ŚWIAT WYWIADU I TAJNYCH SŁUŻB. „HERMES”
Hermes w antycznej mitologii greckiej był „uosobnieniem” sprytu, boskim „posłańcem” ale także… patronem złodziei. Już na swoim „początkowym” pobycie na greckiej , świętej górze Olimp-okradał Bogów…
Witam Państwa.
Nie miałem zamiaru pisać bloga poruszającego sprawy związane z trojanami, expolitami i wszelkiego rodzaju robactwem stosowanym przez hakerów ale nie jako zostałem 👉 „wywołany do tablicy „…
Artykuł pana redaktora Wojciecha Czuchnowskiego a przede wszystkim ukryty atak na społeczność OSINT oraz „wybielenie” ujawnienia wyrzucenia w bloto 15 mln złotych w Prokuraturze Krajowej przez tego wybitnego śledczego dziennikarza Gazety Wyborczej nawet jak jego artykuł był pod chwytliwym tytułem aczkolwiek trochę niefortunnym , chęć przypisania hakerskiego „robactwa” jako „narzędzia analitycznego OSINT” bez podawania do swojej tezy -materiałów zródłowych, linków ,artykułów z specjalistycznej prasy zagranicznej bo ekspert IT ma tzw znane „nazwisko” i to już powinno internetowej chołocie wystarczyć a także obrażenie mojego środowiska spowodowało że ten blog a nie blog „PEGASUS” będzie pierwszym z serii.
Oczywiście PANOWIE EKSPERCI O ZNANYCH NAZWISKACH mogą polemizować ze mną ale tylko wtedy jak pokażą mi linki do artykułów i to obojętnie czy z specjalistycznej prasy krajowej czy zagranicznej bo mogę czegoś nie wiedzieć 🙂
Ten blog wyjątkowo „sponsoruje ” Litera …” H” ….:)))
Sporo wypowiadano się o OSINT, ekspertów w mediach społecznościowych było i nadal jest co niemiara więc wypadałoby by aby w końcu zabrał głos jeden z „osintowców”. Nie będę jednak teraz rozwodził się czym jest OSINT, zrobiłem to już bardzo dawno temu zanim to się stało modne bo w dniu 3.07.2020 roku a zainteresowanych Państwa teorią odsyłam do lektury mojego pierwszego bloga w poniższym niezwykle popularnym wtedy linku
„BIAŁY WYWIAD. TECHNIKI ŚLEDCZE OSINT „
👇
Biały Wywiad . Techniki śledcze. #OSINT. – Source Intelligence (wpcomstaging.com)
W OSINT jednym z podstawowych czynników od którego zaczyna analizy każdy szanujący się „osintowiec” jest CHRONOLOGIA.
Pozwala ona po zebraniu wszystkich nawet przypadkowych wydarzeń na ich ułożenie według daty, czasu i miejsca w logiczny ciąg i analizę czyli „łączenie kropek”.
„H”- jak HEARTLE
3.03.2024. Godzina 19:08.
Tego dnia wieczorem redaktor Wojciech Czuchnowski / @czuchnowski / zapowiada na następny dzień publikację swojego najnowszego śledczego artykułu.
👇
Pozostańmy jeszcze przez chwilę na Timeline / TL / konta na X / dawny Twitter / dziennikarza Gazety Wyborczej …
Internauta @falstafiku pisze krótkiego tweeta …”Hermes z Pegasusem”
👇
Użytkownik wojciech czuchnowski podał dalej tweeta.
Przyznam że całkiem fajna grafika z jednej z aplikacji Artifical Intelligence / sztuczna inteligencja /
4.03. 2024. Godzina 7:20
Obecnie europoseł , pan Krzysztof Brejza / @KrzysztofBrejza / na X „wrzuca” 2 skany artykułu
👇
4.03. 2024.Godzina 7:40
Pani prokurator Ewa Wrzosek / @e_wrzosek / pisze na X obszerne streszczenie artykułu wrzucając poniższy skan.
👇
4.03. 2024 Godzina 7:48.
Pan redaktor Marcin Tyc / @MarcinTyc / na portalu X /dawny Twitter / pisze tweeta w którym pojawia się też pełny skan artykułu redaktora Czuchnowskiego .
👇
Przede wszystkim i to jest najważniejsze dowiadujemy się z niego że wiosną 2021 roku Prokuratura Krajowa kupiła za 15 ml złotych system szpiegowski Hermes który wg anonimowego „informatora” z ABW jest jeszcze bardziej zaawansowany niż Pegasus. Prokuratorem Krajowym był wtedy obecny sędzia Trybunału Konstytucyjnego, pan Bogdan Święczkowski . Co ciekawe jest w artykule to że redaktor Czuchnowski zadał też pytanie panu mecenasowi Krzysztofowi Krełowskiemu / były dyrektor Inspektoratu Wewnętrznego ABW /. Według „źródeł” informacyjnych autora artykułu to właśnie ten prawnik negocjował zakup Hermesa z jego izraelskim producentem.…
I na końcu czytamy w artykule krótki opis działania Hermesa.
„Uderz w stół a odezwą się nożyce…”
4.03. 2024. Godzina 7:55
Na specjalistycznym portalu @Zaufana3Strona ukazuje się artykuł autorstwa pana Adama Haertle / @adamhaertle /. Czy to zbieg okoliczności czy przypadek że nazwisko autora jest na literę H 🙂 /
👇
👇
Zanim przeanalizuję artykuł eksperta to najpierw tak zupełnie na „marginesie”, patrząc na tę grafikę , również pochodzącą z aplikacji związanej z AI to zastanawiam się czy autor tego artykułu nie pisał go jeszcze wieczorem poprzedniego dnia nie wiedząc co prawda jaka będzie grafika artykułu redaktora Czuchnowskiego ale widział na „Timeline” dziennikarza Gazety Wyborczej zrobiony RT / Retweet / tweeta internauty @falstafiku :))
Żeby Państwo mieli jasność sytuacji zaprezentuję pełny artykuł eksperta z branży IT.
Bzdury Wyborczej, czyli dlaczego Hermes nie jest bardziej zaawansowanym Pegasus.
👇
Tyle miał do napisania autor artykułu pan Adam Haertle. To co jak dla mnie najciekawsze do późniejszej „osintowej” analizy – ,zaznaczyłem w czerwonej ramce. Lepszej „reklamy” tego oprogramowania nie można sobie wymarzyć , nic tylko kupować :))))
4.03. 2024 Godzina 9:50.
Autor artykułu robi aktualizację :
Do tematu Hermesa dotarł też serwis TVN24. Ten artykuł brzmi dużo lepiej, wspominając głównie o narzędziu analitycznym, ale nie ustrzegł się kuriozalnego akapitu:
Miał też przełamywać zabezpieczenia popularnych komunikatorów, takich jak WhatsApp czy Signal i tym samym dawać możliwość odczytywania szyfrowanych wiadomości. Narzędzie do OSINT-u łamiące Signala? Naprawdę? Czy ktoś to czyta przed publikacją, czy YOLO à la Wyborcza?
Tyle autor artykułu pan Adam Haertle , przyznam szczerze że nawet jest dowcipny ale nie wiem czy będzie jak „dotrze” do niego mój blog a może się nawet ustosunkuje …. 🙂 Zapomniał albo nie chciał dodać z tego artykułu jednego z ustaleń dziennikarzy z TVN.
„Z naszych informacji wynika, że Hermes to narzędzie analizy kryminalnej, używane w Departamencie Przestępczości Gospodarczej Prokuratury Krajowej, gdzie prowadzone były ważne dla ekipy Zbigniewa Ziobry śledztwa. Według naszych nieoficjalnych ustaleń system Hermes miał służyć ekipie Ziobry między innymi do śledzenia adwersarzy w mediach społecznościowych. Do obsługi systemu zatrudnieni byli między innymi emerytowani funkcjonariusze ABW. Z umów zlecenia wynikało, że niektórzy z nich dostawali po tysiąc złotych za godzinę obsługi Hermesa.”
4.03.2024. Godzina 9:51
Stowarzyszenie Ad Vocem / @StAdVocem / na portalu X prezentuje oświadczenie pana prokuratora Michała Ostrowskiego. Prezentuję wg mnie najciekawszy fragment:
👇
4.03.2024 Godzina 10:44
Prawnik , pan mecenas Bartosz Lewandowski / @BartoszLewand20 / nie tylko pisze tak ale dodaje jeszcze ciekawą grafikę : Czyli chodzi o narzędzie, które umożliwia pozyskanie i analizę danych, aby nie dokonywać tego „ręcznie”. Często w sprawach karnych pojawia się efekt w postaci diagramu powiązań. Pozwala to śledczym na sprawniejsze prowadzenie postępowań (przykład poniżej). B) Sam „Hermes” to nie żaden „Pegasus”, czyli narzędzie kontroli operacyjnej, ale – jak wynika z opinii specjalistów – narzędzie do gromadzenia danych PUBLICZNIE dostępnych. „Jeśli podamy mu dane obiektu naszego zainteresowania, przejrzy informacje dostępne publicznie w sieci (wyszukiwarki, serwisy społecznościowe, fora, serwisy specjalistyczne) i pobierze z nich wszystko, co na temat danego imienia, nazwiska i pseudonimu znajdzie. Zebrane dane pozwoli zapisać w celu dalszej analizy, bo sam z nich wniosków nie wyciągnie.”
