσεις «για το ρόλο τους στην ανάπτυξη, τη λειτουργία και τη διανομή εμπορικής τεχνολογίας spyware, που αποτελεί σημαντική απειλή για την εθνική ασφάλεια των Ηνωμένων Πολιτειών».
Το Predator είναι ένα από τα πιο επιθετικά spyware στην αγορά. Σύμφωνα με το υλικό που έχει διαρρεύσει, μπορεί να παραβιάσει τις πιο πρόσφατες εκδόσεις λειτουργικών συστημάτων κινητών Apple και Android. Μπορεί να εξαγάγει όλο το περιεχόμενο των μολυσμένων συσκευών, συμπεριλαμβανομένων των μηνυμάτων που ανταλλάσσονται μέσω κρυπτογραφημένων εφαρμογών, να ακούει τηλεφωνικές συνομιλίες και να ενεργοποιεί εξ αποστάσεως το μικρόφωνο και την κάμερα του κινητού.
Η δημοσιογραφική έρευνα που δημοσιεύεται σήμερα από το inside story σε συνεργασία με την ισραηλινή εφημερίδα Haaretz και την ομάδα WAV Research Collective στην Ελβετία με την τεχνική συνδρομή του Security Lab της Διεθνούς Αμνηστίας, φέρνει στη δημοσιότητα μια επικαιροποιημένη εικόνα της δραστηριότητας της Intellexa, των δυνατοτήτων της και των πελατών της. Η διαρροή εσωτερικού υλικού της εταιρείας –συμπεριλαμβανομένων εκπαιδευτικών βίντεο και υλικού μάρκετινγκ– σε συνδυασμό με την ολοκληρωμένη τεχνική ανάλυσή τους ρίχνουν φως στο εύρος της πρόσβασης της εταιρείας στη δραστηριότητα των πελατών της, αποκαλύπτουν πελάτες του Predator όπως και τις προσπάθειες της εταιρείας να συγκαλύψει τις δραστηριότητές της. Η έρευνα επιβεβαιώνει μάλιστα και μια τρομακτική ικανότητα στοχευμένης μόλυνσης συσκευών μέσω διαδικτυακών διαφημίσεων, που είχε αποκαλυφθεί πρώτη φορά πέρυσι από το inside story και τη Haaretz ότι ήταν υπό ανάπτυξη, αλλά πλέον φαίνεται να είναι λειτουργική και σε χρήση.
Το άρθρο στα αγγλικά και τα γερμανικά
Διαβάστε εδώ το άρθρο στα αγγλικά όπως δημοσιεύτηκε σήμερα στην ισραηλινή εφημερίδα Haaretz και εδώ στα γερμανικά, όπως δημοσιεύτηκε από την ομάδα WAV.
Επί μήνες η Διεθνής Αμνηστία και άλλες οργανώσεις δέχονται αιτήματα από άτομα που υποψιάζονται ότι το κινητό τους έχει γίνει στόχος μόλυνσης. Η Διεθνής Αμνηστία δεν προσδιόρισε ποιος βρίσκεται πίσω από τις απόπειρες μόλυνσης στο Πακιστάν, αλλά σημειώνει ότι τα ευρήματα «υποδηλώνουν έντονα έναν κυβερνητικό πελάτη». Πηγές από τον χώρο της κυβερνοασφάλειας εντός και εκτός Ισραήλ αναφέρουν ότι ο πελάτης είναι το ίδιο το Πακιστάν. Η Διεθνής Αμνηστία αναφέρει ότι εντοπίστηκε ακόμη ένας στόχος σε άλλη χώρα του παγκόσμιου νότου που δεν έχει σχέση με το Πακιστάν και αποτελεί στόχο άλλου πελάτη της εταιρείας.
Η σημερινή έρευνα βασίζεται σε υλικό που διέρρευσε από την Intellexa την περίοδο 2018-2025, το οποίο σε συνδυασμό με την εγκληματολογική ανάλυση από το Security Lab της Διεθνούς Αμνηστίας αποκαλύπτει νέους πελάτες αλλά και παλιούς, που εξακολουθούν να είναι ενεργοί, μεταξύ των οποίων το Καζακστάν, η Αίγυπτος και η Σαουδική Αραβία.
Ένα από τα πιο ισχυρά στοιχεία για τη δραστηριότητα της Intellexa είναι ένα εκπαιδευτικό βίντεο που απευθύνεται σε νεοεισερχόμενους στην εταιρεία υπαλλήλους και χρονολογείται στα μέσα του 2023. Το βίντεο αποκαλύπτει μια λίστα ενεργών πελατών, των οποίων η ταυτότητα –ως είθισται στον χώρο των spyware– είναι κρυμμένη πίσω από κωδικές ονομασίες: Dragon, Eagle, Falcon, Flamingo, Fox, Glen, Lion, Loco, Phoenix, Rhino.
