Από τον Κουκάκη στον Ανδρουλάκη: Νέα τροπή στην υπόθεση του spyware Predator
Στις 11 Απριλίου 2022 το inside story αποκάλυψεΠοιος παρακολουθούσε το κινητό του δημοσιογράφου Θανάση Κουκάκη; ότι επί δέκα εβδομάδες τουλάχιστον το κινητό του δημοσιογράφου Θανάση Κουκάκη ήταν παγιδευμένο με ένα πανίσχυρο (και πανάκριβο) λογισμικό κατασκοπείας ονόματι Predator (Αρπακτικό). Τρεις μήνες αργότερα η Εθνική Αρχή Διαφάνειας που ανέλαβε να ελέγξει την υπόθεση διαβεβαίωσε ότι όλα είχαν γίνει καλά από τις υπηρεσίες ασφαλείας χωρίς να εξετάσει τους τραπεζικούς λογαριασμούς των εταιρειών τους οποίους είχε καταθέσει ο Κουκάκης και οι οποίες φαίνεται να συνδέονται με τις υπηρεσίες ασφαλείας, δεν εξέτασε ακόμα δραστηριότητα κυπριακών εταιρειών που συνδέονται με την παραγωγό του λογισμικού ή και συναλλάσσονται με το δημόσιο. Αν το έκανε η εικόνα της κυβερνητικής δραστηριότητας στο ζήτημα της χρήσης των παράνομων λογισμικών θα έμοιαζε λιγότερο αθώα.
Η χρήση spyware για παρακολούθηση στόχων είναι απολύτως παράνομη στην Ελλάδα, πόσω μάλλον όταν χρησιμοποιείται εναντίον ενός δημοσιογράφου του επιχειρηματικού και οικονομικού ρεπορτάζ με αρκετές αποκαλύψειςΣάλλας – Λογοθέτης: Οι συναλλαγές που στοιχειώνουν την Τράπεζα Πειραιώς σκανδάλων στο βιογραφικό του. Τη μόλυνση του κινητού του Κουκάκη πιστοποίησε το Citizen Lab του πανεπιστημίου του Τορόντο, το οποίο έχει ως βασικό ερευνητικό σκοπό τον εντοπισμό ψηφιακών απειλών κατά μελών της κοινωνίας των πολιτών, όπως και την παρακολούθηση της εξάπλωσης των λογισμικών κατασκοπείας. Πριν από την παραβίαση του κινητού του Κουκάκη, είχε ανιχνεύσει τις παραβιάσεις –με το ίδιο ή με άλλα λογισμικά– δεκάδων κινητών δημοσιογράφων, ακτιβιστών και πολιτικών, μεταξύ άλλων από τον πρίγκιπα της Σαουδικής Αραβίας μπιν Σαλμάν (που αυτές τις ημέρες επισκέπτεται τη χώρα μας) ή την κυβέρνηση της Ουγγαρίας, που τελικά παραδέχτηκε ότι χρησιμοποιούσε το λογισμικό παραβίασης του τηλεφώνου, όπως άλλωστε και η γερμανική κυβέρνηση.
Τι μπορεί να κάνει το Predator
Το Predator είναι ένα εργαλείο παρακολούθησης που προσφέρει στον χειριστή του πλήρη και διαρκή πρόσβαση στην κινητή [τηλεφωνική] συσκευή του στόχου. Το Predator επιτρέπει στον χειριστή να κάνει εξαγωγή μυστικών κωδικών [passwords], αρχείων, φωτογραφιών, ιστορικού περιήγησης στο διαδίκτυο, επαφών καθώς επίσης και δεδομένων ταυτότητας (όπως πληροφορίες για την κινητή συσκευή).
Μπορεί να τραβήξει στιγμιότυπα οθόνης [screen captures], να καταγράφει τις καταχωρήσεις του χρήστη [στο κινητό του], καθώς επίσης μπορεί να ενεργοποιεί το μικρόφωνο και την κάμερα της συσκευής. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να παρακολουθούν οποιαδήποτε ενέργεια πραγματοποιείται μέσω συσκευής ή κοντά σε αυτήν, όπως τις συνομιλίες που γίνονται μέσα σε ένα δωμάτιο.
Επιτρέπει επίσης στον χειριστή του να καταγράφει γραπτά μηνύματα που αποστέλλονται ή λαμβάνονται (συμπεριλαμβανομένων αυτών που στέλνονται μέσω “κρυπτογραφημένων εφαρμογών”, ή εφαρμογών που επιτρέπουν την εξαφάνιση των μηνυμάτων, όπως είναι το WhatsApp ή το Telegram) καθώς επίσης απλών και VoIP τηλεφωνικών κλήσεων (συμπεριλαμβανομένων τηλεφωνικών συνομιλιών μέσω “κρυπτογραφημένων” εφαρμογών)».
Ο Μπιλ Μάρζακ, ανώτερος ερευνητής στο Citizen Lab, επιστήμονας με μεγάλη τεχνική επάρκεια στην ανίχνευση spyware, είχε πει τότε στο inside story ότι υπάρχουν σοβαρές πιθανότητες πίσω από την στοχοποίηση του Θανάση Κουκάκη να βρίσκεται η ελληνική κυβέρνηση. «Από τεχνική άποψη δεν μπορούμε να πούμε ακριβώς αν πρόκειται για την ελληνική κυβέρνηση ή για ιδιωτική εταιρεία. Δεν έχουμε ωστόσο δει περίπτωση στην οποία ένα ισχυρό λογισμικό υποκλοπής όπως το Predator της Cytrox να έχει πουληθεί σε μία ιδιωτική εταιρεία για τη δική της χρήση». Πελάτες του Predator στην Ελλάδα (με κρατική υποστήριξη) είχε «δει» τον Δεκέμβριο του 2021To νέο λογισμικό κατασκοπίας Predator και οι δουλειές στην Ελλάδα όχι μόνο το Citizen Lab σε προηγούμενη έρευνά του αλλά και η Meta (facebook) σε δική της έκθεση.