Nie wiedziałem że w Polsce mamy tylu „osintowców” a do tego są wśród nich prawnicy a wielce jest zastanawiające z skąd ten prawnik czy bardziej od kogo ten młody i aktywny w mediach społecznościowych prawnik miał grafikę z wspólnej operacji policji oraz służb o kryptonimie „CREST ” ?
4.03. Godzina 12:34
Pani redaktor Anna Mierzyńska / @Anna_Mierzynska / publikuje artykuł dla portalu @oko_press wywiad z panem Adamem Haertle , szefem portalu „Zaufana Trzecia Strona” i autorem artykułu pisząc :
O godzinie 14:37 analityczka podpiera się „osintowym” oświadczeniem rzeczniczki prasowej Prokuratury – pani prokurator Anny Adamiak.
👇
Dziennikarka zapomniała o najważniejszej zasadzie wśród prawdziwych „osintowców „że każdą informację należy zweryfikować przynajmniej w dwóch zródłach a p. Adam Haertle nie powiedział nic nowego a w zasadzie w tym wywiadzie tylko powtórzył to co napisał w artykule . Będąc na jej miejscu zrobiłbym wywiad z informatykiem z portalu ” Niebezpiecznik” albo z portalu „Sekurak”. Znowu mnie zaatakują jej lizusy oraz fani jej urody że się wymądrzam … :))))
4.03 .2024. Godzina 13:01.
Stowarzyszenie Ad Vocem na swoim profilu robi RT anonimowego internauty który promuje artykuł p. Haertle…
👇
Dla portalu Onet wypowiedział się też ekspert Przemysław Szulecki który jak zajrzałem do niego na profil to do takich jak ja jest nastawiony negatywnie a w OSINT widzi więcej minusów niż plusów. Nie dziwię się, jak nie wiadomo o co chodzi to prawie zawsze o pieniądze. . Tak wypowiedział się dla portalu ONET.
👇
Ekspert wspomniał o znakomitym programie a w zasadzie jak dla „osintowym kombajnie ” jakim bez wątpienia jest MALTEGO, pokażę Państwu jedną z jego możliwości…
👇
Porównać Hermesa do MALTEGO to dość ryzykowna sztuka żerowania na niewiedzy internautów bo a nóż któryś sprawdzi to co pisze „ekspert” i porówna ? Zwłaszcza jak pokażę Państwu Hermesa ale nie jeszcze nie teraz…. 🙂
4.03.2024 Godzina 18:35
Gdy już wszyscy się wypowiedzieli na temat „Hermesa” na koniu wjeżdża robiąc „nitkę” były funkcjonariusz służb RP jak się :tytułuje” :)) -pan Artur Chodziński...
👇
Błysnął potrzebną „wiedzą” prawie jak zeznaniem nie tylko dla sejmowej komisji śledczej ws podsłuchów, były „orzeł” służb specjalnych że nawet „Emilia Kamińska” by się nie powstydził :)))
Mniej więcej wiadomo kiedy były testy z tego oprogramowania ,poniższy tweet jest datowany na 8.10.2019 r.
👇
Najwyższy więc już czas na starego „osintowca” który nie tylko popisał sobie prywatnie z kolegami z portalu Bellingcat ,dowiadując się tego i owego o „Hermesie”…. 🙂
„H” jak HERMES
Zacząłem o tej sprawie w Polsce najpierw informacją dla moich kolegów. Jako pierwszy, prawie natychmiast odpisał holenderski analityk, twórca wielu „osintowych” aplikacji -Henk van Ess a patrząc na jego reakcję / LOL 🙂 / to był bardzo zdziwiony że są w Polsce ludzie i to eksperci biorący Hermesa za program OSINT bo nie tylko dla niego sprawa jest oczywista.
👇
Tym z Państwu którzy nie znają języka angielskiego tłumaczę nie tyle dowcipne co dosadne słowa mojego ,sławnego w „osintowej ” społeczności-kolegi zajmującego się OSINT od kilkunastu lat, będącego assesorem Międzynarodowej Sieci Fact Check oraz członkiem Bellingcat, mającego 54 tyś Followersów na portalu X.
„Hermes to marka znana z ręcznie robionych torebek i torebek. Pegaz to popularny mały skórzany dodatek wykonany przez firmę Hermes. Może służyć jako breloczek do kluczy. Amulet Pegaza jest tworzony w pracowniach firmy zgodnie z tradycyjnym rzemiosłem rękawiczkowym.”
Zrozumieli Państwo aluzję Henka do Hermesa będącego złodziejem? :))
Wszyscy „osintowcy” na całym świecie mają z Hermesem tylko jedno skojarzenie -Pegasus no ale w Polsce są „eksperci ” którzy wyłącznie w określonym celu przez artykuł redaktora Czuchnowskiego który ujawnił aferę- muszą teraz szybko z Hermesa „zrobić” -„program analityczny OSINT” zwłaszcza że sama nazwa OSINT niewiele wielu internautom mówi…
Pan Przemysław Szulecki ekspert Fundacji Pułaskiego najpierw udzielił wywiadu portalowi ONET ale prawie natychmiast jakby spodziewając się riposty ,szybko na swoim koncie na jednym z mediów społecznościowych tak pisze o OSINT… Oczywiście dla niepoznaki na samym początku artykułu musiał zapewne niechętnie wymienić „zalety” ale zaraz ochoczo była całkiem długa lista zarzutów tego eksperta….
👇
„Przyłożył” nie tylko mi nie powiem ,jestem pod wrażeniem ale nie będę z nim teraz polemizował odnośnie poszczególnych ,wymienionych zarzutów choć tego nie wykluczam w przyszłości. Myślą jednak że jak są znanymi ekspertami od informatyki to nikt nie ośmieli się żądać od nich przedstawienia na poparcie swoich tez dających się szybko zweryfikować dowodów -artykułów, linków. dokumentów etc tym bardziej że portal X / dawny Twitter / jest jak papier -„przyjmie” każde słowo.
W tym konkretnym przypadku jednak trochę pechowo trafili …
Pośmialiśmy się więc wspólnie na początku na prywatnym kanale ale to jednak jest obraza dla całego naszego, globalno-miedzynarodowego środowiska OSINT więc muszę w jego imieniu coś wszystkim Państwu wyjaśnić…
Najpierw to ja zacytuję kilka zdań autora tego artykułu z „Zaufanej Mojej Strony” bo na to zasługuje 🙂
Adam Haertle :
„Pierwsze zdanie opisu wskazuje na jednego z kilku dostępnych na rynku konkurentów Pegasusa takich jak Predator, Nova, Devil’s Tongue czy Helikonia…”
Ekspert myli się bo Hermes jest jeden / chyba że na szybko na potrzeby obrony swoich racji stworzą polskie oprogramowanie Hermes i będą mi inputować że jest takie „narzędzie” 🙂 / i ma zupełnie inne hakerskie „wykorzystanie” niż chociażby Predator Cytrox bo taka jest jego pełna nazwa który zostanie przez mnie opisany w jednym z kolejnych moich blogów o systemach inwigilacji . Autor mimochodem od niechcenia wspomniał o innych systemach które podobno są „konkurentami” Pegasusa ….
Wspomniany Devil Tonque wyprodukowany przez izraelską firmę Candiru ma tylko kilka podobieństw do Pegasusa czy innych systemów inwigilacji.
Hiszpańska firma Variston IT z Barcelony jest producentem oprogramowania szpiegowskiego Heliconia bo taka jest prawidłowa nazwa , które atakuje podobnie jak exploit Devils Togue -przeglądarki Chrome, Windows Defender czy Firefox. Jak dla mnie to nie jest żaden konkurent dla Predatora Cytroxa, Pegasusa , Circle, Hermita czy dla najnowszego chińskiego oprogramowania szpiegującego które jeszcze nazwy nie ma ale będzie bardzo grożne… Zainteresowanych oprogramowaniem Heliconia odsyłam do artykułu w poniższym linku.
Google Moves to Block Invasive Spanish Spyware Framework | WIRED.
