(Forrás: Panyi Szabolcs, Facebook) Egy friss nemzetközi kiberbiztonsági jelentés szerint Magyarország is nagy valószínűséggel szerepel a világ egyik legfejlettebb kémprogramja, a Windows-os eszközöket támadó DevilsTongue aktív felhasználói között. A szoftvert az izraeli Candiru fejleszti, és hivatalosan csak kormányzati ügyfeleknek értékesíti. (A DevilsTongue nem a valódi neve az eszköznek – utóbbit nem igazán tudjuk –, hanem a kémszoftver működésének korábbi felfedezésekor és leírásakor a Microsoft kutatói nevezték azt így el.)
Az Inskit Group kutatói most több aktív infrastruktúrát is azonosítottak, amely a kártevő terjesztésére alkalmas – köztük egyet, amelyet nagy valószínűséggel magyar megrendelő irányít. A Candiru kémszoftverének magyar használatáról már korábban is jelentek meg hírek. A kanadai Citizen Lab kutatói 2021-2023 között szintén azonosítottak magyarországi Candiru-nyomokat, 2024-ben pedig Daniel Freund, egy Orbán-kritikus német zöldpárti politikus állt a nyilvánosság elé gyanújával, miszerint Magyarország próbálta feltörni a számítógépét a Candiru segítségével.
Panyi Szabolcs röviden összefoglalta a friss jelentés lényegét: az egyes klaszterként („Cluster 1”) jelölt infrastruktúra legalább 2019 óta aktív, és egy magyarországi statikus IP-címen keresztül, valamint külföldi virtuális szerverek közbeiktatásával működik. Ez az IP-tartomány már korábban is feltűnt egy másik (a jelentésben meg nem nevezett) kémprogram telepítésével összefüggésben, és kapcsolatban áll a Candiruhoz nagy valószínűséggel köthető infrastruktúrával. Az elmúlt tizenkét hónapban az Insikt Group több, áldozatokkal közvetlen kapcsolatban álló szervert azonosított, amelyek az 1-es (vagyis magyarországi felhasználó által működtetett) klaszterhez köthetők, és amelyek közül sok még a jelen jelentés készítésekor is aktív volt. Röviden: a Candiru kémszoftverét 2019-től jó eséllyel napjainkig használja Magyarország.
A DevilsTongue nem hétköznapi kémszoftver: moduláris felépítésű, Windows rendszeren fut, és képes elrejtőzni a számítógép legmélyebb rétegeiben, ahol már az operációs rendszer alapfolyamatai zajlanak. Láthatatlanul térképezi fel a teljes gépet, lemásolja a rajta lévő adatokat, megszerzi a böngészőkben tárolt jelszavakat, előzményeket, sütiket, és hozzáfér a titkosított üzenetküldő alkalmazások – például a Signal asztali változata – teljes üzenetarchívumához.
A támadók ezekkel az adatokkal úgy tudnak belépni a célpont fiókjaiba, mintha maguk lennének a felhasználók. A kód úgy van megírva, hogy a memóriában fusson, ezzel is nehezítve a nyomok felfedezését, és a rendszer újraindítása után is aktív maradjon. A program egyik legveszélyesebb funkciója a „remote shell”, amellyel a támadó teljes hozzáférést kap a fertőzött géphez: nemcsak adatokat tölthet le, hanem új fájlokat is feltölthet, akár olyat is, ami később terhelő bizonyítékként használható az áldozat ellen. A DevilsTongue valós időben képes figyelni a felhasználó tevékenységét, jelszavakat lopni és részletes naplókat készíteni minden mozzanatról. A bejutási módszerek között szerepel személyre szabott adathalász e-mail, fertőzött Word- vagy PDF-fájl, feltört weboldalak vagy akár hirdetéseken keresztüli, láthatatlan telepítés is.
A Candiru árképzése is sokatmondó: egy korábbi, nyilvánosságra került ajánlat szerint az alapcsomag 16 millió euró (kb. 6,3 milliárd forint) 10 célpont megfigyelésére, a bővítések és extra funkciók viszont további milliókba kerülnek. Az ügyfelek további 1,5 millió euróért még 15 eszköz megfigyelésére kapnak lehetőséget, valamint engedélyt egy újabb ország területén való alkalmazásra; 5,5 millió euróért pedig további 25 eszköz megfigyelését és öt újabb országban való működést biztosítanak számukra. Egy másik, 1,5 millió eurós frissítés pedig a fent említett „remote shell” funkciót teszi elérhetővé, amely teljes hozzáférést biztosít a megfertőzött eszközökhöz – és lehetőséget ad fájlok feltöltésére vagy akár terhelő tartalmak elhelyezésére is.
A jelentés szerint a szoftver használatát ugyan földrajzilag korlátozzák, de a kutatók több alkalommal is bizonyították, hogy ezeket a korlátozásokat a gyakorlatban átlépték. És hogy kik lehetnek a potenciális célpontok? A jelentés szerint a telepítésenkénti magas költség miatt különösen veszélyeztetettek azok a személyek, akik magas hírszerzési értékkel bírnak: például politikusok, üzleti vezetők vagy más, érzékeny pozícióban dolgozó személyek.
A Candiru lehetséges magyarországi használata 2024-ben került reflektorfénybe, amikor Daniel Freund, a Zöldek német EP-képviselője – Orbán Viktor egyik legélesebb kritikusa – célzott adathalász-támadásról számolt be. Egy ukrán diáklány nevében kapott meghívót egy nem létező szemináriumra, a mellékelt link pedig nagy valószínűséggel a Candiru kártevőjét próbálta telepíteni. Freund szerint a támadás mögött Magyarország állhatott.
A Candiru kémszoftverét természetesen nem csak a magyar kormány használhatja. Az Insikt Group kutatói összesen nyolc különálló klasztert azonosítottak. Öt esetében nagy valószínűséggel megállapítható, hogy jelenleg is aktívak – ide tartoznak a Magyarországhoz és Szaúd-Arábiához köthető klaszterek. Egy további klaszter, amely nagy valószínűséggel egy indonéziai ügyfélhez kapcsolódik, 2024 novemberéig működött, míg két, Azerbajdzsánhoz köthető klaszter státusza (hogy vajon még aktív-e) bizonytalan.
Nem meglepő módon nagy átfedés van a most felfedezett Candiru-felhasználók és a Pegasus izraeli kémszoftver egykori felhasználói között – a 2021-es Pegasus Projekt nemzetközi nyomozás, melyben a Direkt36 vett rész Magyarországról, a szaúdi, azeri és magyar kémszoftveres megfigyelésekről is számtalan cikket közölt.
https://www.facebook.com/panyiszabolcs/posts/pfbid02U6GaMR5x8rvk9c491p4GiJ6bDbbvhT1iY4ENWkfqnXGKycmL7DjYTtxRdAosww2Al
A kép egy másik kémszoftver bevetéséhez kapcsolódik, akkor újságírók ellen is használták