Λίγες ώρες μετά τη δημοσίευσή του ρεπορτάζ του inside story, το μεσημέρι της 11ης Απριλίου, ο κυβερνητικός εκπρόσωπος Γιάννης Οικονόμου είχε προχωρήσειΗ ενημέρωση των πολιτικών συντακτών από τον Κυβερνητικό Εκπρόσωπo κ. Γιάννη Οικονόμου (11/4/22) –χωρίς να παρουσιάσει στοιχεία– στο βιαστικό συμπέρασμα ότι η παρακολούθηση του δημοσιογράφου έγινε από ιδιώτη. Τέσσερις ημέρες μετά, στις 15 Απριλίου, το Reporters United αποκάλυψεΕχθρός του Κράτους: Αποδεικνύουμε ότι η κυβέρνηση Μητσοτάκη παρακολουθούσε τον δημοσιογράφο Θανάση Κουκάκη | Reporters United ότι έναν χρόνο πριν την παράνομη μόλυνση του κινητού του με το Predator, ο Θανάσης Κουκάκης είχε γίνει στόχος (νόμιμης) παρακολούθησης από την ΕΥΠ (υπό τον πρωθυπουργό) για λόγους «εθνικής ασφάλειας» και είχε διαταχθεί η άρση του απορρήτου των επικοινωνιών του, η οποία διακόπηκε απότομα όταν ο δημοσιογράφος απευθύνθηκε στην Αρχή Διασφάλισης Απορρήτου των Επικοινωνιών καθώς είχε βάσιμες υποψίες ότι ήταν στόχος παράνομης παρακολούθησης.
Επειδή το θέμα άρχισε να παίρνει διαστάσεις, παρότι η αναδημοσίευσή του από τα περισσότερα ΜΜΕ ήταν περιορισμένη έως ανύπαρκτη, η Εθνική Αρχή Διαφάνειας, που ιδρύθηκε από την παρούσα κυβέρνηση με το πρώτο νομοσχέδιο που έφερε προς ψήφιση μόλις ανέλαβε την εξουσία (Επιτελικό ΚράτοςΝΟΜΟΣ 4622/2019) και, αποστολή την πρόληψη και την ευαισθητοποίηση κατά της διαφθοράς, ξεκίνησε αυτεπάγγελτη έρευνα για την υπόθεση Κουκάκη. Αντικείμενο ελέγχου της ΕΑΔ δεν ήταν να διαλευκανθεί ποιος χρησιμοποιεί το Predator και εναντίον ποιων στην Ελλάδα, παρότι υπήρχαν αρκετά στοιχεία που είχε αναδείξει το inside storyΔεν ήταν μόνο ένας ο στόχος παρακολούθησης με λογισμικό κατασκοπίας και συνηγορούσαν ότι ο δημοσιογράφος δεν ήταν ο μόνος στόχος, αλλά να διαπιστωθεί αν το υπουργείο Προστασίας του Πολίτη και η Εθνική Υπηρεσία Πληροφοριών είχαν προμηθευτεί ή όχι το λογισμικό παρακολούθησης Predator (ή άλλο ανάλογο λογισμικό) ή είχαν συμβληθεί με κάποια από τις εταιρείες που είχαμε αναφέρει στα ρεπορτάζ μας.
Εκατό και κάτι ημέρες μετά και ενώ έχει μεσολαβήσει και τρίτη έρευνα, αυτή τη φορά από την GoogleProtecting Android users from 0-Day attacks που επίσης κάνει λόγο για πελάτες και στόχους του Predator στην Ελλάδα, ο δημοσιογράφος πήρε στα χέρια του την έκθεση της ΕΑΔ για την υπόθεσή του. Το συμπέρασμά της εμμέσως πλην σαφώς είναι ένα: η κυβέρνηση δεν έχει καμία σχέση με την παρακολούθηση του Θανάση Κουκάκη, αφού ούτε η ΕΛΑΣ ούτε η ΕΥΠ προέκυψε από τον έλεγχο της ΕΑΔ να έχουν αγοράσει ή να χρησιμοποιούν αυτό ή παρόμοιο spyware.
Τέσσερις μέρες μετά το πόρισμα της ΕΑΔ, την Τρίτη 26 Ιουλίου, ο πρόεδρος του Κινήματος Αλλαγής Νίκος Ανδρουλάκης κατήγγειλε σε μηνυτήρια αναφορά του στον Άρειο Πάγο απόπειρα μόλυνσης του κινητού του με το ίδιο λογισμικό με το οποίο άγνωστοι παρακολουθούσαν τον Θανάση Κουκάκη. Η νέα υπόθεση χρήσης Predator και μάλιστα με στόχο αρχηγό κόμματος της αντιπολίτευσης, επιβεβαιώνει πλήρως προηγούμενα ρεπορτάζ του inside story που παρουσίαζαν βάσιμα στοιχεία για ύπαρξη κι άλλων στόχων πλην του δημοσιογράφου. Σε αυτό συνηγορεί και η ίδια η Google, που ανέφερε στο inside story ότι η ομάδα ανάλυσης κινδύνων της εταιρείας εκτιμά πως με τα στοιχεία που έχει συλλέξει έως τώρα στην Ελλάδα υπάρχει μονοψήφιος αριθμός στόχων με κινητά Android.