Ο Αετός (Eagle) είναι το Καζακστάν, όπως επιβεβαιώθηκε τεχνικά στο πλαίσιο αυτής της έρευνας. O Φοίνικας (Phoenix), σύμφωνα με τα ευρήματα της διεθνούς έρευνας με τίτλο «Predator Files» που δημοσιεύθηκε το 2023 από το δημοσιογραφικό δίκτυο EIC ήταν το κωδικό όνομα που χρησιμοποιούσε εσωτερικά η εταιρεία για έναν «ξεχωριστό» πελάτη: Το στρατόπεδο του στρατάρχη Χαλίφα Χαφτάρ, ο οποίος από το 2017 είναι ο de facto ηγέτης της ανατολικής Λιβύης, την οποία κυβερνά σαν στρατιωτική δικτατορία ως επικεφαλής του Λιβυκού Εθνικού Στρατού.
Μια ξεχωριστή έκθεση που δημοσιεύθηκε σήμερα από την Google Threat Intelligence Group, η οποία επικεντρώνεται στις πρόσφατες δραστηριότητες της Intellexa, επιβεβαιώνει τα ευρήματα της έρευνάς μας, σημειώνοντας ότι η εταιρεία όχι μόνο επιβιώνει, αλλά και ευημερεί. Η Google αναφέρει επίσης ότι, δεδομένης της εκτεταμένης φύσης των δραστηριοτήτων της Intellexa, αποφάσισε να εκδώσει προειδοποίηση για επιθέσεις με την υποστήριξη κυβερνήσεων σε όλους τους γνωστούς λογαριασμούς που έχουν μπει στο στόχαστρο και σχετίζονται με τους πελάτες της Intellexa από το 2023. Αυτή η προσπάθεια περιλαμβάνει αρκετές εκατοντάδες λογαριασμούς σε διάφορες χώρες, όπως το Πακιστάν, το Καζακστάν, την Αγκόλα, την Αίγυπτο, το Ουζμπεκιστάν, τη Σαουδική Αραβία και το Τατζικιστάν.
Η Recorded Future είναι μια εταιρεία-βετεράνος στον χώρο της κυβερνοασφάλειας, η οποία ανήκει στον κολοσσό πληρωμών Mastercard. Σε ξεχωριστή έκθεση των ερευνητών της, η οποία δημοσιεύεται παράλληλα με την παρούσα δημοσιογραφική έρευνα και η οποία ασχολείται επίσης με τη δραστηριότητα της Intellexa, εντόπισε επίσης στο Ιράκ νέα και μέχρι πρότινος άγνωστη ψηφιακή υποδομή που συνδέεται με το Predator. Σύμφωνα με αυτή την έκθεση, το spyware χρησιμοποιήθηκε στο βόρειο Ιράκ και την κουρδική περιοχή τα τελευταία δύο χρόνια. Το Πακιστάν και το Ιράκ είναι δύο χώρες στις οποίες οι ισραηλινές κυβερνο-εταιρείες δεν έχουν άδεια να εξάγουν τεχνολογίες παρακολούθησης.
Ομαδική προσπάθεια
Σύμφωνα με την έρευνά μας, μετά τις κυρώσεις που επιβλήθηκαν αρχικά πριν δύο χρόνια στην Ιntellexa, αρκετοί υπάλληλοι αποχώρησαν από την εταιρεία – συμπεριλαμβανομένων Ισραηλινών που εργάζονταν από την Ελλάδα και άλλων που εργάζονταν από το Ισραήλ. Ένα από τα βίντεο στα οποία βασίστηκε το ρεπορτάζ μας είναι μία εκπαίδευση που πραγματοποιήθηκε εξ αποστάσεως μέσω του λογισμικού Teams της Microsoft, κατά την οποία νέοι υπάλληλοι που εντάσσονται στο δυναμικό της εταιρείας μαθαίνουν για το back-end του spyware (το τμήμα στο οποίο ο χρήστης δεν έχει άμεση πρόσβαση και που είναι συνήθως υπεύθυνο για την αποθήκευση και την επεξεργασία δεδομένων) και τα διάφορα συστήματα και διεπαφές που χρησιμοποιούνται για την υποστήριξή του. Φαίνεται ότι αυτοί οι υπάλληλοι προορίζονταν να παρέχουν απομακρυσμένες υπηρεσίες υποστήριξης στους πελάτες της Intellexa.
Το βίντεο αποκαλύπτει για πρώτη φορά τον εσωτερικό τρόπο λειτουργίας ενός από τα πιο επιθετικά ψηφιακά εργαλεία στον κόσμο – πώς φαίνεται μια μόλυνση, πώς γίνεται η διαχείριση μιας βάσης δεδομένων με στόχους του spyware, ποιες πληροφορίες εξάγονται και πώς αποθηκεύονται στην πραγματικότητα και πώς λειτουργούν οι κατασκοπευτικές τεχνολογίες.
