Η πρώτη χαρτογράφηση των ηλεκτρονικών αποτυπωμάτων του είχε ξεκινήσει τρία χρόνια νωρίτερα, από τις Αρχές της Αυστραλίας. Ο στόχος τους βρισκόταν σε μια ήσυχη γειτονιά της Νίκαιας, κοντά σε ένα αρτοποιείο και ένα κατάστημα επισκευής ηλεκτρικών συσκευών. Εκεί, λίγο πριν από τα μεσάνυχτα της 3ης Νοεμβρίου, σε έφοδο στελεχών της Διεύθυνσης Δίωξης Κυβερνοεγκλήματος, παρουσία εκπροσώπων του FBI και της Δικαστικής Αστυνομίας Παρισίων, συνελήφθη στο διαμέρισμά του ένας 38χρονος, άλλοτε οικοδόμος στο επάγγελμα. Στο Διαδίκτυο ήταν γνωστός ως Venom.
Το «εργαλείο»
Ο 38χρονος Αλβανός υπήκοος φέρεται να είχε δημιουργήσει και να διακινούσε ένα κακόβουλο λογισμικό με την ονομασία VenomRAT. Σύμφωνα με διεθνείς υπηρεσίες ασφαλείας, το συγκεκριμένο λογισμικό είναι συμβατό με διάφορες εκδόσεις των Windows και πρωταρχικός σκοπός του φέρεται να είναι η κλοπή πληροφοριών. Μπορεί να διεισδύσει σε αρχεία κειμένου αποθηκευμένα στην επιφάνεια εργασίας μολυσμένων υπολογιστών, να παραβιάσει πορτοφόλια κρυπτονομισμάτων, να καταγράψει χτυπήματα πλήκτρων και να αποκτήσει πρόσβαση σε ενσωματωμένες ή συνδεδεμένες κάμερες.
Ο συλληφθείς προφυλακίστηκε μετά την απολογία του. Κατηγορείται για παραγωγή, κατοχή, πώληση και διακίνηση λογισμικού παρακολούθησης, συνέργεια σε αθέμιτη παρακολούθηση και νομιμοποίηση εσόδων από εγκληματική δραστηριότητα, ενώ εις βάρος του έχει εκδοθεί ένταλμα σύλληψης και των γαλλικών Αρχών. Ποια είναι η ιστορία του ανθρώπου που βρέθηκε στο στόχαστρο υπηρεσιών ασφαλείας τριών ηπείρων; Η «Κ» παρουσιάζει άγνωστες πτυχές της υπόθεσης.
Ο 38χρονος φέρεται να ζει στην Ελλάδα πάνω από μία δεκαετία. Μέσα ενημέρωσης της πατρίδας του αναφέρουν ότι κατάγεται από τη Βίγλιστα, μια αγροτική κωμόπολη 6.250 κατοίκων, ανατολικά του όρους Μοράβα, 27 χιλιόμετρα μακριά από την Κορυτσά.
Στην απολογία του υποστήριξε ότι είναι αυτοδίδακτος στους υπολογιστές, με τους οποίους ασχολείται «από χόμπι», παρακολουθώντας και σχετικά εκπαιδευτικά βίντεο στο Διαδίκτυο. Σε μία από τις ελάχιστες δημόσια προσβάσιμες φωτογραφίες του σε πλατφόρμα κοινωνικής δικτύωσης φαίνεται ότι έχει αποσυναρμολογήσει πάνω σε κρεβάτι την κεντρική μονάδα ενός υπολογιστή. Ο ίδιος δεν εικονίζεται. Στο παρελθόν δούλευε στην οικοδομή, ενώ έχει δηλώσει απολογούμενος ότι το τελευταίο διάστημα εργαζόταν ως υπάλληλος σε e-shop.
Αρνείται ότι σχεδίασε ή ανέπτυξε το κακόβουλο λογισμικό. Υποστηρίζει ότι ο πηγαίος κώδικάς του VenomRAT ήταν ήδη ελεύθερα προσβάσιμος και διαθέσιμος προς χρήση στο Διαδίκτυο. Ισχυρίζεται ότι η μόνη δική του παρέμβαση ήταν η μη ουσιώδης αναδιαμόρφωση του γραφικού περιβάλλοντος του λογισμικού, δηλαδή ότι το μορφοποίησε για να γίνει πιο ελκυστικό στους χρήστες, να έχει μεγαλύτερη απήχηση και να του αποφέρει περισσότερα χρήματα. Επικαλείται ακόμη την οικονομική δυσχέρεια στην οποία είχε περιέλθει από τον αντίκτυπο της πανδημίας COVID-19 στις οικοδομικές του εργασίες.
