Titokzatos izraeli cég áll a magyar kormány által is használt kémprogram mögött

Pénteken mi is megírtuk, hogy a Torontói Egyetemhez tartozó, kiberbiztonsággal foglalkozó Citizen Lab frissen megjelent összefoglalója szerint többek közt Magyarországon is jelen lehet a Candiru nevű izraeli cég kémprogramja. A beszámoló szerint a kémprogram iPhone-okat, androidos telefonokat, Maceket, windowsos pécéket és felhő alapú tárhelyeket is képes megfertőzni és megfigyelni, jó hír azonban, hogy

a Microsoft a kanadaiakkal együttműködve már be is foltozta a program által kihasznált windowsos sebezhetőségeket.

A Microsoft közleménye szerint ugyanakkor a két javítást megelőzően több mint száz áldozat ellen intéztek támadást a kémprogrammal, köztük politikusokkal, emberi jogi aktivistákkal, újságírókkal, akadémikusokkal, nagykövetségi dolgozókkal és politikai disszidensekkel. Így rögtön ijesztőbbnek tűnhet a feltételezett magyar szál, pláne mert az utóbbi hat-hét évben több hasonló ügyben derült már ki, hogy Magyarországon is zajlott már ilyen tevékenység.

Egyáltalán mi ez a Candiru?

Először is egy harcsafélék családjába tartozó édesvízi hal, amelynek a másik neve vámpírhal, az Amazonasban él, és a helyiek még a pirájáknál is jobban félnek tőle. Másodszor pedig egy titokzatos izraeli cég, amely saját állítása szerint lekövethetetlen kémprogramot árul, kizárólag kormányzati vásárlóknak. Ez alapján nem meglepő, hogy mindent megtesznek azért, hogy a működésüket, a főhadiszállásukat és az alkalmazottjaikat is elrejtsék a nyilvánosság elől, azt is csak sejteni lehet, hogy más ilyen profilú cégekhez hasonlóan elsősorban ők is az Izraeli Védelmi Erők hírszerzési alegységéből csemegéznek, ha embert akarnak felvenni.

A céget Candiru Ltd. néven alapította 2014-ben Ya’acov Weitzman és Eran Shorer, azóta azonban többször is átnevezték már, jelenleg éppen Saito Tech Ltd. a neve a japán Saito nevű település nyomán. Ez önmagában is említésre méltó, de ennél is érdekesebb, hogy a történetben nagyon hamar megjelent Isaac Zack is, aki kevesebb mint két hónappal az alapítás után már a legnagyobb részvényes volt, és az igazgatóságban is kapott egy széket. Zack nevére azért kaphatták fel a fejüket a hozzáértők, mert

korábban pénzzel támogatta az ugyancsak kiberkémkedéssel foglalkozó izraeli NSO Group megalapítását is, amely a 2018-ban meggyilkolt szaúdi disszidens, Dzsamál Hasogdzsi lehallgatása, és a mexikói kormány kémkedése miatt is botrányokba keveredett.

Nem is Isaac Zack volt ráadásul az egyetlen kapcsolódási pont. Korábban a Forbes-nak két forrás is állította, hogy a Candiru elsődleges pénzügyi támogatója a Founders Group, amelynek társalapítója, Omri Lavie részt vett az NSO Group létrehozatalában, de a két céget például ugyanaz az ügyvédi iroda is képviseli. Természetesen amikor 2019-ben a Candiru is ismertté vált a nagyvilág számára, az NSO Group közleményben tagadta, hogy a két cégnek köze lenne egymáshoz, ám azt már akkor is tudni lehetett, hogy a kiberkémkedéssel foglalkozó vállalatok kénytelenek azokhoz a befektetőkhöz fordulni, akikkel egyébként is jó viszonyt ápolnak.

Ennek fő oka, hogy sokan etikai megfontolásból nem adnak pénzt nekik, tartva attól, hogy a szándékaik ellenére a vásárlóik emberi jogokat sértő módon fogják használni a programjaikat. Az NSO Group eszközeit például papíron csak terrorizmus, illetve más bűncselekmények ellen lehetne bevetni, de hiába tagadják konzekvensen az érintettségüket, a gyakorlatban az látszik, hogy ennél kevésbé nemes célokra is felhasználják őket az ilyesmire fogékony kormányok, sőt vállalatok vagy tehetős magánemberek is.

Mit tud a Candiru programja, kik használják, és kik az áldozatok?

Ahogy azt fentebb már kiemeltük, a kémprogram iPhone-okat, androidos telefonokat, Maceket, windowsos pécéket és felhő alapú tárhelyeket is képes megfertőzni és megfigyelni, de a specialitásuk az elmúlt években egyértelműen a Windows meghekkelése volt – az NSO Group ezzel szemben a hírhedt, Pegasus nevű kémprogramja révén elsősorban az androidos eszközök lehallgatását pörgette csúcsra. Egy korábban kiszivárgott leírás alapján a Candiru kémprogramját több módon is célba lehet juttatni, játszhatnak

• a linkek, illetve a fertőzött fájlok;
• az úgynevezett közbeékelődéses támadások (ahol a támadó úgy kompromittálja a két fél közti kommunikációt, hogy mindkettejük számára a másik félnek adja ki magát); illetve
• a fizikai támadások (azaz a megfertőzendő eszközök manuális megfertőzése) is.

