Brits document laat zien hoe EncroChat werd gehackt

Brits document laat zien hoe EncroChat werd gehackt

Een document van de Britse National Crime Agency geeft de indruk dat de Nederlandse politie een actieve rol heeft gehad in de hack van EncroChat in het voorjaar van 2020. Het document, dat Crimesite heeft ingezien, geeft ook informatie over de werkwijze die is toegepast om de berichten op EncroChat-telefoons te kunnen lezen.

Door @Wim van de Pol

Het Nederlands Openbaar Ministerie heeft over het onderzoek naar EncroChat (26Lemont) in verschillende lopende rechtszaken over liquidaties en drugshandel informatie ingebracht. Uit die stukken blijkt dat de Franse autoriteiten verantwoordelijk waren voor de hack die op 30 maart 2020 plaatsvond in de server van EncroChat, in een groot datacentrum in het Franse Roubaix. Er zijn ook Franse stukken hierover.

DGSI

Uit die Franse stukken blijkt dat de Fransen een onderzoek naar Encro zijn begonnen naar aanleiding van in Frankrijk aangetroffen Encro-telefoons, in bepaalde drugszaken en onderzoeken naar andere misdrijven. De high-tech crime unit van de Gendarmerie ging ermee aan de slag. Vervolgens zou met toestemming van de Franse veiligheidsdienst DGSI ‘een methode’ op de server van van EncroChat in Roubaix zijn toegepast waarover niets bekend kan worden omdat deze een ‘militair staatsgeheim’ betreft.

Samen

Met de hack zelf had Nederland dus niets te maken, stelt tot nu toe het Openbaar Ministerie.

Het NCA-stuk is gisteren door advocaat Ruud van Boom ingebracht bij de rechtbank op een voorbereidende zitting tegen Hagenaar Piet S.. Het is opgemaakt op 26 maart 2020, een goede week voordat de Fransen in staat waren gedurende enkele maanden lang de chats van Encro-gebruikers live te volgen en vast te te leggen.

Het stuk beschrijft de methodiek van de hack en samenwerking tussen de Fransen en de Nederlanders en hoe de Britten er informatie uit zullen ontvangen. Er staat het volgende:

De handelwijze hieronder beschreven is ondernomen door de Franse Gendarmerie en Nederlandse opsporing die samenwerken in een Joint Investigation Team (JIT). (…)

Verderop in het document staat nog de zin de Franse Gendarmerie en de Nederlandse politie de besproken werkwijze (bedoeld wordt de hack) samen ‘implementeren’. Eerder meldde Crimesite dat uit andere NCA-stukken bleek dat de samenwerking over de hack geheim moest blijven.

De wijze waarop de NCA-ambtenaar dit beschrijft lijkt meer op een Nederlands-Franse samenwerking dan op een zuiver Franse hack. In de volgende zinnen licht de NCA-ambtenaar toe hoe de hack, het Franse “militaire staatsgeheim” in zijn werk is gegaan. (tekst gaat verder onder reclame)

‘Een implantaat’

De Encro-telefoons die zich na de installatie op 30 maart 2020 op de server van het “implantaat” (implant) meldden werden besmet met malware:

Een implantaat, dat is gecreëerd door het JIT, zal worden ingezet in een app op alle Encro-telefoons. Het implantaat zal worden geplaatst op telefoons via een update van de update-server, die momenteel in Frankrijk staat. Als het is ingezet zal het implantaat data van het apparaat verzamelen en doorsturen naar de Franse autoriteiten. Dat zullen zijn alle data op de telefoon, naar verwachting inclusief IMEI-nummers en usernames, wachtwoorden, opgeslagen berichten, geo-locatiedata, plaatjes en aantekeningen. Het implantaat zal op de apparaten blijven om fase-2 te faciliteren.

Fase 2:

Communicatie (zoals chat-berichten) die op de telefoons staan zullen dan worden verzameld tijdens de duur dat het middel wordt toegepast.

Fase-2 was de periode van april tot juni dat de berichten live konden worden bekend door autoriteiten en door de Fransen werden doorgestuurd naar een Europol-server in Den Haag. Dat was van 1 april 17.15 tot en met 26 juni omstreeks 17.00.

Key-logger

Uit het NCA-stuk blijkt dus dat Encro-telefoons een update met malware kregen. Waarschijnlijk was dit een key-logger waardoor alle berichten die een gebruiker intikte niet versleuteld werden doorgestuurd naar de politie voordat ze (versleuteld) naar de gesprekspartner gingen. Ook berichten (van anderen of van zichzelf) die hij of zij had opgeslagen op het apparaat werden doorgestuurd.

Het was in ieder geval volgens deze methode niet noodzakelijk om de codering van de Encro-berichten te kraken. De berichten werden naar de politie gestuurd voordat ze werden gecodeerd en verzonden.

Zie meer over de gang van zaken rond de EncroChat-hack:

Sommige Encro-gebruikers verwijderden oude berichten niet

EncroChat: de reconstructie van de hack (UPDATE)