Το νήμα
Το 2022 οι αρχές της Αυστραλίας πραγματοποιούσαν, σε συνεργασία με τη Europol, μια επιχείρηση με την κωδική ονομασία «Splinter», που είχε ως στόχο τη διακοπή του σχεδιασμού και της ανάπτυξης κακόβουλων λογισμικών τύπου Remote Access Trojan (RAT). Οι χρήστες αυτών των λογισμικών μπορούν να αποκτήσουν απομακρυσμένη πρόσβαση σε υπολογιστές και να υποκλέψουν δεδομένα. Σε εκείνη την επιχείρηση εντοπίστηκε και ο Venom (σημαίνει «Δηλητήριο»).
Οι Αυστραλοί βρήκαν την ιστοσελίδα μέσα από την οποία διακινούσε το λογισμικό, τους λογαριασμούς του στις εφαρμογές επικοινωνίας Telegram, Discord και Jabber, τη σελίδα του στο Facebook, καθώς και το κανάλι του στο YouTube. Εντόπισαν ακόμη τέσσερα e-mails, καθώς και δύο ελληνικούς αριθμούς κινητών τηλεφώνων. Τον Μάρτιο του 2022 οι Αυστραλοί ενημέρωσαν την ελληνική πλευρά.
Κλέβει τα πάντα! Το λογισμικό VenomRat μπορεί να διεισδύσει σε αρχεία κειμένου αποθηκευμένα στην επιφάνεια εργασίας μολυσμένων υπολογιστών, να παραβιάσει πορτοφόλια κρυπτονομισμάτων, να καταγράψει χτυπήματα πλήκτρων, ακόμη και να αποκτήσει πρόσβαση σε κάμερες.
Τέσσερις μήνες αργότερα, αφού τα στοιχεία τέθηκαν υπόψη της Εισαγγελίας Πρωτοδικών Αθηνών, ζητήθηκε η διενέργεια προκαταρκτικής εξέτασης. Οι ελληνικές αρχές επικοινώνησαν με την Google, τη Meta και παρόχους υπηρεσιών Διαδικτύου για να διαπιστώσουν σε ποιο πρόσωπο αντιστοιχούσαν τα ευρήματα. Δεν ήταν οι μόνοι που τον αναζητούσαν.
150 δολάρια το τρίμηνο
Το κακόβουλο λογισμικό VenomRAT φέρεται να είχε διατεθεί προς πώληση από τον Μάρτιο του 2020 σε hacking forums. Ανάλογα με τη διάρκεια της χρήσης του, ο επίδοξος αγοραστής μπορούσε να επιλέξει διαφορετικό πακέτο. Για χρήση τριών μηνών θα δαπανούσε 150 δολάρια, ενώ για ένα έτος 1.500 δολάρια. Τον Ιούνιο του 2023, πράκτορες του FBI στο Λος Αντζελες αγόρασαν ένα αντίγραφο του κακόβουλου λογισμικού με μηνιαία συνδρομή, για να το αναλύσουν σε εικονικό περιβάλλον. Τον Νοέμβριο του ίδιου έτους αγόρασαν επιπλέον πρόσβαση στο λογισμικό για ένα μήνα και τον Απρίλιο του 2024 απευθύνθηκαν και εκείνοι στην Google και σε ανταλλακτήρια κρυπτονομισμάτων για να εντοπίσουν τον άνθρωπο που το διακινούσε.
Ο Venom φαίνεται πως προδόθηκε και από ένα e-mail το οποίο χρησιμοποιούσε και για άλλες επικοινωνίες, πέρα από τις συναλλαγές του. Σύμφωνα με τη δικογραφία, οι Αμερικανοί πράκτορες διαπίστωσαν ότι στο επίμαχο e-mail είχε σταλεί μήνυμα από την αλβανική πρεσβεία για να παραλάβει το νέο του διαβατήριο. Ακόμη, εκεί είχε λάβει μήνυμα για διανομή φαγητού στο διαμέρισμά του στη Νίκαια. Χρησιμοποιώντας το Google Street View τα στελέχη του FBI διαπίστωσαν ότι τα κάγκελα των μπαλκονιών στην πολυκατοικία από την οποία έγινε η παραγγελία αντιστοιχούν σε εκείνα μιας φωτογραφίας που είχαν βρει στον λογαριασμό e-mail του υπόπτου.
Οι αμερικανικές αρχές ενημέρωσαν δύο φορές την ελληνική πλευρά για τα ευρήματά τους, τον Ιανουάριο του 2024 και τον αντίστοιχο μήνα το 2025. Μεταξύ άλλων ανέφεραν ότι το VenomRAT είναι ένα κακόβουλο λογισμικό που παρουσιάζεται ως αβλαβές εργαλείο απομακρυσμένης πρόσβασης και ανήκει στην οικογένεια Quasar RAT.
