Újabb izraeli kémszoftver a magyar kormány birtokában

Panyi Szabolcs jelezte mai Facebook-posztjában, hogy egy új nemzetközi kiberbiztonsági jelentés szerint Magyarország is aktív felhasználója lehet a Candiru izraeli cég által fejlesztett DevilsTongue nevű, Windows-alapú kémprogramnak, amelyet hivatalosan csak állami szereplők vásárolhatnak meg. A kémszoftver rendkívül fejlett: képes teljes hozzáférést szerezni a célpont gépéhez, elrejti magát a rendszer mélyén, jelszavakat, titkosított üzeneteket, adatokat gyűjt, és akár terhelő bizonyítékokat is feltölthet az eszközre.

A kutatást végző Insikt Group azonosított egy magyarországi klasztert is (Cluster 1), amely 2019 óta aktív lehet, és jelenleg is működő szerverek kapcsolódnak hozzá. Ezt a hálózatot külföldi virtuális szervereken keresztül, de magyar IP-címről is működtetik. A jelentés alapján Magyarország tehát legalább 2019 óta használhatja a Candiru szoftvert.

A szoftver ára is árulkodó: az alapcsomag 16 millió euró, míg a legfejlettebb, teljes hozzáférést adó funkció (remote shell) további 1,5 millió euróba kerül.

Korábban is voltak már jelek a magyar felhasználásra: – A Citizen Lab kutatói 2021–2023 között észleltek magyar aktivitást. – Daniel Freund, zöldpárti német EP-képviselő számolt be 2024-ben egy célzott támadásról, amely mögött magyar állami szereplőt sejt.

A jelentés összesen nyolc klasztert említ, ezek közül öt aktív, köztük a magyar és szaúdi klaszter. A Candiru és a korábbi Pegasus-botrány felhasználói között számos átfedés van – Magyarország mindkettőben érintett lehetett.

Panyi Szabolcs posztjának teljes szövege:

Egy friss nemzetközi kiberbiztonsági jelentés szerint Magyarország is nagy valószínűséggel szerepel a világ egyik legfejlettebb kémprogramja, a Windows-os eszközöket támadó DevilsTongue aktív felhasználói között. A szoftvert az izraeli Candiru fejleszti, és hivatalosan csak kormányzati ügyfeleknek értékesíti. (A DevilsTongue nem a valódi neve az eszköznek – utóbbit nem igazán tudjuk –, hanem a kémszoftver működésének korábbi felfedezésekor és leírásakor a Microsoft kutatói nevezték azt így el.)

Az Inskit Group kutatói most több aktív infrastruktúrát is azonosítottak, amely a kártevő terjesztésére alkalmas – köztük egyet, amelyet nagy valószínűséggel magyar megrendelő irányít. A Candiru kémszoftverének magyar használatáról már korábban is jelentek meg hírek. A kanadai Citizen Lab kutatói 2021-2023 között szintén azonosítottak magyarországi Candiru-nyomokat, 2024-ben pedig Daniel Freund, egy Orbán-kritikus német zöldpárti politikus állt a nyilvánosság elé gyanújával, miszerint Magyarország próbálta feltörni a számítógépét a Candiru segítségével. (A fotókon ő szerepel Orbán Viktorral a háttérben, illetve Hadházy Ákos mellett Hatvanpusztán.)

Röviden összefoglalom a friss jelentés lényegét, és előre is elnézést kérek az IT-szakértő követőimtől az esetleges pongyola fogalmazásokért, én bevallottan bölcsész vagyok!

Szóval: az egyes klaszterként („Cluster 1”) jelölt infrastruktúra legalább 2019 óta aktív, és egy magyarországi statikus IP-címen keresztül, valamint külföldi virtuális szerverek közbeiktatásával működik. Ez az IP-tartomány már korábban is feltűnt egy másik (a jelentésben meg nem nevezett) kémprogram telepítésével összefüggésben, és kapcsolatban áll a Candiruhoz nagy valószínűséggel köthető infrastruktúrával. Az elmúlt tizenkét hónapban az Insikt Group több, áldozatokkal közvetlen kapcsolatban álló szervert azonosított, amelyek az 1-es (vagyis magyarországi felhasználó által működtetett) klaszterhez köthetők, és amelyek közül sok még a jelen jelentés készítésekor is aktív volt. Röviden: a Candiru kémszoftverét 2019-tól jó eséllyel napjainkig használja Magyarország.