Κουκάκης και Ανδρουλάκης έχουν iPhone. Αυτή όμως δεν είναι η μόνη σύμπτωση: Και οι δύο «στόχοι» είχαν λάβει στο κινητό τους προσωπικό μήνυμα-δόλωμα με κακόβουλο url από το ίδιο παραποιημένο –γι αυτόν τον σκοπό– domain (blogspot.edolio5[.]com αντί το σωστό edolio5.blogspot[.]com). Και οι δύο έλαβαν το μήνυμα πέρυσι, ο δημοσιογράφος στις 12 Ιουλίου του 2021 και ο Eυρωβουλευτής στις 21 Σεπτεμβρίου 2021, αφού είχε ανακοινώσει δηλαδή την υποψηφιότητά του για την ηγεσία του κόμματος.
Η μόνη διαφορά είναι ότι ο κ. Ανδρουλάκης δεν πάτησε το λινκ και έτσι φαίνεται να μην μολύνθηκε η συσκευή του. Το γεγονός όμως ότι κάποιος στόχευσε με απόσταση λίγων μηνών έναν δημοσιογράφο και έναν (τότε) υποψήφιο πολιτικό αρχηγό δείχνει ότι η υπόθεση Κουκάκη δεν ήταν μία πλημμεληματική υπόθεση «μεταξύ δύο ιδιωτών», όπως είχε αρχικά επιχειρηθεί να παρουσιαστεί από την κυβέρνηση. Όπως αναφέρει ο κ. Ανδρουλάκης στη μηνυτήρια αναφορά του, η στοχοποίησή του με το Predator είναι πρωτοφανής για τη δημοκρατία μας και συνιστά «ευθεία προσβολή του δημοκρατικού πολιτεύματος», πράξη που σύμφωνα με τις διατάξεις του ποινικού κώδικα που παραθέτει συνιστά κακούργημα.
Και spoofing ελληνικών κινητών Κάτι άλλο επίσης ενδιαφέρον είναι ότι στην περίπτωση του κ. Ανδρουλάκη το άγνωστο σε αυτόν ελληνικό κινητό που χρησιμοποιήθηκε ανήκει σε μία γυναίκα που σε τηλεφωνική επικοινωνία που είχαμε μας διαβεβαίωσε ότι δεν έχει καμία απολύτως σχέση, τόνισε πως έμαθε το περιστατικό από τις ειδήσεις και περιέγραψε τον εαυτό της ως «μια απλή γυναίκα με τέσσερα εγγόνια». Όλα αυτά συνηγορούν πως όποιοι βρίσκονται πίσω από τις επιθέσεις με το spyware Predator, χρησιμοποιούν (και) υπαρκτά νούμερα τηλεφώνων χωρίς τη γνώση των κατόχων τους (spoofingSpoofing).
Στο μεταξύ ο δημοσιογράφος Θανάσης Κουκάκης θα προσφύγει σήμερα στο Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων κατά των ελληνικών αρχών για την υπόθεση της παράνομης παρακολούθησής του με spyware, ενώ ο Νίκος Ανδρουλάκης τονίζει ότι «η πλήρης διαλεύκανση της υποθέσεως, εξεύρεσης των φυσικών και ηθικών αυτουργών των ανωτέρω πράξεων πρέπει να λάβει χώρα άμεσα». Κάτι που ενδεχομένως θα έπρεπε να ήταν εξ αρχής και το αντικείμενο του ελέγχου της ΕΑΔ, στη δική της σχεδόν τρίμηνη έρευνα.
Ας εξετάσουμε όμως τι είδε και τι παρέλειψε στον έλεγχό της η Εθνική Αρχή Διαφάνειας στην υπόθεση Κουκάκη.
H έκθεση της Εθνικής Αρχής Διαφάνειας (ΕΑΔ) για την καταγγελία της μόλυνσης του λογισμικού του δημοσιογράφου Θανάση Κουκάκη με το spyware Predator παραδόθηκε στον ίδιο το πρωί της περασμένης Παρασκευής 22 Ιουλίου. Η αλήθεια είναι πως η Αρχή είχε ολοκληρώσει την έκθεσή της από τις 10 Ιουλίου 2022, αλλά την είχε, σύμφωνα με μία πηγή της, στείλει στην ΕΥΠ για «έγκριση». Το έγγραφο που παραδόθηκε τελικά στον καταγγέλλοντα δημοσιογράφο δεν περιλαμβάνει ολόκληρο τον έλεγχο που διενήργησε η ΕΑΔ, αλλά μόνο «αποσπάσματα ελέγχου», για λόγους προστασίας προσωπικών δεδομένων, όπως μας μεταφέρθηκε. Ανάμεσα στα στοιχεία που λείπουν είναι τα ονόματα φυσικών προσώπων (των ελεγκτών της ΕΑΔ, της εισαγγελέως που εποπτεύει την ΕΥΠ, στην οποίαν εστάλησαν τα αιτήματα του ελέγχου της ΕΑΔ, και των δικηγόρων και λογιστών των ελεγχόμενων εταιρικών οντοτήτων) και οι εταιρικές οντότητες, που είναι «μαυρισμένες».
Ελεγχόμενοι από την ΕΑΔ ήταν η Ελληνική Αστυνομία και η ΕΥΠ και οι ιδιωτικές εταιρείες Intellexa και Krikel – η πρώτη γιατί παράγει και εμπορεύεται το παράνομο λογισμικό και η δεύτερη γιατί την κατονόμασε ο δημοσιογράφος στην κατάθεσή του ως συνδεόμενη με την Intellexa. To νομικό πλαίσιο του ελέγχου όσον αφορά την προστασία του απορρήτου των τηλεπικοινωνιών περιλαμβάνει και τους κανόνες που διέπουν τη λειτουργία της ΕΥΠ, μεταξύ των οποίων βρίσκεται και ένας ειδικός κανονισμός του 2008 για τις προμήθειες και τις παροχές των υπηρεσιών της ΕΥΠ που εξαιρούνται από τις διατάξεις του ν.2286/1995.