Dalej p. Adam Haertle pisze :
„Dlaczego jednak nie chodzi o żaden z nich? Po pierwsze kosztują kilkukrotnie więcej niż cena Hermesa, po drugie żaden z nich nie oferuje takich magicznych możliwości. Infekcja przez WiFi czy Bluetooth to historie sprzed co najmniej 10 lat, nieobecne w dzisiaj oferowanych metodach zarażania telefonów. ”
Tutaj zgadzam się z ekspertem. To jest akurat prawda choćby dlatego że na Pegasusa „pod przykrywką „wydano 24 mln + koszt które dla budżetu Państwa -„wygenerowała” firma Matic a na Hermesa „zaledwie ” 15 mln ale o tym będzie w moim blogu „PEGASUS”. Tyle autor artykułu ,pan Adam Haertle , przyznam szczerze że nawet jest on dowcipny ale nie wiem czy będzie , jak „dotrze” do niego mój blog bo temat Hermesa jest „stary” …. 🙂
Virus Hermes to infekcja typu ransomware wysokiego ryzyka oparta na projekcie oprogramowania ransomware typu open-source o nazwie Hidden Tear . „Hidden Tear” ma podobne cechy ataku a stworzył go Turek. Należy pamiętać, że istnieją dwie inne infekcje ransomware o podobnych nazwach ( Hermes i Hermes 2.1), jednakże Virus Hermes i te inne infekcje ransomware nie są ze sobą powiązane.
Ofiary mają tylko 48 godzin na dokonanie płatności, w przeciwnym razie pliki zostaną usunięte w ciągu 72 godzin po zaszyfrowaniu (z jakiegoś nieznanego do dziś powodu ramy czasowe nie są zgodne). Koszt wynosi 150 dolarów za pierwsze 24 godziny i wzrośnie do 300 dolarów…
Płatność należy dokonać przy użyciu kryptowaluty Bitcoin, jednak zdecydowanie zaleca się , aby nic nie płacić, ponieważ programiści często ignorują ofiary nawet po przesłaniu płatności. Dlatego ofiary zostają oszukane, a pliki pozostają zaszyfrowane pomimo zapłacenia okupu.
Dlatego wszelkie prośby o zapłatę okupu lub nawet skontaktowanie się z tymi osobami powinny być ignorowane.
16.02.2017 r.
Ukazuje się artykuł autorstwa Lawrence Abramsa.
„Ransomware Hermes odszyfrowany w wideo na żywo przez Fabiana Wosara z Emsisoftu„
Dyrektor ds. technicznych firmy Emsisoft i badacz złośliwego oprogramowania Fabian Wosar oświadczył w przeszłości, że chce przeprowadzić edukacyjną transmisję na żywo na temat cofania szkodliwego oprogramowania. Dzisiaj, po tym jak badacz bezpieczeństwa GData, Karsten Hahn, odkrył nowe oprogramowanie ransomware o nazwie Hermes, Fabian zdecydował się użyć go jako próbki podczas swojej pierwszej sesji transmisji strumieniowej na żywo.
Najlepsze w tym jest to, że okazało się, że to oprogramowanie ransomware udało się odszyfrować. Dzięki temu ci z nas, którzy oglądali transmisję na żywo, mogli zobaczyć z pierwszej ręki, w jaki sposób badacz złośliwego oprogramowania analizuje i tworzy narzędzie deszyfrujące dla nowego oprogramowania ransomware.
Analizując próbkę Hermesa, Fabian odkrył, że ziarno użyte do wygenerowania klucza szyfrowania może zostać zaatakowane w celu stworzenia narzędzia deszyfrującego. Po ustaleniu tego Fabian pokazał, w jaki sposób można wykorzystać tę wiedzę do wygenerowania klucza i późniejszego deszyfratora zaszyfrowanych plików.
Kiedy Hermes zostanie wykonany, użyje również kontroli konta użytkownika (UAC), obejścia zwanego Eleven lub Elevation poprzez rozwinięcie zmiennej środowiskowej , aby usunąć kopie woluminów w tle i pliki kopii zapasowych ofiary.
To obejście, które najlepiej wyjaśniono w linku do artykułu powyżej, umożliwi plikowi VBS o nazwie Shade.vbs ominięcie Kontroli konta użytkownika i uruchomienie z podwyższonymi uprawnieniami. Ten plik VBS następnie uruchamia plik wsadowy o nazwie Shade.bat , który służy do czyszczenia wszystkich kopii woluminów w tle i usuwania zestawów kopii zapasowych. Usuwane zestawy kopii zapasowych opisano bardziej szczegółowo w następnej sekcji.
Hermes próbuje usunąć pliki kopii zapasowych
Jak opisano w poprzedniej sekcji, Hermes użyje obejścia UAC do wykonania pliku wsadowego o nazwie shade.bat . Ten plik wsadowy, pokazany poniżej, nie tylko usunie woluminy-cienie komputera, ale także usunie obrazy kopii zapasowych, które mogą znajdować się na komputerze. Robi to, aby uniemożliwić ofierze przywrócenie zaszyfrowanych plików z kopii zapasowej.
Usuwane są obrazy kopii zapasowych, które odpowiadają następującym nazwom plików:
*.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dskJak Hermes Ransomware „szyfruje” komputer.
Kiedy oprogramowanie Hermes Ransomware zostanie wykonane, skopiuje się do C:\Users\Public\Reload.exe i wykona się. Następnie uruchomi plik wsadowy o nazwie system_.bat , który służy do usunięcia oryginalnego instalatora, jak pokazano poniżej.
Następnie Hermes rozpocznie skanowanie komputera ofiary i niezmapowanych udziałów sieciowych w poszukiwaniu plików zawierających określone rozszerzenia, a następnie zaszyfruje je przy użyciu szyfrowania AES. Listę docelowych rozszerzeń plików można znaleźć na końcu tego artykułu.
Należy zauważyć, że gdy Hermes szyfruje plik, nie dodaje nowego rozszerzenia do zaszyfrowanego pliku. Doda jednak znacznik pliku na końcu zawartości zaszyfrowanego pliku o nazwie HERMES , jak pokazano poniżej.
.
Podczas szyfrowania plików utworzy żądanie okupu o nazwie DECRYPT_INFORMATION.html i plik o nazwie UNIQUE_ID_DO_NOT_REMOVE w każdym folderze, w którym plik został zaszyfrowany. Podejrzewa się, że plik UNIQUE_ID_DO_NOT_REMOVE zawiera klucz szyfrowania AES używany do szyfrowania plików, który jest dodatkowo szyfrowany dołączonym kluczem RSA. Dzięki temu tylko twórca oprogramowania ransomware może odszyfrować ten plik i odzyskać klucz odszyfrowujący ofiary.
Podczas tego procesu ransomware usunie również kopie woluminów w tle i pliki kopii zapasowych, jak opisano w poprzednich sekcjach.
Po zakończeniu wyświetli notatkę z żądaniem okupu DECRYPT_INFORMATION.html zawierającą informacje o tym, co stało się z plikami ofiary, ofertę bezpłatnego odszyfrowania 3 plików oraz instrukcje dotyczące płatności.
WRZUĆ MONETĘ, WRZUĆ MONETĘ ….:(((
To żądanie okupu obejmuje dwie metody, za pomocą których ofiara może skontaktować się z programistą w celu uzyskania instrukcji dotyczących płatności.
Są to adres Bitmessage BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch i adres e-mail x2486@india.com.
Dobra wiadomość jest taka, że teraz, gdy wkrótce pojawi się deszyfrator, ofiary nie będą musiały płacić za odzyskanie swoich plików. W międzyczasie, jeśli chcesz porozmawiać o tym oprogramowaniu ransomware lub uzyskać pomoc, możesz skorzystać z tematu pomocy i wsparcia dla oprogramowania ransomware Hermes .
Do artykułu jak działa Hermes dołączam link.
👇
„Wrzuć 150-300 dolarów to być może odzyskasz dostęp do plików – „figurancie”…
Dane techniczne oprogramowania Hermes.
Nie wszyscy Państwo wiedzą ale jest taka specjalna „wikipedia” dotycząca takich programów , „eksperci” wiedzą o niej ale się nie przyznają do tego publicznie chcąc w wywiadach dla krajowych mediów -uchodzić za „mędrców”, znów będę znienawidzony przez kolejną grupę tym razem informatyków bo od jakiegoś czasu jestem nie lubiany przez pewną grupę byłych oficerów wywiadu i kontrwywiadu … 🙂
👇
Hermes (Malware Family) (fraunhofer.de)
Na niej szukamy naszego „skrzydlatego” posłańca …
Znajdujemy w poniższym linku jego jeszcze bardziej szczegółowy techniczny opis który będąc wysoce specjalistycznym jest przeznaczony głównie dla ekspertów i informatyków oraz adeptom informatyki .