Το βίντεο αποκαλύπτει ένα εντυπωσιακό γεγονός: φαίνεται ότι το μάθημα στους νέους εργαζόμενους δεν έγινε σε ένα ειδικό εσωτερικό σύστημα της εταιρείας που προορίζεται για εκπαίδευση, αλλά σε ενεργούς πελάτες. Ο εκπαιδευτής ανοίγει το TeamViewer, ένα εμπορικό πρόγραμμα απομακρυσμένης σύνδεσης που χρησιμοποιείται για τεχνική υποστήριξη, και συνδέεται με ένα άλλο σύστημα: τη διεπαφή διαχείρισης του «Eagle»-Καζακστάν. Ο εκπαιδευτής δηλώνει ρητά ότι είναι συνδεδεμένος σε ένα ζωντανό «περιβάλλον πελάτη» και όχι σε ένα εικονικό σύστημα, συνδεόμενος εξ αποστάσεως για εκπαιδευτικούς λόγους σε κάτι που φαίνεται να είναι ένα ενεργό σύστημα κατασκοπείας που χρησιμοποιείται από ένα κράτος, προφανώς χωρίς να χρειάζεται έγκριση από τον πελάτη.
Επί χρόνια, οι εταιρείες που εμπορεύονται spyware –συμπεριλαμβανομένης της NSO και της Paragon– ισχυρίζονται ότι δεν είναι υπεύθυνες για τον τρόπο με τον οποίον οι πελάτες τους χρησιμοποιούν τα κατασκοπευτικά λογισμικά. Σύμφωνα με τις εταιρείες, η δραστηριότητά τους εποπτεύεται και πωλούν spyware μόνο για την καταπολέμηση της τρομοκρατίας και σοβαρών εγκλημάτων και μόνο σε χώρες με νομικούς μηχανισμούς εποπτείας που διασφαλίζουν ότι η παρακολούθηση είναι νόμιμη. Στην Ελλάδα υπενθυμίζουμε ότι η χρήση spyware ακόμη και από το κράτος είναι παράνομη και το προφίλ των εγχώριων στόχων του Predator (δημοσιογράφοι, στελέχη επιχειρήσεων, επιχειρηματίες, δικαστές, εισαγγελείς, στελέχη ενόπλων δυνάμεων, πολιτικοί, υπουργοί) απέχει πολύ από αυτό ενός τρομοκράτη ή ενός επικίνδυνου εγκληματία. Επιπλέον οι εταιρείες του χώρου ισχυρίζονται ότι δεν έχουν τη δυνατότητα να γνωρίζουν ποια άτομα στοχεύουν οι πελάτες τους, καθώς πρόκειται για απόρρητες και ευαίσθητες πληροφορίες που αποθηκεύονται σε ασφαλείς διακομιστές (servers) της χώρας-πελάτη.
Το εκπαιδευτικό βίντεο καταδεικνύει ότι τουλάχιστον στην περίπτωση της Intellexa, τουλάχιστον στα μέσα του 2023, η εταιρεία είχε απομακρυσμένη πρόσβαση σε ορισμένες πτυχές των συστημάτων που πωλούσε – όχι μόνο στη λεγόμενη τεχνική πλευρά του backend, αλλά και στην ενεργή στόχευση, συμπεριλαμβανομένων ευαίσθητων πληροφοριών σχετικά με την ταυτότητα των στόχων παρακολούθησης και των πληροφοριών που συλλέγονταν από τις χακαρισμένες συσκευές τους.
Όταν ο εκπαιδευτής πλοηγείται μεταξύ των ανοικτών προγραμμάτων στον υπολογιστή του, διακρίνεται στην οθόνη μια σελίδα σύνδεσης (login) που οδηγεί σε ζωντανό σύστημα παρακολούθησης ενός πελάτη. Το όνομα χρήστη είναι προσυμπληρωμένo, υποδεικνύοντας ενδεχομένως ότι η απομακρυσμένη σύνδεση χρησιμοποιείται σχετικά συχνά.