Ο Θανάσης Κουκάκης κλήθηκε από την ΕΑΔ σε ανυπόγραφη –άτυπη, όπως χαρακτηρίζεται– εξέταση στις 4 Μαΐου 2022, 25 ημέρες από τη δημοσιοποίηση της παρακολούθησής του. Στη συνέχεια ο πρώην διοικητής της ΕΑΔ Άγγελος Μπίνης κάλεσε με επιστολές του τον πρόεδρο της Αρχής Διασφάλισης του Απορρήτου των Τηλεπικοινωνιών, την εισαγγελέα που εποπτεύει την ΕΥΠ, τον αρχηγό της ΕΛΑΣ και τον διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων να τον συνδράμουν. Από τους παραπάνω, μόνο η Αρχή Διασφάλισης Απορρήτου των Τηλεπικοινωνιών δεν απάντησε, καθώς δεν έχει ξεκινήσει καν τον έλεγχο. Παρόμοιες επιστολές εστάλησαν στις 18 και στις 31 Μαΐου στις εταιρείες Intellexa και Krikel. Είχε περάσει ενάμισης μήνας ήδη. Οι εταιρείες απάντησαν γραπτά και στη συνέχεια το κλιμάκιο των ελεγκτών της ΕΑΔ τους επισκέφθηκε στις 9 Ιουνίου (Intellexa) και στις 14 Ιουνίου (Krikel) στα γραφεία τους. Αλλά ενώ η Intellexa στέλνει τις γραπτές της απαντήσεις στην ΕΑΔ πριν από την επιτόπια έρευνα του κλιμακίου, η Krikel το κάνει μετά από αυτήν. Σε αυτό το σημείο θα επιστρέψουμε.
Στις επισκέψεις αυτές το κλιμάκιο δεν συνάντησε τους κατά νόμον εκπροσώπους των εταιρειών, αλλά λογιστές και δικηγόρους. Δεν είναι βέβαια σαφές ποια ακριβώς εποπτεία των δραστηριοτήτων της εταιρείας είχε το ελληνικό παρακλάδι της στο Ελληνικό, καθώς λογαριασμοί και αλληλογραφία της Intellexa κατέληγαν στην Κύπρο, και όχι στην έδρα της εταιρείας στο Ελληνικό την οποίαν επισκέφθηκε η ΕΑΔ, όπως βεβαίωσαν το inside story δύο ανεξάρτητες μεταξύ τους πηγές που απασχολήθηκαν τα τελευταία δύο χρόνια από την εταιρεία. Σύμφωνα μάλιστα με πληροφορίες του inside story, πριν από τον έλεγχο ένας από τους δικηγόρους της Intellexa είχε αντικατασταθεί, όταν ζήτησε από τους κατά νόμον υπεύθυνους της εταιρείας να δει τις συμβάσεις που είχε υπογράψει η εταιρεία με όλους τους πελάτες της.
Σύμφωνα με το πόρισμα της ΕΑΔ, η Intellexa δεν έχει συνάψει σύμβαση προμήθειας, είτε μόνη της είτε σε συνεταιρισμό με άλλες εγχώριες εταιρείες καταγεγραμμένες στο ΓΕΜΗ, με φορείς του υπουργείου Προστασίας του Πολίτη και την ΕΥΠ. Εδώ βεβαίως υπάρχει ένα κενό στην έρευνα, διότι ο Κουκάκης βρισκόταν υπό παρακολούθηση για ένα τουλάχιστον τρίμηνο και αυτό δεν επιδέχεται αμφισβήτησης. Με ποιες εταιρείες που δεν είναι εγχώριες και δεν καταγράφονται στο ΓΕΜΗ θα μπορούσε να έχει συνδιαλλαγεί η Intellexa; Επ’ αυτού οι ελεγκτές δεν φαίνεται να αναζήτησαν στοιχεία.
Intellexa: διπλή διαψευσιμότητα
Στα τέλη Ιουνίου επισκέφθηκε τα γραφεία του inside story ο ισραηλινός συνάδελφος, εξειδικευμένος ρεπόρτερ της Haaretz σε θέματα τεχνολογίας, Ομέρ Μπεν Γιάκομπ. Ο Μπεν Γιάκομπ, με τον οποίον πήγαμε στα γραφεία της Intellexa στο Ελληνικό, όπου προσωπικό των επιχειρήσεων που στεγάζεται στο ίδιο κτίριο μας είπε ότι «έχουν 4-5 εβδομάδες να φανούν» (η ΕΑΔ διενήργησε έλεγχο στις αρχές Ιουνίου), μας εξήγησε ότι μια ισραηλινή εταιρεία που αναπτύσσει και πουλάει spyware υφίσταται διπλό έλεγχο από το ισραηλινό κράτος: όποτε κάνει παρουσίαση σε «πελάτες» ένα προϊόν και όταν το πουλάει. Και στις δύο αυτές φάσεις χρειάζεται κρατική έγκριση, εκτός αν δημιουργήσει μία ενδιάμεση εταιρεία σε μια τρίτη χώρα, οπότε αποφεύγει αυτούς τους δύο σκοπέλους. Πολλές φορές και ο αγοραστής για δικούς του λόγους (π.χ. γιατί απαγορεύεται από τη νομοθεσία στη χώρα του) θέλει να αποφύγει τον «σκόπελο» του να παραδεχθεί ότι χρησιμοποιεί ένα τέτοιο λογισμικό, ιδιαίτερα όταν αυτό δεν περιορίζεται στις ανάγκες συλλογής πληροφοριών εκτός της χώρας του αγοραστή. Αυτή η ανάγκη της διπλής διαψευσιμότητας (double deniability) οδηγεί στην ανάγκη να δημιουργηθούν μεταξύ αγοραστή και πωλητή συχνά δύο και τρεις εταιρείες στη συναλλαγή, η ακόμα να επιλεχθεί εταιρεία άλλης δικαιοδοσίας (π.χ. κυπριακής ή ιρλανδικής) για να ολοκληρωθεί η συναλλαγή (η διαψευσιμότητα, δηλαδή η δυνατότητα να διαψεύσεις κάτι που έχεις κάνει, είναι κεντρικό στοιχείο της κουλτούρας κάθε υπηρεσίας που εφαρμόζει πρακτικές μυστικής δράσης).