👇
Deep Dive Into HERMES Ransomware (vxhive.blogspot.com)
HERMES to oprogramowanie ransomware rozprzestrzeniające się poprzez wiadomości e-mail typu spear-phishing. Został wykryty po raz pierwszy w październiku 2017 r. „Przypisuje się” go grupie Lazurus APT / Guardians of Peace lub Whois Team / związanej z Koreą Pólnocną i ma silne powiązania z Ryuk Ransomware. Uważa się, że został napisany przez tego samego autora. Większość ransomware często szyfruje pliki przy użyciu AES i szyfruje losowy klucz AES przy użyciu RSA…
Na temat Hermesa nie tylko ja się wypowiadam również swój wątek zamieścił na portalu X- internauta Łukasz / @maldr0id / , przedstawiam jego fragment:
A summary of the new ongoing spyware discovery in Poland. Today, an article was published saying that one of the government agencies discovered a subscription bill for new spyware called „Hermes”. This seems to be unrelated to previously discovered Pegasus. The article claims about the spyware itself are very dubious and most likely false. The article claims that spyware is installed in „lower layer than Pegasus” and that it can infect completely turned off phones. It can also infect them through rogue wifi or Bluetooth. It’s also supposed to be „more dangerous than Pegasus” Now, this is all silly – Pegasus uses 0days and can do whatever it wants on the phone. Turned off phones cannot be infected unless someone is soldering a chip onto the phone (hard to do over wifi or Bluetooth). The IT sec portal @Zaufana3Strona claims that this is actually a commercial OSINT tool and it got mistaken for spyware. @ljachowicz has found that Intellaxa/Thalestris controls a company called „Hermes” so this points to „Hermes” maybe being Predator (or maybe not) . The core issue is that the author of the article clearly didn’t talk to experts who would easily spot the inconsistencies in the description.
Tłumaczenie fragmentu wątku p. Łukasza.
Dzisiaj ukazał się artykuł mówiący, że jedna z agencji rządowych odkryła rachunek abonamentowy za nowe oprogramowanie szpiegujące o nazwie „Hermes”. Wydaje się, że nie ma to związku z wcześniej odkrytym Pegazem. Twierdzenia w artykule dotyczące samego oprogramowania szpiegującego są bardzo wątpliwe i najprawdopodobniej fałszywe. W artykule stwierdzono, że oprogramowanie szpiegujące jest instalowane w „niższej warstwie niż Pegasus” i może infekować całkowicie wyłączone telefony. Może je również zainfekować poprzez fałszywe Wi-Fi lub Bluetooth. To wszystko jest głupie – Pegasus wykorzystuje 0-days i może robić na telefonie, co chce. Wyłączonych telefonów nie można zainfekować, chyba że ktoś przylutuje chip do telefonu (trudno to zrobić przez Wi-Fi lub Bluetooth). Portal IT @Zaufana3Strona twierdzi, że jest to w rzeczywistości komercyjne narzędzie OSINT i zostało wzięte za oprogramowanie szpiegujące. @ljachowicz odkrył, że Intellaxa/Thalestris kontroluje firmę o nazwie „Hermes”, więc to wskazuje, że „Hermes” może być Predatorem (a może nie). Problem polega na tym, że autor artykułu najwyraźniej nie rozmawiał z ekspertami, którzy z łatwością wychwyciliby nieścisłości w opisie.
Do tego wątku należy się w zasadzie graficzne wyjaśnienia a szeroko o tym napiszę w blogu „PREDATOR. „
👇
Również jeden z internautów – @MaharadzaKaburu „graficznie” nawiązał do tego o czym będzie w blogu „PREDATOR „.
👇
O Hermesie pisze też Iount Argire w prestiżowym „SECURITY WEEK ” w 2018 r.
” Niedawna fala ataków ransomware na organizacje na całym świecie została powiązana ze znanym północnokoreańskim cyberprzestępcą, twierdzi firma Check Point, zajmująca się bezpieczeństwem.
Wydaje się, że kampania jest wysoce ukierunkowana, a co najmniej trzy organizacje w Stanach Zjednoczonych i na całym świecie są poważnie dotknięte. Ponieważ niektóre ofiary zdecydowały się zapłacić duży okup w celu odzyskania dostępu do swoich plików, szacuje się, że operatorzy kampanii zarobili do tej pory ponad 640 000 USD.
Do ofiar wysłano dwie wersje notatki z żądaniem okupu, dłuższą, dobrze sformułowaną, która wymagała zapłaty 50 Bitcoinów (około 320 000 USD) oraz krótszą, bardziej dosadną notatkę, żądającą płatności w wysokości od 15 do 35 BTC (do 224 000 USD).
Ransomware użyte w tych atakach, nazwane Ryuk, wydaje się być powiązane z Hermesem, złośliwym oprogramowaniem szyfrującym pliki, wcześniej powiązanym z północnokoreańską grupą zagrożeń Lazarus. Hermes również był wykorzystywany w atakach ukierunkowanych, w tym w ataku na Dalekowschodni Bank Międzynarodowy (FEIB) na Tajwanie.
W związku z tym badacze bezpieczeństwa Check Point doszli do wniosku, że Lazarus może być również odpowiedzialny za ransomware Ryuk, chyba że inny aktor byłby w stanie zdobyć kod źródłowy Hermesa i wykorzystać go do stworzenia własnego złośliwego oprogramowania.
Jednak, jak ujawniły niedawno Intezer i McAfee, większość północnokoreańskiego złośliwego oprogramowania można powiązać z Lazarusem poprzez ponowne wykorzystanie kodu.
Schemat szyfrowania Ryuka, jak zauważają naukowcy, został zbudowany specjalnie dla operacji na małą skalę. W ten sposób infekcja nie tylko jest przeprowadzana ręcznie przez operatorów, ale samo złośliwe oprogramowanie infekuje tylko kluczowe zasoby i zasoby w atakowanych sieciach.
Logika szyfrowania ransomware przypomina tę, którą można znaleźć w Hermes, a kod używany do generowania, umieszczania i weryfikowania znacznika w celu określenia, czy plik został już zaszyfrowany, jest identyczny w obu rodzinach złośliwego oprogramowania. Funkcja, która wywołuje tę procedurę, wykonuje bardzo podobne działania w obu przypadkach.
Co więcej, obie rodziny ransomware umieszczają na dysku pliki, które przypominają się pod względem nazwy i przeznaczenia, a Check Point zauważa, że takie podobieństwo kodu „może być oznaką identycznego kodu źródłowego”.
W ramach ostatnich ataków wykorzystano dropper zawierający zarówno 32-bitowe, jak i 64-bitowe moduły oprogramowania ransomware. Po uruchomieniu Ryuk sprawdza, czy został wykonany z określonym argumentem, a następnie zabija ponad 40 procesów i ponad 180 usług należących do oprogramowania antywirusowego, baz danych, kopii zapasowych i edycji dokumentów.
Ransomware osiąga również trwałość na zainfekowanych maszynach i próbuje zaszyfrować zasoby sieciowe oprócz dysków lokalnych. Niszczy również swój klucz szyfrowania i usuwa kopie w tle oraz różne pliki kopii zapasowych z dysku, aby uniemożliwić użytkownikom odzyskanie plików.
Badacze zauważają również, że począwszy od fazy eksploatacji, poprzez proces szyfrowania, aż po samo żądanie okupu, kampania Ryuk jest wyraźnie wymierzona w organizacje, które mogą zapłacić duże kwoty okupu.
Prawie wszystkie zaobserwowane próbki ransomware Ryuk, jak twierdzą badacze bezpieczeństwa, zostały wyposażone w unikalny portfel. Wkrótce po tym, jak ofiara zapłaciła okup, atakujący podzielili środki i przekazali je przez wiele kont.
„Udało nam się dostrzec powiązanie między tymi portfelami, ponieważ wpłacone na nie środki zostały w pewnym momencie przeniesione do kilku kluczowych portfeli. Może to wskazywać na to, że skoordynowana operacja, w której kilka firm zostało starannie zaatakowanych, odbywa się obecnie przy użyciu oprogramowania ransomware Ryuk” – mówi Check Point. „
Organizacje zaatakowane przez ransomware Ryuk powiązane z Koreą Północną – SecurityWeek
A może chciano kupić system naprawdę podobny do Pegasusa i też będący na literkę „H” ale albo okazał się zbyt drogi lub pomylono się i kupiono „Hermesa” który w zasadzie jest przeznaczony do szantażu.. ?
Kupiono bezużyteczne badziewie myśląc naiwnie że za 15 „baniek” kupią coś tańszego bo znów 24 „bańki” lub w tych „okolicach” trzeba by wydać publiczne pieniądze „pod przykrywką „?
Chyba że kupiono Hermesa tylko po aby kogoś szantażować bo też nie można tego wykluczyć. A jak się wydało marnotrawstwo publicznych pieniędzy to nie tylko zaatakowano pana redaktora Wojciecha Czuchnowskiego który nie ma obowiązku mieć specjalistycznej wiedzy ale musi ją mieć jego rozmówca czy informator z ABW.