Σύμφωνα με τον Donncha Ó Cearbhaill, επικεφαλής του Εργαστηρίου Ασφαλείας της Διεθνούς Αμνηστίας, αυτό το επίπεδο πρόσβασης «υπερβαίνει κατά πολύ την ελάχιστη ορατότητα που απαιτείται για την αντιμετώπιση προβλημάτων» και «εγείρει άμεσα ερωτήματα σχετικά με το εάν οι πελάτες κατανοούσαν την έκταση αυτής της πρόσβασης ή συναινούσαν σε αυτήν». Η χρήση εμπορικού λογισμικού όπως το TeamViewer, εξηγεί ο ίδιος, αντί για μια ειδικά κατασκευασμένη ασφαλή σύνδεση, εγείρει επίσης ερωτήματα σχετικά με την εποπτεία: «Πώς οι κυβερνητικοί πελάτες εξετάζουν και εγκρίνουν αυτές τις απομακρυσμένες συνδέσεις; Γνώριζαν την έκταση της πρόσβασης που είχε η Intellexa σε αυτά τα εξαιρετικά ευαίσθητα συστήματα παρακολούθησης που βρίσκονται σε φυσική μορφή στις χώρες τους;»
Ο εκπαιδευτής στο βίντεο φαίνεται να πλοηγείται στη διεπαφή ελέγχου του κατασκοπευτικού λογισμικού Predator – βλέποντας σε πραγματικό χρόνο διακομιστές μόλυνσης, διακομιστές εντολών και ελέγχου (command and control servers) και συστήματα backend για τη διατήρηση των δυνατοτήτων εξαγωγής δεδομένων. Ο εκπαιδευτής υποβάλλει ερώτημα στο σύστημα και λαμβάνει πίσω μια οθόνη που δείχνει τέσσερις επιτυχημένες μολύνσεις στο Καζακστάν. Ένα άλλο τμήμα του βίντεο καταγράφει μια προηγούμενη προσπάθεια μόλυνσης: τα αρχεία καταγραφής (logs) δείχνουν πώς η «αλυσίδα μόλυνσης» εξελίσσεται βήμα προς βήμα, μέχρι να αποτύχει επειδή η σύνδεση του στόχου στο διαδίκτυο άλλαξε ξαφνικά. Το spyware στη συνέχεια ενεργοποιεί έναν μηχανισμό αυτοκαταστροφής, που έχει σχεδιαστεί για να διαγράφει τυχόν στοιχεία που χρησιμοποιούνται από την Διεθνή Αμνηστία και άλλους για να επιβεβαιώσουν τη μόλυνση.
Στην έκθεση της Recorded Future επίσης καταγράφονται διακομιστές μόλυνσης και ψευδεπίγραφες ειδησεογραφικές ιστοσελίδες του Καζακστάν. Οι ίδιες διαδικτυακές διευθύνσεις εμφανίζονται στα συστήματα της Intellexa που αποκαλύπτονται στο εκπαιδευτικό βίντεο. Εντοπίσαμε επίσης τιμολόγια που υποδηλώνουν την αγορά επτά αδειών TeamViewer για απομακρυσμένη πρόσβαση. Κατά την περίοδο έκδοσης αυτών των τιμολογίων, η Intellexa, σύμφωνα με προηγούμενη έρευνα του Citizen Lab του Πανεπιστημίου του Τορόντο, είχε επτά πελάτες, ο τελευταίος εκ των οποίων, η Μαδαγασκάρη (στην οποία η Intellexa εξήγαγε εξοπλισμό από την Ελλάδα με την άδεια του ελληνικού υπουργείου Εξωτερικών), εντάχθηκε στο πελατολόγιο της εταιρείας αρκετούς μήνες μετά την αγορά αυτών των επτά αδειών του TeamViewer.
Ελληνικό δράμα
Τα ευρήματα της έρευνας είναι ιδιαίτερα σημαντικά υπό το πρίσμα της δίκης για την υπόθεση των υποκλοπών που διεξάγεται αυτές τις μέρες στο Μονομελές Πλημμελειοδικείο Αθηνών, με το spyware Predator να βρίσκεται στο επίκεντρο. Η υπόθεση αφορά την παραβίαση του τηλεφώνου του Έλληνα δημοσιογράφου Θανάση Κουκάκη και ενός ανώτερου (πρώην) στελέχους της Meta –της μητρικής εταιρείας των WhatsApp, Instagram και Facebook–, μιας Ελληνοαμερικανίδας ονόματι Άρτεμις Σίφορντ. Η παραβίαση φέρεται να πραγματοποιήθηκε με τη χρήση του κατασκοπευτικού λογισμικού Predator της Intellexa, το οποίο, σύμφωνα με τα στοιχεία της έρευνας, διατίθεται στην αγορά και με την επωνυμία «Helios». Όπως έχει αποκαλυφθεί εδώ και καιρό, οι συσκευές δεκάδων στόχων, μεταξύ αυτών ανώτατων αξιωματούχων των ενόπλων δυνάμεων και της Ελληνικής Αστυνομίας, εν ενεργεία υπουργών του κυβερνώντος κόμματος, πολιτικών της αντιπολίτευσης, δικαστικών και εισαγγελικών λειτουργών, δημοσιογράφων και επιχειρηματιών στην Ελλάδα είχαν στοχευθεί. Οι αποκαλύψεις οδήγησαν σε δύο ηχηρές παραιτήσεις: του επικεφαλής της εθνικής υπηρεσίας πληροφοριών (ΕΥΠ) Παναγιώτη Κοντολέων και του Γρηγόρη Δημητριάδη, πολιτικού υπεύθυνου για την ΕΥΠ. γενικού γραμματέα και ανιψιού του Έλληνα πρωθυπουργού Κυριάκου Μητσοτάκη.