Οι συντάκτες του πορίσματος της Εθνικής Αρχής Διαφάνειας απέφυγαν να ασχοληθούν με εταιρείες ενδιάμεσες ή άλλης δικαιοδοσίας. Τέτοια εταιρεία, που φαίνεται ότι έπαιξε ρόλο στην εγκατάσταση της ισραηλινής εταιρείας στην Ελλάδα, είναι η κυπριακή SANTINOMO LIMITED,Η ελληνική διαδρομή της εταιρείας του spyware που ιδρύθηκε από τον Φέλιξ Μπίτζιο στις 2 Σεπτεμβρίου 2019, δύο μήνες μετά τις ελληνικές εκλογές του ίδιου χρόνου, και δραστηριοποιείται και σε τεχνολογικές εφαρμογές μυστικής δράσης. Την πληροφορία αυτή έδωσε στο inside story άνθρωπος που δούλεψε για την Intellexa.
Ο Φέλιξ Μπίτζιος είναι το πρόσωπο που είχε οριστεί στις ελληνικές Intellexa, καθώς και στις Apollo Technologies και Hermes Technologies, που ανήκουν στον όμιλο της Intellexa, ως αναπληρωματικός σύμβουλος και διαχειριστής από τις 31 Μαρτίου 2020 έως 23 Ιουνίου 2021. Ήταν και νόμιμος εκπρόσωπος του υποκαταστήματος της Feroveno, που επίσης ανήκει στον όμιλο της Intellexa, έως τις 15 Νοεμβρίου 2021 (είχε ήδη μολυνθεί το κινητό του Θανάση Κουκάκη με το Predator). Η παρουσία του συγκεκριμένου προσώπου στις εταιρείες αυτές –όπως είχε αποκαλύψειTo νέο λογισμικό κατασκοπίας Predator και οι δουλειές στην Ελλάδα τον Ιανουάριο του 2022 το inside story– είναι το στοιχείο που θορύβησε τον δημοσιογράφο Θανάση Κουκάκη και απευθύνθηκε στο Citizen Lab για τον έλεγχο του κινητού του, αφού από το 2017 έως και το 2021 ο δημοσιογράφος είχε ερευνήσει εκτεταμένα και είχε γράψει για τον τον ρόλο του κ. Μπίτζιου σε διάφορες υπό νομική διερεύνηση υποθέσεις.
H Intellexa απασχολούσε στην Αθήνα 13 άτομα (που πληρώνονταν αρκετά πάνω από τους μέσους όρους της αγοράς), αλλά ο τζίρος της ήταν σύμφωνα με το πόρισμα κάτω από 1 εκατομμύριο ευρώ, κάτι που θα μπορούσε να αποτελεί ένδειξη ότι όλα τα «προϊόντα» και οι «υπηρεσίες» δεν τιμολογούνταν από την ελληνική εταιρεία – πολύ περισσότερο που η αλληλογραφία δεν έφτανε ποτέ στο Ελληνικό, αλλά πήγαινε στην Κύπρο. Ούτε και με αυτήν την αντίφαση φαίνεται να ασχολήθηκε η ΕΑΔ.
Εκτός ελέγχου τρεις σχετιζόμενες εταιρείες για το κρίσιμο έτος 2021
Η ΕΑΔ για τις εταιρείες Intellexa, Hermes Technologies, Apollo Technologies και Feroveno Limited, εξέτασε φορολογικά στοιχεία πελατών και προμηθευτών μόνο για τη διαχειριστική χρήση του 2020 (έτος εγκατάστασης και των τεσσάρων εταιρειών στην Ελλάδα). Ο λόγος που επικαλείται γι αυτό είναι ότι κατά το διάστημα που διενεργήθηκε ο έλεγχος δεν είχε εκπνεύσει η προθεσμία ανάρτησης των αντίστοιχων στοιχείων από τις εταιρείες στην πλατφόρμα myAADE για τη διαχειριστική χρήση του 2021.
Μόνο για το έτος 2020 ήταν και τα χορηγηθέντα από την ΑΑΔΕ φορολογικά στοιχεία εσόδων-εξόδων των τεσσάρων εταιρειών. Ο έλεγχος της ΕΑΔ συγκεκριμένα στην Intellexa επεκτάθηκε στο 2021 και βασίστηκε στα στοιχεία που προσκόμισε ο λογιστής της εταιρείας και πιο συγκεκριμένα το Προσωρινό Ισοζύγιο Γενικών-Αναλυτικών Καθολικών (Ιανουάριος-Δεκέμβριος 2021) και τιμολόγια εσωτερικού. Με βάση αυτά, προέκυψε ότι «δεν υπάρχουν συναλλαγές [της Intellexa] με οποιονδήποτε φορέα του Δημόσιου Τομέα».