Żerując na niewiedzy opinii publicznej usiłuje się wciskać kit za pomocą „ekspertów” którzy prawdę mówiąc to nie lubią „osintowców” takich jak ja ale bardzo lubią organizować PŁATNE KURSY OSINT bo kasa Misiu kasa …
U mnie Państwo dowiedzą się za darmo , wystarczy tylko wejść na moją stronę – O Mnie – Świat Wywiadu i Tajnych Służb (mirekszczerba.pl) i obejrzeć dokładnie wszystkie zakładki a także prawie 4- letnie ,blogowe archiwum.
„H” jak HERMIT
W czerwcu 2022 roku analitycy firmy LOOKOUT oraz współpracującej firmy CITIZEN LAB poinformowali o odkryciu groźnego, szpiegowskiego systemu inwigilacji – HERMIT.
Hermit to oprogramowanie szpiegujące które można potajemnie zainstalować na telefonach komórkowych z systemami iOS i Android. Sposób korzystania z oprogramowania został opublikowany przez grupę Threat Analysis Group (TAG) w dniu 23 czerwca 2022 r., a wcześniej ujawniony przez grupę badawczą Lookout zajmującą się badaniami nad bezpieczeństwem.
Chociaż niektóre próbki Hermita zostały już wykryte i są powszechnie uznawane za ogólne oprogramowanie o wysokim poziomie technologicznym . RCS Lab, znany deweloper działający od ponad trzech dekad, działa na tym samym rynku, co deweloperzy Pegasus NSO Group Technologies i Gamma Group, które stworzyły firmę FinFisher / też o tym programie który był prekursorem napiszę/. Wspólnie określane jako firmy „legalne przechwytywanie”, twierdzą, że sprzedają tylko klientom, którzy mają legalne wykorzystanie oprogramowania inwigilacyjnego, takiemu jak wywiad i organy ścigania. W rzeczywistości takie narzędzia są często nadużywane pod przykrywką bezpieczeństwa narodowego do szpiegowania polityków, prawników, biznesmenów, obrońców praw człowieka, dziennikarzy, naukowców i urzędników państwowych.
Co to jest system inwigilacji HERMIT?
Nazwany na cześć odrębnej ścieżki serwera używanej przez system dowodzenia i kontroli atakującego (C2), system inwigilacji Hermit to modułowe oprogramowanie do nadzoru, które ukrywa swoje złośliwe możliwości w pakietach pobranych po wdrożeniu. Uzyskano i przeanalizowano 16 z 25 znanych modułów, każdy o unikalnych możliwościach. Moduły te, wraz z uprawnieniami, jakie mają podstawowe aplikacje, umożliwiają Hermitowi wykorzystywanie ” zrootowanego” urządzenia, nagrywanie dźwięku oraz wykonywanie i przekierowywanie połączeń telefonicznych, a także zbieranie danych, takich jak dzienniki połączeń, kontakty, zdjęcia, lokalizacja urządzenia i wiadomości SMS. Oprogramowanie szpiegujące jest rozpowszechniane za pośrednictwem wiadomości SMS, które podobnie jak z Pegasusa – „udają”, że pochodzą z legalnego źródła. Analizowane próbki złośliwego oprogramowania podszywały się pod aplikacje firm telekomunikacyjnych lub producentów smartfonów. Hermit oszukuje użytkowników, wyświetlając legalne strony internetowe marek, pod które się podszywa, ponieważ uruchamia złośliwe działania w tle. Wiadomo że jest wersja Hermit na system operacyjny iOS / telefony Apple /. System inwigilacji Hermit nie tylko został wysłany do Kazachstanu, ale że prawdopodobnie stoi za kampanią jako podmiot tamtejszego rządu . Próbki z tej kampanii wykryto po raz pierwszy w kwietniu 2022 roku. Były one zatytułowane „oppo. service” i podszywały się pod chińskiego producenta elektroniki Oppo. Witryna, na której szkodliwe oprogramowanie wykorzystywała do maskowania swojej szkodliwej aktywności, jest oficjalną stroną wsparcia Oppo (http://oppo-kz.custhelp[.]com) w języku kazachskim, która od tego czasu jest offline. Znaleziono wtedy również próbki podszywające się pod Samsunga i Vivo.
👇
Nieistniejąca już strona wsparcia Oppo w języku kazachskim jest ładowana i wyświetlana użytkownikom.
Przed wykryciem próbek z Kazachstanu znaleziono w pasywnych rejestrach DNS Hermita -odniesienie do „Rojavy”, kurdyjskojęzycznego regionu w północno-wschodniej Syrii. Jest to istotne, ponieważ region był miejscem trwających kryzysów, takich jak wojna domowa w Syrii i konflikty między Państwem Islamskim (IS) a kierowaną przez USA koalicją poparcia dla kierowanych przez Kurdów Syryjskich Sił Demokratycznych (SDF). Turcja przeprowadziła serię operacji wojskowych przeciwko SDF, które doprowadziły do częściowej okupacji regionu. Znaleziona domena (rojavanetwork[.]info) w szczególności imitowała wtedy „Rojava Network”, markę mediów społecznościowych na Facebooku i Twitterze, która zapewnia relacje z wiadomościami i analizę polityczną regionu, często wspierając operacje SDF.
👇
Domena rojavanetwork[.]info wydaje się specjalnie imitować „Rojava Network”, markę mediów społecznościowych na Facebooku i Twitterze, która zapewnia relacje w wiadomościach i analizę polityczną regionu, często wspierając operacje SDF. Poza Syrią system inwigilacji Hermit został rozmieszczony we Włoszech. Zgodnie z dokumentem wydanym przez włoską izbę niższą w 2021 r. władze włoskie użyły go w operacji antykorupcyjnej.
I na końcu link do tego artykułu w którym też jest sporo informatyki ale to pozostawiam tylko dla internautów interesujących się wszystkimi szczegółami technicznymi.
👇
Lookout Uncovers Android Spyware Deployed in Kazakhstan
Oczywiście że praktycznie natychmiast Google ostrzegł użytkowników Androida, że dostawcy usług internetowych (ISP) umożliwili cyberprzestępcom wykorzystywanie oprogramowania szpiegującego Hermit do infekowania docelowych smartfonów.
👇
Analitykom udało się wtedy ustalić IP i lokalizację producenta tego systemu.
👇
A więc kod źródłowy wskazał na włoską firmę TYKELAB w siedzibą w Rzymie.
Dodatkowe dochodzenie przeprowadzone przez profesora Rona Deiberta który jest szefem kanadyjskiego instytutu CITIZEN LAB wraz z śledczym portalem @LHreports ujawniają włoskiego dostawcę monitoringu Tykelab srl jest spółką zależną od słynnej włoskiej firmy RCS Lab /obecnie Memento Lab / z siedzibą w Mediolanie .
👇
Rywal w zakresie nadzoru NSO działający w UE (euobserver.com)
W czerwcu 2022 r. Google i Project Zero szczegółowo wyszczególniły oprogramowanie szpiegujące RCS Labs, którego celem są użytkownicy we Włoszech i Kazachstanie.
👇
Mapowanie „Niewykrywalnego” oprogramowania szpiegującego zespołu hakerskiego (citizenlab.ca)
I na koniec tego bloga mój szerszy komentarz zanim opublikuję w dniu 12.03 .2024 blog „PEGASUS” a później inne blogi dotyczące systemów inwigilacji.
Demokratyczne ,silne państwo w obliczu realnego zagrożenia przede wszystkim ze strony Rosji i Chin musi mieć nowoczesne systemy inwigilacji i to te najdroższe z najwyższej , technologicznej „półki”. Nie ma ceny i nie powinno jej być aby zapłacić za „zewnętrzne” oraz „wewnętrzne ” bezpieczeństwo państwa. Ważne są nie tylko czołgi ,samoloty, okręty wojenne czy drony powietrzne czy morskie które na trwale tak bardzo już zmieniły obraz wojny. Ważne są też zakupione legalnie ,niejawnie czy jawnie -systemy informatyczne dla Wojsk Cybernetycznych, Służby Wywiadu Wojskowego, Służby Kontrwywiadu Wojskowego , Agencji Bezpieczeństwa Wewnętrznego , Agencji Wywiadu , Straży Granicznej , Służby Ochrony Państwa czy Centralnego Biura Śledczego Policji. Uzasadniony jest taki zakup w obliczu terroryzmu, każdego szpiegostwa w tym też tego chińskiego- ekonomicznego , cyber zagrożeń, grup hakerów pracujących dla rosyjskich służb specjalnych, przestępczości zorganizowanej , sabotażu, dywersji w tym tej psychologicznej czy też wojny psychologicznej w mediach społecznościowych z uwzględnieniem rozpowszechniania dezinformacji szkodzącej wizerunkowi naszego kraju. Najlepiej by było gdyby nasze państwo nic już nie kupowało z zagranicy i to nie chodzi o „kota w worku” bo zakupiony system może mieć ukryte szpiegowanie tych którzy go kupili . Nie wierzę aby nasi specjaliści od cybernetyki, informatyki nie potrafili stworzyć nasz system inwigilacji operacyjnej który dodatkowo byłby od razu dostosowany w zmienionych regułach prawa . Jego użycie musi być szeroko uzasadnione, sędzia popisujący zgodę musi wiedzieć pod czym się podpisuje a więc w niejawnym wniosku musi być nazwa systemu, krótki jego opis . Dobrze by było w przyszłości aby naprawdę wyselekcjonowana grupa sędziów która ma opiniować wnioski na użycie technik operacyjnych przez poszczególne służby -odbyła niejawne szkolenie mające poinformować ich o konkretnych programach zakupionych legalnie z niejawnego budżetu służb operacyjnych. Pod takim wnioskiem musi podpisać się nie tylko sędzia ale też funkcjonariusz służby specjalnej i to musi być podpis pod rygorem pełnej odpowiedzialności prawno-karnej aby naprawdę taka osoba miała pełną świadomość poniesienia konsekwencji prawnych w przypadku próby wyłudzenia zgody od sędziego na użycie technik operacyjnych.