Πέρυσι, η διορισμένη από την κυβέρνηση Εισαγγελέας του Αρείου Πάγου, Γεωργία Αδειλίνη αποφάνθηκε ότι η κυβέρνηση και η ΕΥΠ δεν είχαν καμία ανάμειξη στις στοχεύσεις με Predator και απήγγειλε κατηγορίες πλημμεληματικού χαρακτήρα κατά της Intellexa, της συνεργαζόμενης με αυτήν Krikel και τεσσάρων προσώπων που συνδέονται με αυτές τις εταιρείες (Ταλ Ντίλιαν, Σάρα Χάμου, Φέλιξ Μπίτζιο, Γιάννη Λαβράνο). Μεταξύ των θεμάτων που συζητούνται αυτές τις μέρες στο δικαστήριο είναι το αν η Intellexa –ή τα στελέχη της– είχαν άμεση εμπλοκή στις πράξεις παραβίασης.
Σε εσωτερικά έγγραφα της Intellexa, αποκαλύφθηκαν γραμμές κώδικα του κατασκοπευτικού λογισμικού Predator – οι οποίες, όπως διαπίστωσε η Διεθνής Αμνηστία, ήταν οι ίδιες που είχαν ανακαλυφθεί το 2022 στο τηλέφωνο του Θανάση Κουκάκη, καθώς και προηγουμένως στο κινητό ενός πολιτικού ακτιβιστή στην Αίγυπτο. Τα εκπαιδευτικά βίντεο δείχνουν επίσης ότι η εταιρεία έχει απομακρυσμένη πρόσβαση στα τερματικά συστήματα των πελατών της. Ωστόσο, αυτό δεν αποδεικνύει τον ισχυρισμό ότι η εταιρεία και τα στελέχη της είχαν άμεση συμμετοχή στην παραβίαση του κινητού του Κουκάκη την εποχή που αυτός μπήκε στο στόχαστρο.
Πριν από δύο εβδομάδες, ο Ταλ Ντίλιαν παρεμβαίνοντας στη δίκη στην Ελλάδα, απέρριψε τις κατηγορίες και ήρθε αντιμέτωπος με τον Κουκάκη. Την περασμένη εβδομάδα, ξεκίνησε επίσης τη δική του νομική αντεπίθεση: η ερευνητική μας ομάδα απέκτησε πρόσβαση σε μια αγωγή για δυσφήμιση που κατέθεσε ο Ταλ Ντίλιαν στο Ισραήλ εναντίον του Θανάση Κουκάκη. Η αγωγή ζητά αποζημίωση 82.000 δολαρίων και απαιτεί από τον Κουκάκη να διαγράψει τις αναρτήσεις του στα μέσα κοινωνικής δικτύωσης και να εκδώσει δημόσια συγγνώμη για τη δημοσίευση «ψευδών ειδήσεων». Με την αγωγή του, ο Ντίλιαν στρέφεται κατά των αναρτήσεων του Κουκάκη σχετικά με το σκάνδαλο των υποκλοπών στην Ελλάδα, οι οποίες, όπως ισχυρίζεται, ήταν μέρος μιας ευρύτερης εκστρατείας που διεξήγαγε ο δημοσιογράφος εναντίον της εταιρείας και της διοίκησής της. Συγκεκριμένα αναφέρεται σε τρεις αναρτήσεις που έγιναν στο X στο περιθώριο της τρέχουσας δίκης, στις οποίες ο Κουκάκης ισχυριζόταν ότι ο Ντίλιαν «εμπλέκεται άμεσα» σε επιχειρήσεις παρακολούθησης. Είναι αξιοσημείωτο ότι, ενώ ο Ντίλιαν αρνείται σθεναρά την προσωπική του συμμετοχή σε πράξεις παραβίασης του απορρήτου των επικοινωνιών και προσωπικών δεδομένων, στην αγωγή κατά Κουκάκη δεν αρνείται ποτέ την επιχειρηματική του σχέση με το Predator ή την Intellexa.
Σε ένα αποκαλυπτικό απόσπασμα, οι δικηγόροι του δηλώνουν ρητά ότι η πώληση του Predator στις ελληνικές αρχές θα ήταν «απόλυτα νόμιμη από μόνη της».
Μέσω των δικηγόρων του ο Ταλ Ντίλιαν απάντησε σε αυτήν την έρευνα. Διαβάστε ολόκληρη την απάντηση στο τέλος του κειμένου.