Για τις άλλες τρεις εταιρείες με τις οποίες η Intellexa μοιράζεται μεταξύ άλλων και τα ίδια γραφεία (Hermes Technologies, Apollo Technologies και Feroveno Limited) η ΕΑΔ με τα στοιχεία που είδε από την ΑΑΔΕ για το 2020 έκρινε ότι «δεν προέκυψαν στοιχεία προς περαιτέρω αξιολόγηση και διερεύνηση». Παρότι, επαναλαμβάνουμε, η παρακολούθηση Κουκάκη (και πλέον όπως γνωρίζουμε και η απόπειρα παρακολούθησης του Ν. Ανδρουλάκη) έγινε το δεύτερο μισό του 2021. Αναφορικά με αυτές τις τρεις εταιρείες η Intellexa στο έγγραφό της προς το κλιμάκιο της ΕΑΔ σημειώνει ότι «[…] καμία από τις εταιρείες […] δεν έχει συμμετάσχει σε συναλλαγές, παροχή υπηρεσιών ή λειτουργικές δραστηριότητες οποιουδήποτε είδους με κρατικούς φορείς, υπηρεσίες ασφαλείας ή φορείς του δημοσίου τομέα στην Ελλάδα» και πως «[…] οι εταιρείες ουδέποτε συμμετείχαν στην παροχή υπηρεσιών συλλογής ή επεξεργασίας προσωπικών δεδομένων σε οποιαδήποτε οντότητα είτε ιδιωτική είτε δημόσια». Από το απόσπασμα του πορίσματος της ΕΑΔ που έχουμε στα χέρια μας, πέρα από αυτόν τον ισχυρισμό από πλευράς Intellexa δεν φαίνεται να προσκομίστηκε καμία άλλη απόδειξη.
Αξίζει επίσης να σημειώσουμε ότι από το πρώτο δημοσίευμα του inside story για την χρήση του Predator κατά δημοσιογράφου έως την επίσκεψη της ΕΑΔ στα γραφεία της εταιρείας που διαθέτει αυτό το spyware στην αγορά, μεσολάβησε μεγάλο χρονικό διάστημα. Το δημοσίευμα ήταν στις 11 Απριλίου 2022 και η προγραμματισμένη συνάντηση του κλιμακίου της ΕΑΔ με τους δικηγόρους και τους λογιστές της Intellexa έγινε σχεδόν δύο μήνες μετά στις 9 Ιουνίου 2022 και αφού το προσωπικό της εταιρείας (τεχνικοί, προγραμματιστές, πωλητές κ.λπ.) που ενδεχομένως να γνώριζε χρήσιμες πληροφορίες είχε αρχίσει να εργάζεται εξ αποστάσεως και τα γραφεία ήταν επί της ουσίας άδεια. Με τον ορισμό ραντεβού δύο μήνες μετά στα κενά από υπαλλήλους γραφεία, η ΕΑΔ έχασε τη δυνατότητα «αιφνιδιασμού» που της παρέχει ο νόμος και απώλεσε μέρος των ενεργειών στις οποίες θα μπορούσε να είχε προχωρήσει.
Τι μπορεί να κάνει η ΕΑΔ Τα κλιμάκια της ΕΑΔ μπορούν μεταξύ άλλων να ελέγχουν την ηλεκτρονική εμπορική αλληλογραφία των επιχειρηματιών, διοικητών, διευθυνόντων συμβούλων, διαχειριστών και του προσωπικού μιας εταιρείας και να προβαίνουν σε κατασχέσεις βιβλίων, εγγράφων και άλλων στοιχείων, καθώς και ηλεκτρονικών μέσων αποθήκευσης και μεταφοράς δεδομένων, τα οποία αποτελούν επαγγελματικές πληροφορίες, μέχρι και να λαμβάνουν, κατά την κρίση τους, ένορκες ή ανωμοτί καταθέσεις και να ζητούν από κάθε αντιπρόσωπο ή μέλος του προσωπικού των ελεγχόμενων φορέων επεξηγήσεις.
Η γραμμή που ενώνει την προμηθεύτρια εταιρεία της ΕΛΑΣ με την Intellexa
Ο Φέλιξ Μπίτζιος, εκπρόσωπος της Intellexa έως τον Ιούνιο του 2021, παρέμεινε εκπρόσωπος της Feroveno, συνδεδεμένης μαζί της εταιρείας, σχεδόν ως το τέλος του ίδιου χρόνου (θυμίζουμε εδώ ότι ο Θανάσης Κουκάκης παρακολουθείτο παράνομα από τον Ιούλιο έως τον Σεπτέμβριο του 2021). Ο Μπίτζιος ωστόσο είχε σχέσεις και με την εταιρεία Krikel, έναν από τους επίσημους προμηθευτές του υπουργείου Προστασίας του Πολίτη, πριν από το 2019 έως σήμερα.
Ο Θανάσης Κουκάκης στην αναφορά που κατέθεσε στην ΕΑΔ στις αρχές Μαΐου, είχε αναφέρει στην ανεξάρτητη αρχή τους τραπεζικούς λογαριασμούς που διατηρεί η Intellexa (και οι σχετιζόμενες Apollo Technologies και Hermes Technologies και Feroveno) όπως και η Krikel. Με βάση το απόσπασμα του πορίσματος που διαβάσαμε, η ΕΑΔ δεν ασχολήθηκε με τις τραπεζικές κινήσεις των λογαριασμών. Αν το είχε κάνει θα είχε εντοπίσει την ευθεία σχέση της εταιρείας με τον άνθρωπο που διαδραμάτησε αργότερα ενεργό ρόλο στην Intellexa.
Το inside story αποκαλύπτει σήμερα μία σύμβαση που υπέγραψε η Krikel το 2018 με μία άλλη κυπριακή εταιρεία του Φέλιξ Μπίτζιου, τη Viniato Holdings Limited (πρώην Macorta Holdings LimitedΟι «ατσίδες της Libra» | Πρώτο Θέμα), για παροχή συμβουλευτικών υπηρεσιών το διάστημα Ιανουαρίου-Αυγούστου 2018, έναντι αμοιβής €550.000 (έχουμε στη διάθεσή μας και τα σχετικά τιμολόγια).
