Újabb, Magyarországon is bevetett izraeli kémszoftvert fedeztek fel

Újabb, Magyarországon is bevetett izraeli kémszoftvert fedeztek fel. A Torontói Egyetemhez tartozó, kiberbiztonsággal foglalkozó Citizen Lab olyan szervereket azonosított, amikről nagy bizonyossággal állítható a technológiai nyomok alapján, hogy a QuaDream nevű izraeli cég kémszoftvereinek működtetésére használták őket.

A szerverek között olyan is akadt, aminek a működtetését sikerült visszavezetni Magyarországra.

A Microsoft Threat Intelligence által megosztott minták elemzése alapján kiderült, hogy a QuaDream kémprogramjai és exploitjai (egy rendszer valamilyen sérülékenységének a kihasználását lehetővé tevő kódjai) segítségével vettek célba több mint öt személyt, újságírókat, ellenzéki politikusokat és egy NGO munkatársát is Észak-Amerikában, Közép-Ázsiában, Délkelet-Ázsiában, Európában és a Közel-Keleten. A célszemélyeket egyelőre nem nevezték meg.

Azonosítottak egy feltehetően az iOS 14-hez készült kód nyomait, ami a QuaDream kémprogramjának a célba juttatását tette lehetővé. Ez egy úgynevezett zero-click exploit, azaz a célba vett felhasználónak még csak kattintania sem kell semmire ahhoz, hogy az eszközére települjön. Az exploit az iOS 14.4-es, 14.4.2-es és talán több más verziójában jelen lévő, úgynevezett nulladik napi (azaz a gyártó által eddig nem ismert, így nem is javított) sebezhetőséget használt ki. A ENDOFDAYS-nek elnevezett feltételezett exploit a kémprogram üzemeltetője által az áldozatoknak küldött láthatatlan iCloud-naptármeghívókon keresztül települt.

Beazonosították a QuaDream egyes szervereit is, néhány esetben pedig sikerült azonosítani ezek üzemeltetőjének a helyét is, többek között Bulgáriában, Csehországban, Magyarországon, Ghánában, Izraelben, Mexikóban, Romániában, Szingapúrban, az Egyesült Arab Emírségekben, Üzbegisztánban. Azaz a Citizen Lab elemzése szerint nagy bizonyossággal állítható, hogy ezekből az országokból (vagy ezekből is) működtették az izraeli cég kémszoftverét.

A Citizen Lab szerint a QuaDream jogi vitába keveredett egy partnerével, az InReach nevű ciprusi céggel. Több, mindkét céggel kapcsolatban álló kulcsember egy másik kémprogramokhoz köthető céghez – a Verinthez –, valamint az izraeli hírszerzéshez is szorosan köthető.

A Citizen Lab két évvel ezelőtt részt vett a szintén izraeli kémprogram, a Pegasus felfedezésében is. A Pegasus körüli botrány 2021. július közepén robbant ki egy nemzetközi, 17 újság részvételével zajló oknyomozó projekt keretében, amiben Magyarországról a Direkt36 vett részt. Akkor derült ki, hogy az okostelefonok feltörésére alkalmas izraeli kémprogramot – amelyet a gyártó állítása szerint kizárólag állami szerveknek bocsátanak rendelkezésére – számos országban nemcsak az eredeti céljának megfelelően (vagyis terroristák, bűnözők leleplezésére) használták fel, hanem újságírókat, aktivistákat, ügyvédeket, politikusokat figyeltek vagy próbáltak megfigyelni vele.

A Pegasus-ügynek azóta is folyamatosan vannak fejleményei. Az Európai Parlament március elején döntött arról, hogy Pegasus-vizsgálóbizottságot állítanak fel. Májusban leváltották a spanyol hírszerző központ vezetőjét, miután kiderült, hogy több kormánytag telefonját is megfigyelték ismeretlenek a Pegasus nevű kémszoftverrel. A Citizen Lab egy másik jelentése szerint pedig 2020-ban és 2021-ben Pegasusszal próbálhattak megfertőzni több eszközt is Boris Johnson brit kormányfő hivatalán belül is. Ha többet is szeretne olvasni a Pegasus-ügyről, itt találja a cikkeinket a témában.

A Citizen Lab 2021-ben a Candiru nevű izraeli cég kémprogramjáról is kimutatta, hogy többek közt Magyarországon is jelen van. A Candiru kémprogramja iPhone-okat, androidos telefonokat, Maceket, windowsos pécéket és felhőalapú tárhelyeket is képes megfertőzni és megfigyelni. A biztonsági rés befoltozását megelőzően több mint száz áldozat ellen intéztek támadást a kémprogrammal, köztük politikusokkal, emberi jogi aktivistákkal, újságírókkal, akadémikusokkal, nagykövetségi dolgozókkal és politikai disszidensekkel szemben is bevetették.