Er zijn twee documenten in omloop gebracht waarin een uitleg staat over de aanvallen op Encrochat. Het bedrijf heeft zijn versleutelde telefoon- en berichtendiensten vorige week gestaakt. In de documenten, één in het Engels en één in het Nederlands, staat een reconstructie over wat er in juni is voorgevallen. De documenten zijn in het bezit van Crimesite.
De documenten van drie kantjes hebben goeddeels dezelfde inhoud. Alleen in het Engelse document staat dat de aanvallen van overheidsdiensten uit het Verenigd Koninkrijk kwamen.
Op 13 juni werd bekend dat het bedrijf de verbindingen had stilgelegd en gebruikers adviseerde hun telefoontoestellen weg te gooien omdat er een hack zou hebben plaatsgevonden. Daardoor zou de veiligheid niet meer gegarandeerd kunnen worden. Het bedrijf stelde dat overheidsdiensten verantwoordelijk zouden zijn voor ‘een hack’. Wat er precies gecompromitteerd zou zijn geweest werd niet helder.
Deze week lijkt er een nadere toelichting in omloop te zijn gebracht, die overigens niet ondertekend is. De werkelijke eigenaren van het bedrijf zijn onbekend. Onbevestigde geruchten zeggen dat er Nederlandse groep het bedrijf zou hebben gefinancierd.
Command & Control
In de documenten staat dat er in mei van dit jaar bij de helpdesk meldingen waren binnengekomen over het niet functioneren van de ‘panic wipe functie’, die de inhoud van een toestel kan wissen en terug kan zetten naar fabrieksinstellingen. Aanvankelijk kon dit niet worden gereproduceerd in een test. ‘In juni’ werd een toestel gevonden waarop malware bleek te zijn geïnstalleerd. Deze software was ontworpen om
ontraceerbaar te blijven, reset fabrieksinstellingen uit te schakelen, het wachtwoord voor schermvergrendeling op te nemen, applicatiegegevens te klonen, en telemetrie naar een Command & Control server te sturen.
Uiteindelijk bleek een aantal toestellen in 140 landen te zijn geïnfecteerd. Of een nieuw apparaat dat sinds maart in omloop was gebracht was geïnfecteerd is niet vastgesteld, aldus het document. Het zou zelfs ‘niet kwetsbaar zijn’ voor de malware.
Patch
Nadat op 12 juni via een over the air (OTA) update een patch was verstuurd en de bewuste gebruikers op de hoogte waren gesteld werd ‘vrijwel onmiddellijk een nieuwe aanval gedetecteerd’. Dat zou zijn gekomen omdat de aanvallers ook op de hoogte zullen zijn gebracht van het aanbrengen van een nieuw systeem op de telefoons.
Omdat er nu een ‘monitoring’ zou zijn aangebracht was Encrochat nu direct op de hoogte van de aanval. Binnen 30 minuten zouden de sim-diensten zijn ‘verminderd’. Uit analyse van de malware bleek ‘een verbeterde functionaliteit’. (tekst gaat door onder reclame)
Omvang
Daarop is op 12 juni besloten een bericht naar alle gebruikers te sturen. Eerst werd KPN op de hoogte gesteld, die een firewall tegen bepaalde servers opzette. Op 13 juni werden de sim-verbindingen weer aangezet om het bericht te versturen. Binnen ’twee uur en 40 minuten’ nadat de sim-verbindingen weer online kwamen elimineerde de KPN de firewall en werden aanvallen van servers hervat, aldus het document, daarna nam na Encrochat de beslissing om het hele netwerk uit te schakelen.
Als de informatie in de documenten juist is geeft dit nog geen nader beeld van de omvang van de hack en hoeveel informatie en/of communicatie van gebruikers is doorgesluisd naar de hackers.