Σύμφωνα με όσα αναγράφονται στη σύμβαση αυτή –που ήταν σε ισχύ όταν η Krikel υπέγραφε με την ΕΛΑΣ για το σύστημα κρυπτογραφημένων συνομιλιών TETRA τον Ιούνιο του 2018– η Viniato του Φέλιξ Μπίτζιου (ο οποίος αργότερα διαδραμάτισε κεντρικό ρόλο στην μετεγκατάσταση και διαχείριση της Intellexa στην Ελλάδα) λειτούργησε το εννιάμηνο του 2018 ως σύμβουλος της Krikel, προκειμένου αυτή να αναπτύξει τη στρατηγική της αναφορικά με έργα (υποστήριξη και ανάπτυξη ειδικών λογισμικών) εντός της ελληνικής επικράτειας. Έτσι η Krikel, που εμπορευόταν μεταξύ των άλλων ρύζι και είχε μηδενικό τζίρο το 2017, και το ζημιογόνο 2018 έδωσε σε αμοιβή συμβούλου τα €550.000 από τα μόλις €840.000 του τζίρου της, γίνεται σταδιακά ο κύριος προμηθευτής προϊόντων τεχνολογίας του υπουργείου Προστασίας του Πολίτη, συμμετέχοντας έμμεσα ή άμεσα σε όλα τα μεγάλα projects από το 2018. Σύμφωνα εξάλλου και με την απάντηση του υπουργού Επικρατείας Γιώργου Γεραπετρίτη (που δόθηκε προτού περιέλθει στα χέρια μας η σύμβαση του 2018 για το ΤΕΤRΑ) σε σχετική ερώτηση του βουλευτή του ΣΥΡΙΖΑ Γιάννη Ραγκούση, η KRIKEL έχει προμηθεύσει υπηρεσίες για το σύστημα ΤΕΤRA στο υπουργείο Προστασίας του Πολίτη.
Η σύμβαση υπογράφτηκε στις 29 Ιουνίου 2018 από τον τότε γενικό γραμματέα του υπουργείου Προστασίας του Πολίτη Δημήτρη Αναγνωστάκη και τον εκπρόσωπο της Krikel, Στάνισλαβ Σίμον Πέλτσαρ. Το σύστημα ΤΕΤRΑ, του οποίου τη συντήρηση ανέλαβε η Krikel το 2018, είχε προηγουμένως χαρισθεί στο ελληνικό δημόσιο από την εταιρεία Ιονική Μονοπρόσωπη ΕΠΕ και την Lamas Pinto Consulting. H Iονική Μονοπρόσωπη ανήκε μεταξύ των άλλων στον Γιάννη Λαβράνο, που ελεγχόταν φορολογικά για πλαστά και εικονικά τιμολόγια μετά από αρθρογραφία του Θανάση Κουκάκη.
Ο Πέλτσαρ, που υπογράφει τη σύμβαση των €8,8 εκατομμυρίων (συν ΦΠΑ 24%) του 2018 για το ΤΕΤRΑ, στο παρελθόν είχε βρεθεί σε διοικητικό συμβούλιο εταιρείας μαζί με τον Φέλιξ Μπίτζιο ο οποίος κατά το διάστημα που ήταν στην Intellexa είχε συνυπάρξει και εξακολουθεί να βρίσκεται σε ΔΣ εταιρείας μαζί με τον Νίκο Λιόλιο, ο οποίος με τη σειρά του συνυπήρξε με τον Γιάννη Λαβράνο στην εταιρεία που είχε αναλάβει αρχικά τη συντήρηση του συστήματος TETRA. Καμία από αυτές τις συμπτώσεις ωστόσο δεν φαίνεται να απασχόλησαν την ΕΑΔ.
Η ΕΥΠ και η νέα αυτόνομη διεύθυνση με τον δικό της ΑΦΜ
Το inside story είχε αναφέρειΗ γραμμή που συνδέει το ελληνικό δημόσιο με την Intellexa πως η Krikel συνδέεται και με τη σύμβαση για το νέο σύστημα νόμιμης συνακρόασης της ΕΥΠ. H Krikel αρχικά αναπαρήγαγε το δημοσίευμα σε αλλεπάλληλα tweet της, όταν όμως ο κ. Γεραπετρίτης εμφανίστηκε στη Βουλή και το διέψευσε, το διέψευσε και η ίδια, απαντώντας σε νέο δημοσίευμα των Reporters UnitedΟ Μεγάλος Ανιψιός κι ο Μεγάλος Αδερφός | Reporters United, και το διαψεύδει τώρα και η ΕΥΠ αλληλογραφώντας με την Εθνική Αρχή Διαφάνειας. H Krikel πάντως, σύμφωνα με τις εισροές-εκροές της, που είδε το inside story, παρουσιάζει ένα ισοζύγιο ενδοκοινοτικών αγορών και ενδοκοινοτικών πωλήσεων περίπου 13 εκατομμυρίων – ένα ποσό που είναι μεγαλύτερο από το σύνολο της σύμβασης για τις υπηρεσίες του ΤΕΤΡΑ κατά 4 τουλάχιστον εκατομμύρια. Στην έκθεση της ΕΑΔ υπογραμμίζεται ότι δεν περιλαμβάνονται τα στοιχεία του 2021, που η εταιρεία δεν είναι ακόμα υποχρεωμένη να αναρτήσει.