Ez alapján a Candiru a versenytársaihoz hasonlóan az egyidejű fertőzések mennyisége alapján határozza meg az árat a szolgáltatásáért, ami azt is megszabja, hogy hány embert lehet egyszerre megfigyelés alatt tartani, az NSO Grouphoz hasonlóan pedig – papíron – ők is csak bizonyos országokban teszik lehetővé a megfigyelést. A dokumentum szerint 16 millió euróért (5,75 milliárd forintért) akármennyi fertőzést meg lehet kísérelni, de egyszerre csak 10 eszközt lehet megfigyelni – még 15 eszköz, illetve egy extra ország plusz 1,5 millió euróba fáj, ha pedig 5,5 millió euróval többet fizetnek, az még 25 eszközt, illetve öt további országot old fel.

A kémprogram egy rakás programból és fiókból képes adatokat kinyerni, megjegyzi a böngészési előzményeket és a jelszavakat, bekapcsolja a mikrofont és a webkamerát, és képernyőképeket is tud készíteni. Ha a kuncsaft még többet fizet, a cég állítása szerint még az olyan alkalmazások sem jelentenek problémát neki, mint a titkosított Signal – bár feltehetően nem magát az alkalmazást töri fel, hanem a kompromittált telefonról fér hozzá az adataihoz –, sőt további 1,5 millió euróért még arra is képessé válik, hogy bármilyen parancsot vagy programot futtasson a fertőzött eszközön.

Egy korábbi alkalmazott által indított per alapján Európában, a korábbi Szovjetunióhoz tartozó országokban, a Perzsa-öbölben, Ázsiában és Latin-Amerikában is vannak ügyfelei az izraeli cégnek. Az elmúlt években konkrét országok is felmerültek, egy 2019-es előadásban Üzbegisztánt, Szaúd-Arábiát és az Egyesült Arab Emírségeket említették név szerint, az Intelligence Online egyik, 2019-es jelentésében Szingapúrról esett szó, egy 2020-as jelentésben pedig Katar merült fel, bár csak a befektetési vonalon.

Üzbegisztánnal egyébként aligha lehetnek boldogok a cégnél, az ottani titkosszolgálat ugyanis saját magát buktatta le azzal, hogy egy internethez csatlakoztatott gépen próbálgatták a kémprogramot különféle vírusirtók ellen.

A Citizen Lab viszont nem innen szerezte meg most a programot, hanem egy politikailag aktív nyugat-európai illető számítógépéről, amely a gyanújuknak megfelelően valóban fertőzött volt. A kémprogram vizsgálata még nem fejeződött be, de már így is elég sok mindent kiderítettek róla – mi ebbe most nem mennénk bele, de ha valakit érdekel a technikai háttér, az ide kattintva végig tudja olvasni a kanadaiak eddigi összes megállapítását.

Úgy néz ki, már megint van magyar szál

Azt viszont mindenképpen érdemes kiemelni, hogy a Citizen Lab vizsgálatot végzett arra vonatkozóan is, hogy mely weboldalak azok, amelyeket a Candiru, illetve az ügyfelei használnak, és arra jutottak, hogy legalább 764 olyan domain van, amelyről elég magabiztosan ki tudják jelenteni, hogy ebbe a körbe tartozik. A domainnevek alapján Ázsia, Európa, a Közel-Kelet és Észak-Amerika kiemelt figyelmet élvez, de többek közt Szaúd-Arábiából, Izraelből, az Egyesült Arab Emírségekből, Indonéziából és Magyarországról is irányítanak ilyen rendszereket.

A magyar szálnál érdemes feleleveníteni pár hasonló esetet, ezekből ugyanis nem egy volt az elmúlt években. Az ugyancsak izraeli Black Cube például egy máig ismeretlen, ám valószínűleg a magyar kormányhoz közel álló ügyfél megbízásából civil szervezeteket próbált titkosszolgálati módszerekkel csőbe húzni és lejáratni. Az olasz Hacking Team 2015-ös meghekkelésekor is derültek ki érdekességek,

például az, hogy egy fedőcégen keresztül Magyarország is az ügyfelük volt, de még a Magyar Telekom is kapcsolatban állt velük.

Ahogy azt a Microsoft kiemelte, a Candiru kémprogramjával több mint száz áldozat ellen intéztek támadást, az érintettek pedig jellemzően a civil társadalom tagjai közül kerültek ki. Az eleve aggasztó, hogy az erre fogékony kormányok ilyen célokra használják fel a kémprogramot, a Citizen Lab szerinte azonban hasonlóan problémás az is, hogy a Candiruhoz köthető domainek sokszor emberi jogi, nőjogi, egészségügyi szervezeteknek, társadalmi mozgalmaknak vagy híroldalaknak adják ki magukat. Mint írták, azt egyelőre nem tudni, hogy ezeknek pontosan milyen szerepük van, de már a puszta jelenlétük az infrastruktúrában is extra aggodalomra adhat okot.