Aladdin Insanet
Τα εσωτερικά έγγραφα που διέρρευσαν από την Intellexa επιβεβαιώνουν επίσης την ύπαρξη του συστήματος «Aladdin», η ανάπτυξη του οποίου αποκαλύφθηκε πέρυσι από το inside story και την εφημερίδα Haaretz. Το Aladdin υποτίθεται ότι επιτρέπει την κρυφή μόλυνση με κατασκοπευτικό λογισμικό μέσω μιας φαινομενικά αθώας διαφήμισης σε ένα πρόγραμμα περιήγησης ή μια εφαρμογή, χωρίς να απαιτείται κανένα κλικ από το θύμα. Αυτή ήταν η πρώτη φορά που αποκαλύφθηκε ότι μια εταιρεία εκτός Ισραήλ είχε αναπτύξει ένα τέτοιο εργαλείο, το οποίο θεωρείται η αιχμή του ισραηλινού επιθετικού κυβερνοχώρου. Το 2023 αποκαλύφθηκε από τη Haaretz ότι το Ισραήλ προσπάθησε να εμποδίσει εταιρείες που εμπορεύονται επιθετικά κυβερνο-εργαλεία, όπως η NSO, να αναπτύξουν τέτοιες δυνατότητες, και ότι μια ισραηλινή εταιρεία με την ονομασία Insanet κατάφερε να λάβει άδεια εξαγωγής και μάλιστα το πούλησε σε τουλάχιστον μία χώρα, ενώ μια άλλη ισραηλινή εταιρεία με την ονομασία Rayzone κατάφερε επίσης να αναπτύξει ένα παρόμοιο προϊόν που, τουλάχιστον εκείνη την εποχή, δεν είχε ακόμη πωληθεί. Την ίδια περίοδο, το υπουργείο Άμυνας έλαβε μέτρα για να εμποδίσει τις ισραηλινές εταιρείες να εμπορεύονται παρόμοια εργαλεία στο εξωτερικό.
Τα υλικά μάρκετινγκ και οι εσωτερικές παρουσιάσεις της Intellexa επιβεβαιώνουν πλέον ότι η εταιρεία κατάφερε να αναπτύξει το εργαλείο και αποκαλύπτουν τον τρόπο λειτουργίας του: ο στόχος μολύνεται μέσω κακόβουλης διαφήμισης που προορίζεται συγκεκριμένα γι αυτόν. Δεν υπάρχει ανάγκη για ψεύτικο λινκ όπως έγινε με τους στόχους στην Ελλάδα και αλλού: αυτή είναι μια δυνατότητα που η εταιρεία περιγράφει ως «σχεδόν μηδενικού κλικ». Σε αντίθεση με το προϊόν της Insanet, το Aladdin της Intellexa καταφέρνει να εκμεταλλευτεί το σύστημα διαδικτυακών διαφημίσεων με αυτόν τον τρόπο μόνο εάν ο πελάτης συνεργάζεται με έναν τοπικό πάροχο υπηρεσιών διαδικτύου. Με άλλα λόγια, η μόλυνση μέσω διαφημίσεων μέσω του Aladdin απαιτεί συγκεκριμένα τη συνεργασία του ISP για την απόκτηση διευθύνσεων IP για στόχευση.
Η έκθεση της Recorded Future που δημοσιεύεται σήμερα αποκαλύπτει ότι το Aladdin είναι ήδη σε λειτουργία. Η εταιρεία κυβερνοασφάλειας κατάφερε να παρακολουθήσει ενεργή υποδομή που εκμεταλλεύεται το «διαφημιστικό οικοσύστημα» ως νέα μέθοδο μόλυνσης, μεταξύ άλλων μέσω δύο «διαφημιστικών εταιρειών» που ιδρύθηκαν στην ελεύθερη εμπορική ζώνη του Ντουμπάι. Αυτές οι εταιρείες έχουν χαρακτηριστικά –ιδιοκτήτες, διευθυντές, διαδικτυακές διευθύνσεις και αριθμούς τηλεφώνου– όπως εταιρείες που είχαν προηγουμένως συνδεθεί με την Intellexa.
Εγκληματολογική Στήλη της Ροζέτας
Σύμφωνα με την έκθεση της Recorded Future, αυτές οι εταιρείες είχαν έναν ευρύτερο ρόλο πέρα από την απλή δημιουργία υποδομής για το σύστημα μόλυνσης που βασίζεται σε διαφημίσεις. Εταιρείες που συνδέονται εταιρικά με την Intellexa και είναι εγγεγραμμένες στα Ηνωμένα Αραβικά Εμιράτα βρέθηκαν επίσης ως κρίκοι στην αλυσίδα εφοδιασμού της εταιρείας. Σύμφωνα με την έκθεση, η PULSE FZCO, εγγεγραμμένη στην ελεύθερη εμπορική ζώνη του Ντουμπάι, χρησιμοποιήθηκε για σκοπούς logistics και αποστολής εξοπλισμού. Σε αντίθεση με τα εταιρικά μητρώα στη Δύση ή ακόμα και στην Ανατολή, είναι σχεδόν αδύνατο να εντοπιστούν πληροφορίες σχετικά με εταιρείες που είναι εγγεγραμμένες στα Ηνωμένα Αραβικά Εμιράτα – ειδικά στις πολυάριθμες ελεύθερες εμπορικές ζώνες που έχουν δημιουργηθεί εκεί τα τελευταία χρόνια, οι οποίες έχουν τους δικούς τους νόμους που έχουν σχεδιαστεί για να προσελκύσουν διάφορες βιομηχανίες, συμπεριλαμβανομένων όσων δραστηριοποιούνται στον κυβερνοχώρο.