Σύμφωνα με όσα απάντησε στην ΕΑΔ η εισαγγελέας που εποπτεύει την ΕΥΠ, μετά από έλεγχο που διενήργησε η υπηρεσία της στο αρχείο των συμβάσεων, η ΕΥΠ δεν εμφανίζεται πουθενά ως αντισυμβαλλόμενη με την Krikel. Σε προηγούμενο ρεπορτάζ του inside story, αναφέραμε ότι σύμφωνα με τρεις πηγές που έχουν γνώση πρόσκλησης ενδιαφέροντος της ΕΥΠ για το σύστημα νόμιμης συνακρόασης, το οποίο η Υπηρεσία προμηθεύτηκε εν τέλει το 2021, συνομιλητής της Υπηρεσίας ήταν η Krikel (η εταιρεία δεν απάντησε τότε σε καμία από τις ερωτήσεις που είχαμε θέσει μέσω email). Με βάση το πόρισμα της ΕΑΔ, αντισυμβαλλόμενη τελικά στη σύμβαση προμήθειας του συστήματος ήταν η ιταλική RCS ETM SICUREZZA SPA και όχι η Krikel. Πάντως Krikel και ΕΥΠ κάποια συμβατική σχέση θα πρέπει να έχουν, διαφορετικά δεν εξηγείται γιατί επί τουλάχιστον δύο μήνες μετά την προμήθεια του ιταλικού συστήματος νόμιμης συνακρόασης (Δεκέμβριος 2021, Ιανουάριος 2022), σύμφωνα με αξιόπιστα στοιχεία που έχει στη διάθεσή του το inside story, προσωπικό της Kρίκελ με χρέη «εκπαιδευτή» επισκεπτόταν τον χώρο εκπαίδευσης της ΕΥΠ στην Αγία Παρασκευή.
Με βάση όσα γράφει η εισαγγελέας που εποπτεύει την ΕΥΠ, «διενεργήσαμε έκτακτο έλεγχο στο 7ο Τμήμα Δημοσίων Συμβάσεων της Διεύθυνσης Οικονομικής Διαχείρισης των Υποδομών της ΕΥΠ, που είναι αποκλειστικά αρμόδιο για τη διεκπεραίωση όλων των διαδικασιών που άπτονται τις σύναψης όλων των συμβάσεων που φέρουν ως συμβαλλόμενο μέρος την ΕΥΠ […]». Αυτό που δεν καθόλου σαφές στο πόρισμα της ΕΑΔ είναι αν ο έλεγχος επεκτάθηκε και στην αυτοτελή υπηρεσία που ονομάζεται Κέντρο Τεχνολογικής Υποστήριξης, Ανάπτυξης και Καινοτομίας (ΚΕΤΥΑΚ), η οποία υπάγεται απευθείας στον Διοικητή της ΕΥΠ. Η ΚΕΤΥΑΚ ιδρύθηκε με τον νόμο 4704ΝΟΜΟΣ 3649/2008 όπως τροποποιήθηκε από το Νόμο 4704/2020 της 14ης Ιουλίου 2020 με κάπως ασαφή σκοπό. «[…] Είναι αρμόδια να διεξάγει εφαρμοσμένη έρευνα, να συνεργάζεται με ερευνητικούς φορείς της Ελλάδας και του εξωτερικού, να συντονίζει, καθώς και να παρακολουθεί και να μετέχει σε δραστηριότητες έρευνας, τεχνολογικής ανάπτυξης και καινοτομίας, προκειμένου να δημιουργεί τα κατάλληλα τεχνολογικά και μεθοδολογικά εργαλεία και να τα παρέχει στην ΕΥΠ και σε άλλους δημόσιους φορείς», γράφει ο νόμος. Άτομα που γνωρίζουν τα της λειτουργίας της Εθνικής Υπηρεσίας Πληροφοριών, μιλώντας στο inside story χαρακτηρίζουν τη συγκεκριμένη νεοσύστατη υπηρεσία ως «την ΕΥΠ μέσα στην ΕΥΠ». Μάλιστα με τον ίδιο νόμο συστάθηκε ειδικός λογαριασμός («Ειδικός Λογαριασμός Τεχνολογικής Ανάπτυξης και Καινοτομίας», ΕΛΤΑΚ) για τη χρηματοδότηση προγραμμάτων και έργων που εκτελούνται από την νεοσύστατη υπηρεσία. Στον λογαριασμό αυτό –γράφει ο νόμος– αποδίδεται διαφορετικός αριθμός φορολογικού μητρώου (ΑΦΜ) από αυτόν της ΕΥΠ και διαθέτει σφραγίδα, της οποίας η μορφή και ο τύπος καθορίζονται με απόφαση του Διοικητή της ΕΥΠ. Το Κέντρο Τεχνολογικής Υποστήριξης, Ανάπτυξης και Καινοτομίας της ΕΥΠ έχει τη δυνατότητα να διενεργεί διαγωνισμούς ως αναθέτουσα Αρχή και να συνάπτει συμβάσεις έργου με φυσικά πρόσωπα, ερευνητές και εξειδικευμένο επιστημονικό προσωπικό – με τα λεφτά του ειδικού λογαριασμού, που μπορεί να έχουν προέλθει ακόμη και από ιδιωτικούς πόρους ή διεθνείς οργανισμούς. Προϊστάμενος της ΚΕΤΥΑΚ τοποθετήθηκε υπάλληλος άλλου υπουργείου χωρίς προηγούμενη εμπειρία σε αυτού του είδους την δραστηριότητα.
Κλείνοντας, να πούμε πως η ΕΑΔ δεν σχολιάζει τα πορίσματά της, όμως ανεπίσημα η τοποθέτηση πηγών της ήταν πως «αυτά ήταν όσα μπορούσε να κάνει η αρχή, στα πλαίσια της εντολής που είχε λάβει».
Τάσος Τέλλογλου, Ελίζα Τριανταφύλλου
πηγή: insidestory.gr