Σύμφωνα με τη δικογραφία που σχηματίστηκε, ο 38χρονος φέρεται να πούλησε το VenomRAT τουλάχιστον 36 φορές, εκ των οποίων οι δύο –εν αγνοία του– σε πράκτορες του FBI. Ακόμη, από το 2023 έως το 2025 φέρεται να πραγματοποίησε και 59 πωλήσεις ενός άλλου κακόβουλου λογισμικού με την ονομασία Pandora. Σε παλαιότερη συνομιλία του στην πλατφόρμα Discord που εντόπισαν οι Αμερικανοί, φέρεται να γράφει ότι οι χρήστες του Pandora θα έχουν πρόσβαση σε υπολογιστές χωρίς το θύμα να υποπτευθεί το παραμικρό. Σημείωνε επίσης ότι «δεν φέρει ευθύνη» για το πώς θα το αξιοποιήσουν οι αγοραστές.
O εντοπισμός του υπόπτου – Ενα e-mail της αλβανικής πρεσβείας για να παραλάβει το νέο του διαβατήριο και ένα μήνυμα για διανομή φαγητού στο διαμέρισμά του πρόδωσαν το στίγμα του Venom στις αμερικανικές διωκτικές Αρχές, οι οποίες
ταυτοποίησαν το κτίριο όπου βρισκόταν μέσω του Street View της Google!
Από την πλευρά του συλληφθέντος υποστηρίζεται ότι και το Pandora δεν αναπτύχθηκε από τον ίδιο, καθώς και ότι ως αυτοδίδακτος, δεν θα μπορούσε να σχεδιάσει και να δημιουργήσει εξαρχής κάποιο λογισμικό. Επικαλέστηκε ακόμη ότι τα συγκεκριμένα λογισμικά δεν ήταν αποτελεσματικά, δεν είχαν προδιαγραφές να ξεφεύγουν από τα προγράμματα antivirus και γι’ αυτό λάμβανε παράπονα από τους αγοραστές. Στο κατηγορητήριο δεν αναφέρονται συγκεκριμένες περιπτώσεις υποκλοπής δεδομένων ή παρακολούθησης πολιτών από τη χρήση των δύο λογισμικών.
«Ο εντολέας μου ισχυρίζεται ότι δεν διέθετε τις απαιτούμενες γνώσεις για να παρέμβει στον κώδικα του λογισμικού. Η συμπεριφορά του συνίσταται αποκλειστικώς σε αναδιαμόρφωση των γραφικών του ελευθέρως διατιθέμενου λογισμικού», δηλώνει στην «Κ» ο δικηγόρος του, Δημήτρης Γκαβέλας. «Οι ισχυρισμοί του ελέγχονται στο παρόν δικονομικό στάδιο. Ηδη έχει παραγγελθεί διενέργεια πραγματογνωμοσύνης και προτιθέμεθα να αιτηθούμε και εμείς τη διενέργεια περαιτέρω ανακριτικών πράξεων».
Τα ευρήματα
Κατά την έφοδό τους στο διαμέρισμα του 38χρονου στις αρχές του μηνός, οι Ελληνες αστυνομικοί κατάσχεσαν μεταξύ άλλων επτά σκληρούς δίσκους, πέντε κινητά τηλέφωνα, 15.000 ευρώ σε μετρητά και 8.000 ευρώ σε κρυπτονομίσματα. Σε ένα από τα τηλέφωνα εντοπίστηκε εφαρμογή στην οποία φαίνεται ότι έχει δημιουργηθεί ψηφιακό πορτοφόλι με κρυπτονομίσματα ethereum συνολικής αξίας 140.000 δολαρίων. Μέχρι στιγμής οι Αρχές δεν έχουν καταφέρει να αποκτήσουν πρόσβαση για να κατασχέσουν το συγκεκριμένο ποσό.
Σε ανύποπτο χρόνο, τον Νοέμβριο του 2021, ειδικοί κυβερνοασφάλειας της ελβετικής εταιρείας Acronis είχαν αναλύσει τις δυνατότητες του VenomRAT. Στην αναφορά τους σημείωναν ότι το λογισμικό μπορούσε να αξιοποιηθεί για υποκλοπή δεδομένων, αλλά τεχνικά ήταν χαμηλής ποιότητας. «Οι πιθανότητες να το χρησιμοποιήσει κάποιος σοβαρός κακόβουλος χρήστης είναι μικρές», τόνιζαν. «Τουλάχιστον έως ότου βγει κάποια καλύτερη έκδοση».