Μια εταιρική χαρτογράφηση της Intellexa που πραγματοποιήθηκε κατόπιν αιτήματος της Haaretz από την εταιρεία πληροφοριών που συλλέγονται από ανοιχτές πηγές FIND, η οποία ειδικεύεται στην καταπολέμηση της παράκαμψης κυρώσεων, αποκάλυψε ότι οι μετοχές που κάποτε ανήκαν στον Ταλ Ντίλιαν στην ισραηλινή εταιρεία από τον Μάιο του 2024 βρίσκονται στην κατοχή μιας άλλης εταιρείας που είναι επίσης εγγεγραμμένη σε μία από τις ζώνες ελεύθερου εμπορίου του Αμπού Ντάμπι, οι οποίες έχουν καταστεί ένα είδος φορολογικού και ρυθμιστικού παραδείσου για εταιρείες σε πολλούς τομείς, συμπεριλαμβανομένων των εταιρειών πληροφοριών.
Η μετατόπιση προς εταιρείες με έδρα στον Κόλπο δεν είναι το μόνο πράγμα που δυσκολεύει τους ερευνητές να εντοπίσουν τις εταιρείες spyware: το υλικό που διέρρευσε και αξιοποιήθηκε στο πλαίσιο της παρούσας έρευνας περιλαμβάνει επίσης ένα εσωτερικό έγγραφο της Intellexa με τίτλο «Operational Security» (OPSEC), στο οποίο περιγράφονται λεπτομερώς οι μηχανισμοί ασφαλείας που έχει αναπτύξει η εταιρεία για να αποτρέψει οποιαδήποτε ψηφιακή έρευνα ύποπτης συσκευής και να συγκαλύψει τα ίχνη που οδηγούν στο Predator, την Intellexa και τους πελάτες της. Ειρωνικά, αυτό το έγγραφο έχει πλέον καταστεί αυτό που η Διεθνής Αμνηστία αποκαλεί «εγκληματολογική Στήλη της Ροζέτας» – επιβεβαιώνοντας οριστικά την αλυσίδα των ψηφιακών αποδεικτικών στοιχείων που είχαν βρεθεί προηγουμένως. Το έγγραφο περιέχει συγκεκριμένα τεχνικά αναγνωριστικά στοιχεία ενσωματωμένα στον κώδικα του Predator – αναγνωριστικά που ταιριάζουν ακριβώς με δείγματα λογισμικού υποκλοπής που είχαν βρεθεί προηγουμένως σε στόχους στην Αίγυπτο και την Ελλάδα.
Τα ευρήματα της έρευνας δημοσιεύονται σε μια περίοδο που η βιομηχανία spyware δεν βρίσκεται πλέον στο επίκεντρο της προσοχής των ΗΠΑ και οι προσπάθειες για τον έλεγχο της έχουν χαλαρώσει. Η επιστροφή του Τραμπ στον Λευκό Οίκο έχει ανατρέψει σταδιακά βασικά στοιχεία της πολιτικής του προκατόχου του: αν και η NSO και η Candiru εξακολουθούν να βρίσκονται στη μαύρη λίστα του υπουργείου Εμπορίου των ΗΠΑ μαζί με την Intellexa, οι δύο πρώτες εταιρείες έχουν περάσει σε αμερικανική ιδιοκτησία έκτοτε. Ο Τραμπ επανέφερε επίσης τη σύμβαση της Paragon με το υπουργείο Εσωτερικής Ασφάλειας, η οποία είχε παγώσει από τον Μπάιντεν, επιτρέποντας στην Αμερικανική Υπηρεσία Μετανάστευσης και Τελωνείων (ICE) να αποκτήσει ξανά πρόσβαση στο κατασκοπευτικό λογισμικό τους.
Η Paragon έχει επίσης εξαγοραστεί από ένα αμερικανικό fund που φέρεται να είναι κοντά στην αμερικανική κοινότητα πληροφοριών, δείχνοντας πώς η πρωτοβουλία των ΗΠΑ να καταπολεμήσουν τις ισραηλινές εταιρείες spyware οδήγησε στη μετεγκατάστασή τους στις ΗΠΑ.
Συνολικά, τα ευρήματα της έρευνάς μας δείχνουν πώς εταιρείες όπως η Intellexa, που δεν εξαγοράστηκαν από Αμερικανούς ιδιοκτήτες, προσαρμόζονται στις κυρώσεις. Για τους ερευνητές που τις παρακολουθούν και βοηθούν τα θύματα των πελατών τους, αυτό σημαίνει ότι η Intellexa δεν έχει εξαφανιστεί, αλλά έχει απλώς γίνει πιο δύσκολο να εντοπιστεί και να ανιχνευθεί.