A DevilsTongue nem hétköznapi kémszoftver: moduláris felépítésű, Windows rendszeren fut, és képes elrejtőzni a számítógép legmélyebb rétegeiben, ahol már az operációs rendszer alapfolyamatai zajlanak. Láthatatlanul térképezi fel a teljes gépet, lemásolja a rajta lévő adatokat, megszerzi a böngészőkben tárolt jelszavakat, előzményeket, sütiket, és hozzáfér a titkosított üzenetküldő alkalmazások – például a Signal asztali változata – teljes üzenetarchívumához. A támadók ezekkel az adatokkal úgy tudnak belépni a célpont fiókjaiba, mintha maguk lennének a felhasználók. A kód úgy van megírva, hogy a memóriában fusson, ezzel is nehezítve a nyomok felfedezését, és a rendszer újraindítása után is aktív maradjon.

A program egyik legveszélyesebb funkciója a „remote shell”, amellyel a támadó teljes hozzáférést kap a fertőzött géphez: nemcsak adatokat tölthet le, hanem új fájlokat is feltölthet, akár olyat is, ami később terhelő bizonyítékként használható az áldozat ellen. A DevilsTongue valós időben képes figyelni a felhasználó tevékenységét, jelszavakat lopni és részletes naplókat készíteni minden mozzanatról. A bejutási módszerek között szerepel személyre szabott adathalász e-mail, fertőzött Word- vagy PDF-fájl, feltört weboldalak vagy akár hirdetéseken keresztüli, láthatatlan telepítés is.

A Candiru árképzése is sokatmondó: egy korábbi, nyilvánosságra került ajánlat szerint az alapcsomag 16 millió euró (kb. 6,3 milliárd forint) 10 célpont megfigyelésére, a bővítések és extra funkciók viszont további milliókba kerülnek. Az ügyfelek további 1,5 millió euróért még 15 eszköz megfigyelésére kapnak lehetőséget, valamint engedélyt egy újabb ország területén való alkalmazásra; 5,5 millió euróért pedig további 25 eszköz megfigyelését és öt újabb országban való működést biztosítanak számukra. Egy másik, 1,5 millió eurós frissítés pedig a fent említett „remote shell” funkciót teszi elérhetővé, amely teljes hozzáférést biztosít a megfertőzött eszközökhöz – és lehetőséget ad fájlok feltöltésére vagy akár terhelő tartalmak elhelyezésére is.

A jelentés szerint a szoftver használatát ugyan földrajzilag korlátozzák, de a kutatók több alkalommal is bizonyították, hogy ezeket a korlátozásokat a gyakorlatban átlépték. És hogy kik lehetnek a potenciális célpontok? A jelentés szerint a telepítésenkénti magas költség miatt különösen veszélyeztetettek azok a személyek, akik magas hírszerzési értékkel bírnak: például politikusok, üzleti vezetők vagy más, érzékeny pozícióban dolgozó személyek.

A Candiru lehetséges magyarországi használata 2024-ben került reflektorfénybe, amikor Daniel Freund, a Zöldek német EP-képviselője – Orbán Viktor egyik legélesebb kritikusa – célzott adathalász-támadásról számolt be. Egy ukrán diáklány nevében kapott meghívót egy nem létező szemináriumra, a mellékelt link pedig nagy valószínűséggel a Candiru kártevőjét próbálta telepíteni. Freund szerint a támadás mögött Magyarország állhatott.

A Candiru kémszoftverét természetesen nem csak a magyar kormány használhatja. Az Insikt Group kutatói összesen nyolc különálló klasztert azonosítottak. Öt esetében nagy valószínűséggel megállapítható, hogy jelenleg is aktívak – ide tartoznak a Magyarországhoz és Szaúd-Arábiához köthető klaszterek. Egy további klaszter, amely nagy valószínűséggel egy indonéziai ügyfélhez kapcsolódik, 2024 novemberéig működött, míg két, Azerbajdzsánhoz köthető klaszter státusza (hogy vajon még aktív-e) bizonytalan.

Nem meglepő módon nagy átfedés van a most felfedezett Candiru-felhasználók és a Pegasus izraeli kémszoftver egykori felhasználói között – a 2021-es Pegasus Projekt nemzetközi nyomozás, melyben a Direkt36 vett rész Magyarországról, a szaúdi, azeri és magyar kémszoftveres megfigyelésekről is számtalan cikket közölt.

A Candiru eszközéről szóló jelentést, illetve a korábbi Pegasus Projekt magyarul megjelent cikkeit kommentben linkelem.

FORRÁSOK:

• Panyi Szabolcs posztja ITT OLVASHATÓ

• Insikt Group jelentése - rövid verzió

• Insikt Group jelentése - a teljes PDF