To prawie tyle w tym blogu…
Ale niestety „prewencyjnie” analityczka włączyła szczególny tryb „odpowiadania” więc nie tylko ja nie mogę odpowiedzieć …
Zresztą po jednej ze swoich wpadek na kierunku -„służby specjalne” gdzie w jednym z swoich artykułów dziennikarka powołała się tylko na jedno źródło informacji i to był jej błąd .
Kiedy jej to ośmieliłem się wytknąć – jej EGO obraziło się na mnie do dziś ….
Tak na marginesie to tych obrażonych na mnie jest o wiele więcej…
3.09.2024
W mediach społecznościowych wg stacji TVN 24 pojawia się informacja o producentem i dostawcą programu szpiegującego Hermes dla prokuratury była izraelska firma NSO, producent cyberbroni Pegasus. Prokuratura kierowana przez Zbigniewa Ziobrę kupiła go od Izraelczyków bezpośrednio, z pominięciem polskich firm. I bez przetargu.
Artykuł autorstwa red Roberta Zielińskiego jest za paywallem więć tylko ten kto zapłaci dowie się co „ujawniamy”…
Postanowiłem odnieść się do tego co wiadomo bez paywalla ponieważ zgodnie z tym co przedstawiłem w blogu Ransomware Hermes w obu swych „wersjach” od marca 2017 r jest „związany ” wyłącznie z północno- koreańską hakerów- Lazarus. NSO ze względu na swoje ” kontakty w branży ” co najwyżej mógł być tylko „pośrednikiem” zakupu tej aplikacji bo sprzedał nam -Pegasusa.
No i zaczęło się bo dla internautów i nie tylko jest chyba jeszcze jeden „Hermes” …
Portalowi „Zaufana Trzecia Strona ” najwyrażniej bardzo zależy i to narazie jeszcze nie wiadomo z jakiego powodu aby wszyscy myśleli że „Hermes jest programem analitycznym „…
W tej krótkiej dyskusji prosżę zwrócić uwagę na tweet portalu nawiązujący do ..”.logu audytowego „
Po tej dyskusji wspomniany portal IT zacytował mnie i dostało mi się że mam „halucynacje” oczywiście bez podania żadnej technicznej informacji / link , skan etc /
Nawet nie próbował mi wyjaśnić czy udowodnić że może mylę się , po prostu nie warty jest blog czytania i tyle…
Zaciekawiło mnie że akurat ten portal zaatakował mnie po wcześniejszej powyższej krytyce wywiadu jakiego udzielił szef tego portalu redaktor Mierzyńskiej. Co też było dla mnie ciekawe to żaden inny poważny portal IT nie odezwał się… Stare przysłowie mówi- „uderz w stół a odezwą się nożyce” , postanowiłem zrobić małą prowokację i pomyślałem sobie że warto wykorzystać nadęte EGO szefa portalu i przekonanie o swojej wyższości w stosunku do zwykłego internauty. Zrobiłem więc małą prowokację umieszczając tylko wybrany fragment wysokopoziomowego opisu „architektury z instrukcji …Pegasusa / Administration” / i zgodnie z moimi przewidywaniami dostałem od portalu spodziewaną odpowiedź ale ciekawe skąd oni akurat mają wiedzę czy log audytowy jest tam czy go nie ma ?
Czym jest ten tzw „log audytowy ” ? Poniżej w miare przejrzysta deficincja
Krótko mówiąc jest to nic innego jego tzw „Dziennik Zdarzeń” – niezwykle ważny w kontekście choćby kontroli producenta systemu tego co dzieje się z nim tam gdzie go zakupiono….
Chyba maksymalnie adrenalinę podniosłem portalowi bo zarówno jego szef jak i sam portal bez żądnego wyjaśnienia czy próby wyprowadzenia mnie z błędu jeśli takowy popełniam -zbanowali mnie….
No cóż z braku merytorycznej polemiki z tym portalem IT muszę poczekać na wyniki kontroli NIK w Prokuraturze Krajowej ponieważ jestem nawet bardzo zainteresowany kto mając odpowiednią wiedzę informatyczną „doradzał” aby zakupić zarówno Pegasusa jak i Hermesa...
Z całą pewnością politycy rządzący wtedy Prokuraturą Krajową takiej specjalistycznej wiedzy nie posiadali i do dziś nie posiadają.
Nie dajcie sobie Państwo wciskać ciemnoty, takich systemów zarówno szpiegowskich jak i ” ransomware ” jest kilka , różnią się między sobą wieloma stricte technicznymi sprawami więc ktoś mając wiedzę stał się „Informatykiem Diabła” .
Komuś z branży IT bardzo zależy aby ukryć fakt że doradzał politykom PIS aby zakupić konkretnie ten system i tamtą hakerską aplikację do szantażu…
20.11.2024
Prokuratura Okręgowa w Rzeszowie wydaje komunikat w sprawie zakupu oprogramowania „HERMES”
W tym komunikacie ciekawy jest jeden fragment …
Prokuratura będzie wzywać na przesłuchania przedstawicieli firmy Q CYBER TECHNOLOGIES z siedzibą w Luxemburgu…
Ta sprawa jest jeszcze bardziej skomplikowana i będzie nie tylko prawnie trudna do realizacji niż wynika to z komunikatu @PK_GOV_PL …
Wiadomo że w przypadku izraelskiego systemu inwigilacji Pegasus „pośrednikiem” w zakupie, szkoleniu etc była Matic sp.zoo ,tak przynajmniej wynika z raportu @NIKgovPL .
A jak było w przypadku Hermesa ?
Kto tym razem był ” pośrednikiem ” i znów wziął niemałe pieniądze za „informatyczne doradztwo” ?
Dlaczego Prawica tak zaciekle broni kupna Pegasusa i będzie bronić zakupu „hakerskiego ” Hermesa ?
Najpierw „przyjrzyjmy” się firmie Q CYBER TECHNOLOGIES w Luxemburgu.
Logo firmy Q Cyber Technologies
Jeden z dwóch adresów pokazuje przemysłową dzielnicę związaną głównie z sektorem IT …
Satelitarna geolokalizacja tego adresu.
Na stronie JUSTIA TRADEMARKS mamy dostęp do wszystkich informacji biznesowych tej firmy.
Z informacji wiadomo że firma została zgłoszona w dniu 15.06.2016 r a zarejestrowana pózniej bo w dniu 2.05.2019 r. Firmę reprezentuje amerykański prawnik z 38 letnim doświadczeniem – Michael .A.Lisi
Jest informacja o jednym pracowniku – PEETE, KYLE C.
Zkres działalności firmy obejmuje oprogramowanie komputerowe do pobrania w dziedzinie nadzoru komunikacyjnego do wykorzystania w śledzeniu osób będących celem działań organów ścigania oraz sprzęt komputerowy w dziedzinie nadzoru komunikacyjnego. A także zapewnienie tymczasowego korzystania z niedostępnego do pobrania oprogramowania w dziedzinie nadzoru komunikacyjnego w celu wykorzystania go do śledzenia osób będących celem ataków organów ścigania. Co ciekawe to właścicielem prawnym znaku od 15.06. 2016 r jest w Luxemburgu – OSY Technologies SARL ,numer seryjny: 87072399 .
Powiązana ona jest z Izraelem od 29.05. 2016 r
| 2016-05-29 | 285313 | Izrael |
Mamy do dyspozycji chronologię biznesową tej firmy .
Z tej chronologii wynika że firmę w 2016 r zarejestrował w Luxemburgu Eran Gorev .
