Jelenleg is aktív lehet Magyarországon egy izraeli kémszoftver, amit korábban is bevethetett a kormány

Emlékeznek még a Candiru nevű, kizárólag kormányzati partnerekkel dolgozó izraeli cégre, amelynek egyik kémprogramja négy éve Magyarországon is megjelent? Nem baj, ha nem, elvégre jóval titokzatosabb cégről van szó, mint a mindenkinek ismerős Pegasust gyártó NSO Group, de a magyar kormány a jelek szerint nem szeretné, hogy megfeledkezzenek róla. Egy néhány napja kiadott jelentés alapján ugyanis nálunk is megjelent a Candiru nagyon fejlett kémszoftvere, és a jelentést kiadó Insikt Group szerint

Magyarország egyike annak az öt országnak, ahol jelenleg is aktív a feltehetően a DevilsTongue néven ismert szoftverhez köthető infrastruktúra.

A Recorded Future nevű kiberbiztonsági cég alá tartozó csoport jelentéséről Panyi Szabolcs, a Direkt36 újságírója számolt be a Facebook-oldalán, a dokumentumot pedig kedden hozták nyilvánosságra. A kiberbiztonsági szakértők nyolc központot azonosítottak: Indonéziában 2024 novemberéig működött egy, Azerbajdzsánban kettőről is lehet tudni (ezek állapota nem ismert, mert az áldozatokkal nincsenek kapcsolatban). És van öt olyan, amely jelenleg is aktív, a szakértők szerint ezek közül egy Szaúd-Arábiában, egy másik Magyarországon működik.

A nyolc központ mindegyike a DevilsTongue-hoz köthető, vagy annak bevetésénél és irányításánál használják, vagy pedig átfogóan segítik a Candiru operátorainak munkáját. A DevilsTongue egy főként windowsos környezetre specializálódott, nagyon sokrétű kémszoftver, amelynek képességeit azóta lehet ismerni, hogy négy éve a Citizen Lab és a Microsoft is részletes jelentésben számolt be róla, az izraeli Marker pedig egy kiszivárgott termékbemutatót tett közzé róla. Az már akkor is felmerült, hogy a szoftver Magyarországon is jelen lehet.

DevilsTongue-ot több módon is célba lehet juttatni (fertőzött linkek és fájlok, közbeékelődéses támadások és a szóban forgó eszközök fizikai megfertőzése is játszhat). A Candiru a versenytársaihoz hasonlóan az egyidejű fertőzések mennyisége alapján határozza meg az árat a szolgáltatásáért, de olyan extrákért is lehet fizetni, mint parancsok vagy programok futtatása a fertőzött eszközön. Az alapcsomag, amellyel egyszerre 10 eszközt lehetett megfigyelni, 2021-ben 16 millió euróba (akkori árfolyamon durván 5,75 milliárd forintba) került.

Az Insikt Group hangsúlyozta, a kémszoftver az elmúlt négy évben valószínűleg fejlődött is, és bár erről azóta nincs infó, az biztos, hogy azóta is többször merült fel a Candiru neve. Az Egyesült Államok 2021 novemberében feketelistára tette a céget, 2022-ben pedig megint csak a Citizen Lab számolt be arról, hogy a spanyol kormány a katalán függetlenségi mozgalom tagjai ellen vetette be a kémszoftvert. Idén aztán a Candiru azzal került be a hírekbe, hogy az amerikai Integrity Partners felvásárolta, majd át is strukturálta, vélhetően nem függetlenül az amerikai szankcióktól.

Tavaly nyáron ismét felmerült egy potenciális magyar szál is az izraeli céggel kapcsolatban, miután Daniel Freund német zöldpárti európai parlamenti képviselő arról számolt be a Politicónak, hogy kémszoftvert akartak telepíteni a telefonjára két héttel az EP-választások előtt. Freund május 27-én kapott egy üzenetet egy magát a Kijevi Nemzetközi Egyetem egyik hallgatójának mondó illetőtől, aki állítása szerint Ukrajna uniós csatlakozásáról akart egy rövid szöveget kérni. Ezt egy linkre kattintva küldhette volna el Freund, de időben figyelmeztették, hogy az egy kártevőt tartalmaz.

Az nem derült ki, hogy ki állhatott a támadás mögött, Freund azonban a Politicónak arról beszélt, szerinte nem lehet kizárni, hogy a magyar kormány volt, amiért korábban megpróbálta elérni, hogy függesszék fel Magyarország uniós elnökségét. Akármi is történt, az biztos, hogy amint arra az Insikt Group is rámutatott, az ilyen kémszoftverek használata belföldön és külföldön is komoly kockázatokat hordoz, ha nem terrorelhárításra vagy bűnüldözésre alkalmazzák őket. A Candiru ráadásul aktívan igyekszik elkerülni a rá kivetett szankciókat, és

bár a korábban kiszivárgott termékismertető alapján hivatalosan több ország tiltja a szoftver használatát, ezekben (például Iránban és Izraelben) is észleltek már így végrehajtott támadásokat.

Arról, hogy pontosan mi az a Candiru, mit tud a kémszoftverük, és milyen implikációi lehetnek a magyar szálnak, korábban ebben a cikkben írtunk részletesen. A 2021-ben a Candiruval együtt amerikai feketelistára tett izraeli NSO Grouppal, amelynek ügyfélköre viszonylag nagy átfedésben van a Candiruéval, legutóbb ebben a cikkben foglalkoztunk részletesen, az internetes reklámokba beférkőző kémprogramokat gyártó izraeli kibercégekkel pedig itt foglalkoztunk.