Η απάντηση του Ταλ Ντίλιαν
Σε απάντηση στην έρευνα αυτή, ο Ταλ Ντίλιαν απέφυγε να σταθεί σε συγκεκριμένα ερωτήματα που του τέθηκαν βάσει των ευρημάτων μας και μέσω δικηγόρου του έστειλε την ακόλουθη δήλωση, η οποία δημοσιεύεται εδώ αυτούσια:
«Πρόσφατα, εμφανίστηκε ένα νέο κύμα ανακυκλωμένων κατηγοριών, που δείχνει ότι τα μέρη που προωθούν αυτό το αφήγημα συνεχίζουν την ατζέντα τους. Δεν έχω διαπράξει κανένα έγκλημα ούτε έχω λειτουργήσει κανένα κυβερνο-σύστημα στην Ελλάδα ή οπουδήποτε αλλού. Οποιαδήποτε ισχυρισμός που υποδηλώνει το αντίθετο είναι ψευδής και δυσφημιστικός.
Απορρίπτω κατηγορηματικά οποιαδήποτε προσπάθεια να με συνδέσουν με τα γεγονότα στην Ελλάδα ή με την εκστρατεία των μέσων ενημέρωσης που τα περιβάλλει. Προστατεύω τα δικαιώματά μου και θα συνεχίσω να ασκώ νομικές ενέργειες εναντίον όσων με δυσφημούν, συμπεριλαμβανομένης της αγωγής που κατέθεσα εναντίον του κ. Κουκάκη, η πρώτη από πολλές που έχουν κατατεθεί σε διάφορες χώρες.
Εδώ και χρόνια, εχθρικά και ριζοσπαστικά άτομα, καθώς και οντότητες που χρηματοδοτούν προοδευτικές ατζέντες σε όλο τον κόσμο (οι οποίες τώρα ερευνώνται από τη νέα κυβέρνηση των ΗΠΑ), έχουν εργαστεί για να αποδυναμώσουν κυρίαρχα κράτη και την ικανότητά τους να αμυνθούν ενάντια σε τρομοκράτες, διεθνείς εγκληματικές ομάδες, παιδόφιλους και εμπόρους ναρκωτικών.
Για να προωθήσουν την οργανωμένη εκστρατεία τους, αυτές οι προοδευτικές ομάδες βασίζονται σε μεροληπτικές και πολιτικά υποκινούμενες διεθνείς οργανώσεις που διαδίδουν αβάσιμους ισχυρισμούς και χρησιμοποιούν δημοσιογράφους ως «χρήσιμους ηλίθιους», οι οποίοι δημοσιεύουν επανειλημμένα τις λεγόμενες ερευνητικές εκθέσεις που κατευθύνονται από τους ίδιους παράγοντες.
Αυτή η εκστρατεία, την οποία ενστερνίστηκε η κυβέρνηση Μπάιντεν, έχει ήδη προκαλέσει ζημιά σε έναν ολόκληρο κλάδο στο Ισραήλ, βλάπτοντας την οικονομία και την ασφάλειά του, ενώ ενθαρρύνει την τρομοκρατία, το έγκλημα και την καχυποψία παγκοσμίως.
Η στρατηγική που χρησιμοποιούν αυτές οι ομάδες για να αποδυναμώσουν την ικανότητα των κυρίαρχων χωρών να υπερασπίζονται τον εαυτό τους και τους πολίτες τους δεν είναι να επιτίθενται άμεσα στις κυβερνήσεις που αγοράζουν νόμιμα αυτά τα αμυντικά εργαλεία, αλλά να απονομιμοποιούν τις εταιρείες που αναπτύσσουν απαραίτητες αμυντικές τεχνολογίες. Παρά το γεγονός ότι δεν έχουν κανένα ρόλο στον τρόπο με τον οποίον οι νόμιμες κυβερνήσεις χρησιμοποιούν τα συστήματα που αγοράζουν, αυτές οι εταιρείες κατηγορούνται για συνεργασία σε υποτιθέμενη κατάχρηση.
Κάθε αξιοπρεπής άνθρωπος πρέπει να υποστηρίζει την υπεύθυνη χρήση του «Active Cyber». Οι εταιρείες που ζητούν άδειες εξαγωγής πρέπει να αναλαμβάνουν την ευθύνη πριν από την πώληση ενός συστήματος, ενώ οι κυβερνήσεις φέρουν την πλήρη ευθύνη για τη χρήση τους μετά την αγορά. Αυτό είναι το μόνο αποτελεσματικό ηθικό μοντέλο για να διασφαλιστεί η υπεύθυνη χρήση των ενεργών κυβερνο-εργαλείων, παρόμοιο με την προσέγγιση που ακολουθείται για τα θανατηφόρα οπλικά συστήματα.
Σας καλώ να επανεξετάσετε τις προκατειλημμένες απόψεις σας και να ανοίξετε τα μάτια σας για το ευρύτερο καλό που συνεχώς ισχυρίζεστε ότι αναζητάτε».