Eran Gorev jest związany biznesowo z amerykańską firmą Partners Francisco . Pracuje w Izraelu, a do tej amerykańskiej korporacji dołączył w 2014 roku. Obecnie zasiada w zarządach MyHeritage i Redis. Wcześniej zasiadał w zarządzie LiveU. Ponadto jest członkiem organizacji YPO Gold. Uzyskał tytuł LL. B. w dziedzinie prawa na Uniwersytecie w Tel-Awiwie, a także tytuł MBA w Kellogg School of Management na Uniwersytecie Northwestern oraz tytuł MBA w Recanati Graduate School of Business Administration na Uniwersytecie w Tel-Awiwie. Wcześniej pracował w firmach Amdocs, NICE Systems i Alvarion.
Eran Goriew Partners Francisco
Jest również dostępna sieć powiązań biznesowych
Mam zawsze zwyczaj sprawdzać informacje w kilku zródłach…
Zaglądam więc do znanego portalu NORTH DATA …
Q Cyber Technologies Sàrl, Luksemburg
A to jest drugi adres firmy Q CYBER TECHNOLOGIES w Luxemburgu …
NSO Group jest spółką zależną grupy firm Q Cyber Technologies. Q Cyber Technologies to nazwa, której NSO Group używa w Izraelu, ale firma występuje pod nazwą OSY Technologies w Luksemburgu, a w Ameryce Północnej jest spółką zależną znaną wcześniej jako Westbridge. Działa za pośrednictwem różnych innych firm na całym świecie.
W 2014 roku amerykańska firma private equity Francisco Partners kupiła firmę za 130 milionów dolarów.
W 2014 roku NSO zostało kupione za około 100 milionów dolarów przez amerykańską firmę private equity Francisco Partners, która prowadziła do ścisłej polityki zakazu prasy, która według Hulio prowadziła do szkodliwej kultury milczenia.
„Żadnych wywiadów – nie mogliśmy rozmawiać z dziennikarzami, chyba że mówiliśmy „bez komentarza”, „bez komentarza”, „Żadnych komentarzy” – mówi. „Stworzyło to dla nas wiele złych rzeczy, ponieważ za każdym razem, gdy byliśmy oskarżani o znęcanie się, nie mieliśmy żadnego komentarza”.
W 2014 roku firma Circles (która produkuje narzędzie do geolokalizacji telefonów) została przejęta przez Francisco Partners za 130 milionów dolarów i w ten sposób stała się korporacyjną filią NSO.
W 2015 roku Francisco Partners starała się sprzedać firmę za kwotę do 1 miliarda dolarów.
W czerwcu 2017 roku firma została wystawiona na sprzedaż za ponad 1 miliard dolarów przez Francisco Partners (około dziesięć razy więcej niż Francisco pierwotnie zapłacił za jej przejęcie w 2014 roku).
14 lutego 2019 r. korporacja Francisco Partners sprzedała większościowy (60%) pakiet akcji NSO współzałożycielom Shalevowi Hulio i Omriemu Lavie, którzy byli wspierani w zakupie przez europejski fundusz private equity Novalpina Capita, specjalizujący się w inwestycjach w kontrowersyjne firmy. Hulio i Lavie zainwestowali 100 milionów dolarów, a Novalpina nabyła pozostałą część większościowego udziału, wyceniając w ten sposób firmę na około 1 miliard dolarów.
W lipcu 2021 r. inwestorzy w Novalpina Capital pozbawili Novalpina Capital kontroli nad swoimi aktywami (w tym NSO) po nierozwiązanym sporze osobistym między współzałożycielami Novalpina Capital. Berkeley Research Group (BRG), firma konsultingowa z siedzibą w Kalifornii, otrzymała następnie kontrolę nad aktywami (w tym NSO).
Sieć globalnych połączeń.
Syndykat pożyczkodawców izraelskiego twórcy oprogramowania szpiegowskiego zastawił wszystkie akcje firmy i przeniósł je do nowej spółki holdingowej, której jedynym udziałowcem jest założyciel firmy Omri Lavie, zgodnie z dokumentem złożonym w Sądzie Okręgowym w Tel Awiwie i informacjami otrzymanymi z luksemburskiego rejestru spółek. Taki rozwój sytuacji oznacza, że dotychczasowi kontrolujący właściciele i ich przedstawiciele, którzy są w otwartym konflikcie z zarządem NSO i jego założycielami, Lavie i Shalev Hulio, zostali skutecznie odcięci od spółki.
Ale ta sprawa ma swoją długą historię sięgajacą roku 2010 …
Spór o opłaty maklerskie daje wgląd za kulisy transakcji sprzedaży systemu szpiegowskiego. Dokumenty uzyskane przez Calcalist wskazują, że osobą wybraną na architekta umowy jest Elliot Broidy, który jest blisko związany z prezydentem Trumpem, który już wcześniej był uwikłany w przyznawanie przysług pracownikom rządowym
Amerykański biznesmen żydowskiego pochodzenia Elliot Broidy to bliski współpracownik byłego prezydenta USA Donalda Trumpa, obecnie objęty śledztwem przez Departament Sprawiedliwości USA za wykorzystywanie swoich powiązań z prezydentem do promowania swojego prywatnego biznesu, był jednym z architektów umowy sprzedaży pierwszego systemu Pegasus firmy NSO dla wojska obcego kraju.
Informacje dopuszczone do publikacji wskazują, że Broidy, który był jednym z największych biznesmenów robiacych zbiórki pieniędzy dla Partii Republikańskiej w ostatnich wyborach prezydenckich, pracował za kulisami, aby dostosować umowę z Pegasusem w 2010 r. bezpośrednio z założycielami NSO, Shalevem Hulio i Omri Lavie.
Z informacji dopuszczonych do publikacji wynika również, że w dwuetapowej transakcji wykorzystano „spółkę rurociągową”.
Elliott Broidy – Wikipedia, wolna encyklopedia
W pierwszym etapie system Pegasus został sprzedany firmie kontrolowanej przez zagranicznego biznesmena, którego publikacji sąd zabronił na wniosek Ministerstwa Obrony.
W drugim etapie system został sprzedany z tej samej firmy do obcego kraju, którego nazwa również była zabroniona, do użytku przez wojsko w tym kraju.
Elliot Broidy
Dwuetapowa transakcja za pośrednictwem firmy zajmującej się rurociągiem rodzi pytania o zdolność NSO do monitorowania korzystania z systemu Pegasus, który jest używany jako narzędzie do hakowania smartfonów. System jest przedmiotem międzynarodowej kontroli, w tym pozwów cywilnych wniesionych przeciwko NSO za rzekome używanie go do monitorowania działaczy na rzecz praw obywatelskich i dziennikarzy. NSO zaprzecza zarzutom o niewłaściwe wykorzystanie swojego systemu.
Julio potwierdził: Broidy był zaangażowany w transakcję
Informacje o udziale Broidy, kontrowersyjnej postaci w Stanach Zjednoczonych (patrz tekst poniżej), w sprzedaży Pegasusa do obcego kraju zostały ujawnione w pozwie złożonym w Sądzie Okręgowym w Tel Awiwie w sierpniu 2015 r., w ramach sporu dotyczącego opłat maklerskich. Konflikt ten pozwolił nam zajrzeć za kulisy pierwszej sprzedaży oprogramowania Pegasus firmy NSO, podpisanej w lipcu 2011 roku.
E-maile i dokumenty przedłożone sądowi, których część treści została dopuszczona do publikacji, opowiadają krok po kroku o pierwszej transakcji firmy, która obecnie zatrudnia ponad 600 pracowników i jest uważana za jedną z wiodących firm w swojej dziedzinie w świecie szpiegostwa cyfrowego.
Powodem w sprawie jest agent ubezpieczeniowy i biznesmen Udi Oren, który zażądał 3 milionów NIS opłat maklerskich od dwóch osób zaangażowanych w spreparowanie transakcji – swojego przyjaciela z dzieciństwa z Ramat Hasharon Erana Reshefa i jego partnera biznesowego Matana Caspiego – za rzekome zaangażowanie w promowanie transakcji Pegasus. Roszczenie Orena zostało odrzucone około trzy miesiące temu.
Od prawej: Julio i Omri Lavi, założyciele NSO . Zdjęcie: Bar Cohen
Oświadczenie obrony, oświadczenia pod przysięgą i e-maile złożone w sądzie nakreślają metodę, za pomocą której NSO sprzedawało ofensywną broń cybernetyczną obcemu krajowi za pośrednictwem strony trzeciej, a także zaangażowanie Broidy’ego jako jednego z architektów transakcji.
Oświadczenie złożone pod przysięgą przez innego brokera w transakcji, wysokiego rangą izraelskiego urzędnika branży cybernetycznej, Erica Bannona, również dostarczyło szczegółów dotyczących zaangażowania Broidy. W latach 2007-2010 Bannon pełnił funkcję wiceprezesa ds. sprzedaży i rozwoju biznesu w dziale cyberbezpieczeństwa i wywiadu w Nice Systems. Po odejściu z NICE dołączył do ofensywnej firmy cybernetycznej Circles Technologies jako partner, a w świetle wiedzy i kontaktów, które zgromadził w obu Amerykach, pracował nad wprowadzeniem na rynek systemu NSO. Osobą, która również potwierdziła udział Broidy w transakcji, był dyrektor generalny NSO, Shalev Hulio, podczas swoich zeznań w sądzie. Po zeznaniach Julio sąd przychylił się do wniosku NSO i orzekł, że postępowanie będzie prowadzone za zamkniętymi drzwiami.
W listopadzie 2018 r. Calcalist, za pośrednictwem adwokatów Paz Moser i adwokata Bar Laudona z kancelarii prawnej Lieblich-Moser, złożył wniosek o opublikowanie wszystkich szczegółów postępowania. NSO sprzeciwiło się publikacji. Trzy tygodnie temu, po zastrzeżeniach zgłoszonych zarówno przez Ministerstwo Obrony, jak i NSO, a także po utajnieniu różnych szczegółów, sędzia Anat Ravid częściowo zaakceptowała wniosek Calcalista i zezwoliła na publikację niektórych szczegółów.
Zgodnie z dowodami złożonymi w sądzie i upublicznionymi, Broidy pojawił się w świetle umowy w październiku 2010 roku. Stało się to mniej więcej rok po tym, jak przyznał się w Stanach Zjednoczonych do przekazania prezentów o wartości 1 miliona dolarów pracownikom rządowym w stanie Nowy Jork, aby przekazać je zarządowi funduszu Markstone, który założył i na czele którego wypłacił ćwierć miliarda dolarów ze stanowego funduszu emerytalnego.
Broidy został oskarżony m.in. o przekupienie generała kontrolera stanu Nowy Jork Alana Hebseya. W ramach ugody z Broidy’m przyznał się do znacznie mniejszego przewinienia.
Eric Bannon
„Infiltracja BlackBerry była wtedy mokrym snem”
Caspi i Reshef, którzy zwerbowali Broidy do pomocy w transakcji z Pegasusem, są udziałowcami (po 20% każdy) Grupy Raizon, która zajmuje się marketingiem i dystrybucją technologii komunikacyjnych i wywiadowczych na całym świecie. „Mieszkałem w Kalifornii w USA przez kilka lat, podczas których byłem również zaangażowany w sprzedaż produktów technologicznych w Ameryce Środkowej” – opisał Caspi w oświadczeniu, w jaki sposób poznał Broidy’ego. „W ciągu tych lat”, dodał Caspi, „pracowałem z bogatym biznesmenem mieszkającym w Los Angeles o nazwisku Elliot Broidy. Prowadzi rozległą działalność biznesową i ma kontakty w Ameryce Środkowej i Południowej.
PEŁNIŁEM FUNKCJĘ WICEPREZESA DS. ROZWOJU BIZNESU W JEDNEJ Z JEGO FIRM, BROIDY CAPITAL MANAGEMENT.
Kiedy wrócił do Izraela w 2010 roku, jak napisał Caspi w oświadczeniu pod przysięgą, spotkał się z wieloma biznesmenami, w tym z Arikiem Bannonem, centralną postacią izraelskiego przemysłu cybernetycznego. „Byłem narażony na niektóre działania Bannona podczas mojej pracy dla grupy Broidy” – napisał Caspi. „Odniosłem wrażenie, że ma wiedzę i powiązania w Izraelu i na całym świecie w dziedzinie wywiadu w ogóle, a cyberbezpieczeństwa w szczególności”.
„Bannon powiedział mi o NSO” – opisywał Caspi. Według Caspi, firma była wciąż małym start-upem, który rozwijał ofensywne technologie wywiadowcze w dziedzinie telefonów komórkowych, bez sprzedaży. Bannon, jak powiedział, skontaktował się z NSO i zaoferował im sprzedaż swoich produktów w obcym kraju, który, zgodnie z jego oświadczeniem, „jest znany w branży cybernetycznej jako duży nabywca defensywnych i ofensywnych produktów cybernetycznych”. Bannon otrzymał prawa do dystrybucji od NSO za prowizję, gdy w grudniu 2010 roku Bannon i NSO podpisali umowę o „przedstawicielu handlowym”. Sąd zakazał publikacji szczegółów umowy między Bannonem a NSO.
„Opowiedziałem Libanowi o moich powiązaniach w obcym kraju w ogóle, a w szczególności za pośrednictwem Broidy” – napisał Caspi w oświadczeniu pod przysięgą. „Zdecydowaliśmy się na współpracę, aby spróbować wspólnie promować produkty NSO za granicą poprzez… Bannon i ja polecieliśmy do Los Angeles, aby spotkać się z Broidym i spróbować zainteresować go sprzedażą produktów NSO za granicą” – kontynuował Caspi, który dołączył bilety lotnicze do oświadczenia.
„Spotkanie z Broidy było udane. Wyraził on szczere zainteresowanie produktami NSO i perspektywami sprzedaży do tego obcego kraju. Uzgodniono, że spróbuje wykorzystać swoje kontakty w tym kraju, aby przyspieszyć transakcję.
Caspi załączył do e-maili z oświadczeniem wymienianych między nim a Broidy i Bannonem od listopada 2010 roku. Technologia NSO otrzymała nazwę kodową „BBM”. „Jest to skrót od BlackBerry Messenger” – napisał Caspi w oświadczeniu – „ponieważ BlackBerry był wiodącym urządzeniem w tamtym czasie, a włamanie do systemu Messenger było uważane za „mokry sen” przemysłu wywiadowczego.
Broidy próbował wyprzedzić – i został odcięty
Caspi współpracował z Broidy, a Bannon ze swojej strony związał krawędzie z NSO. „W tym samym czasie kontynuowałem 'badanie terytorium’ w obcym kraju” – napisał Caspi – „i z błogosławieństwem Broidy’ego skontaktowałem się z biznesmenem i właścicielami firmy w obcym kraju, który miał kupić system (sąd zabronił publikacji nazwiska biznesmena, nazwy firmy i kwoty transakcji – T.G. i H.R.). Poleciałem do obcego kraju i z tego powodu pojechałem do Los Angeles, aby spotkać się z Broidy.
Transakcja była prawie na ostatniej prostej, ale wtedy miało miejsce interesujące wydarzenie. „Po wielu pracach przygotowawczych, w kwietniu 2011 roku zorganizowałem spotkanie w biurze Broidy’ego w Los Angeles, w którym Broidy uczestniczył wraz z Shalevem Julio i Omri Lavie” – napisał Caspi w oświadczeniu. „Ale po spotkaniu stało się jasne dla mnie i dla Libanu, że Broidy próbował nas „ominąć” i nawiązać bezpośredni kontakt z NSO. Na tym etapie zaangażowaliśmy Reshefa do umowy i w koordynacji z nim działaliśmy w celu zneutralizowania Broidy’ego i zapobieżenia naszemu obejściu poprzez zablokowanie połączenia między nim a NSO.
Zgodnie z oświadczeniem Caspiego, przeprowadzka zakończyła się sukcesem. Umowa została ostatecznie wypromowana bez Broidy, a ostateczna umowa została podpisana między NSO a firmą w obcym kraju. Dokumenty nie ujawniły, czy Broidy prowadził osobne postępowanie z którąkolwiek ze stron, aby otrzymać prowizję za pośrednictwo w transakcji po tym, jak rzekomo został „odcięty”. Jednak zrzuty ekranu złożone w pozwie pokazują, że NSO próbowało wyprzeć się udziału Bannona, Caspiego i Reshefa w sprzedaży po transakcji, aby uniknąć płacenia opłaty maklerskiej. Ostatecznie jednak strony zawarły tajną ugodę, która nie została ujawniona w postępowaniu. Bannon otrzymał 40% kwoty ugody, podczas gdy grupa Raizon Caspi i Reshefa otrzymała 60% kwoty.
NSO oświadczyło: „NSO nie jest stroną w tej sprawie. Nie zamierza on rozpisywać się na temat tego, jak działa spółka, ale jednocześnie podkreślamy, że produkty firmy są sprzedawane zgodnie z prawem wyłącznie państwom lub organom państwowym.
Elliott Broidy powiedział: „Pan Broidy nie ma żadnych relacji biznesowych z NSO. W 2010 r. brał udział w negocjacjach pomiędzy NSO a innymi podmiotami w sprawie potencjalnego kontraktu. Broidy nie otrzymał żadnej zapłaty od NSO ani od nikogo innego za ten kontrakt. Od tego czasu nie miał żadnego kontaktu z NSO….
Dziękuję Państwu za uwagę i zapraszam na kolejne blogi oraz moją stronę informacyjną ” ŚWIAT WYWIADU I TAJNYCH SŁUŻB „.
Świat Wywiadu i Tajnych Służb (mirekszczerba.pl)
Mirek Szczerba.
You must be logged in to post a comment.