Magyarországról is dolgozott egy aktivisták és újságírók ellen illegálisan kémkedő, izraeli hekkercég

A Candiru nevű cég a Microsoft és a torontói Citizenlab digitális elemzése szerint erősen jelen van Magyarországon is, magyar áldozat azonban nem ismert.

Az izraeli fejlesztésű Vámpírhal (Candiru) a Microsoft operációs rendszerek egyik július 13-án felszámolt gyengeségét kihasználva célzott megfigyelést hajtott végre világszerte politikai aktivistákon, újságírókon és NGO-k munkatársain, miután a szoftver egy másik weboldalnak kiadva magát hozzáférést szerzett a telefonjaikhoz és számítógépeikhez.

A candiru egyébként egy apró, amazonasi harcsaféle, a vámpírhal helyi elnevezése, ez népszerű mítoszok szerint előszeretettel telepszik meg az emberek genitáliáin, és meg is eszik azokat, amúgy pedig a piranháknál is veszélyesebbnek tartják.

A torontói CitizenLab, mint az a Microsoft biztonsági központjával együttműködve most felfedte, az azonos nevű, izraeli cég által fejlesztett kémporgramnak világszerte legalább száz, főleg a politikai baloldalhoz és emberi jogi ügyekhez köthető áldozata volt. A  kémprogram a Windows operációs rendszerének egy hibáját kihasználva,

a Microsoft adatai szerint Szaúd-Arábiában, Indonéziában Izraelben és Magyarországon működő operációs központokkal dolgozott,

bár az áldozatok között konkrétan magyar kötődésű személyt, vagy szervezetet egyik elemzés sem említ. Ellenben az eddig ismert áldozatok kizárólag politikai tevékenységet végző személyek és szervezetek Spanyolországban, az Egyesült Királyságban, Palesztinában, Törökországban, Örményországban, Jemenben, Iránban, Libanonban és Szingapúrban. A Telex és a Népszava állításával ellentétben azonban a Bloomberg cikke sehol nem ír arról, hogy magyarország a kémprogramból vásárolt volna, erre nézve semmiféle bizonyíték nem került még elő.

A domainek között azonosított magyarországi jelenlét tehát nem feltétlenül jelenti azt, hogy Magyarország is vásárolt ilyen kémprogramot, erre nézve dokumentumok sem ismertek, csupán annyit jelez, hogy a cég az ország területéről is végzett megfigyelést.

Noha a biztonsági rést most először a Microsoft fedezte fel, a CitizenLab elemzői szerint a Vámpírhal képes volt az Apple laptopjait és az iPhoneokat is megfertőzni csakúgy, mint az androidos telefonokat.

Az elemzők feltártak egy sor olyan, a Candiru központjainak munkatársai által működtetett internetes domainnevet, amelyek más ismert, balos és liberális szervezetnek, vagy éppen patinás nemzetközi újságnak adták ki magukat, így véve rá áldozataikat, hogy a linkekre kattintva telepítsék gépeikre a szoftvert: az áloldalak között szerepelt az amerikai Black Lives Matter egyik honlapjára hasonlító URL (blaklivesmatters.info), a Deutsche Wellét, Euronewst, CNN-t utánzó linkek, több palesztin emberi jogi szervezet linkje, vagy éppen genderelméleti tanszékek honlapjára utaló webcímek is (womanstudies.org, genderconference.org, satöbbi). De a végzetes link kívülről nézve kötődhetett például a Lenovóhoz, vagy Csehország területén egy kedvelt, kiszállításokat is végző élelmiszerlánchoz is.

Az elemzők szerint a kémprogramot használók tehát nem nemzetbiztonsági, sokkal inkább mind demokratikus, mind autoriter berendezkedésű országokban a disszidensek vagy egyesek számára kellemetlen politikai csoportok célzott és titkos megfigyelésére használták azokat.

Az elemzés egyik szerzője, John Scott-Railton a Bloombergnek kiemelte, „úgy tűnik, mostanra teljes technológiai ökoszisztéma épület ki autoriter politikai rezsimek kiszolgálására. Az olyan eszközök, mint például a Candiru pedig a megfélemlítés exportját segítik elő.”

A programot magát egy bonyolult cégháló mögé bújtatott izraeli startup fejlesztette ki, ők a Financial Times cikke szerint eddig kizárólag kormányokkal üzleteltek, nekik értékesítették a kémprogramot különböző árú csomagokban.

Illegális kémkedés, most akciósan, kizárólag kormányzatoknak

A CitizenLab azt is megemlíti, a kémprogrammal azonos nevű Candiru Ltd.-t 2014-ben jegyezték be Tel Avivban, elvileg a privát szektorban, ami mintegy felbérelhető „nemzetközi zsoldosként” nyújt szolgáltatásokat titkos internetes megfigyelés és követés céljából. Egyes híradások szerint csakúgy, mint számos ilyen izraeli startup, a Candiru is erősen támaszkodik az Izraeli Védelmi Erők 8200-as, jelhírszerző (SigInt) egységének veteránjaira, akik azután a hadsereg technológiai tudását is viszik magukkal az ilyen helyekre.

A társaság jelenleg Saito Tech Ltd. néven működik, de azelőtt Grindavik Solutions és Taveta néven is ismert volt. Az eddig nyilvánosan is ismert adatok szerint a nagyon hatékony kémprogramot gyártó társaság Üzbegisztán, Szaúd-Arábia, az Egyesült Arab Emírségek, Szingapúr és Katar felé értékesített, de ez persze csupán az ismertté vált ügyfelek listája.

Az viszont feltűnő, hogy a Candiru mindig az adott állam kormányának titkosszolgálatával, vagy éppen állami vagyonkezelő cégeivel üzletelt, privát cégekkel soha.

Egy, a cégtől kiszivárgott projekttervezet péládul 16 millió euróért 10 elektronikus eszköz párhuzamos, átfogó megfigyelését teszi lehetővé, további 1,5 millió euróba került a „Sherlock” fantázianevű megoldás, amivel a kémprogram Windowsra, iOS-re és Androidra is úgy települ föl, hogy a célszemélynek semmilyen linkre nem kell kattintania, és észre sem veszi az egészet, de az azt feltelepítők onnantól fogva minden üzenetéről, tevékenységéről, mozdulatáról értesülnek. DE további félmillió euróért biztosítanák azt is, hogy a kíváncsi titkosszolgálat az adott személy elvileg teljesen titkosított Signal-csevegőprogramban írt üzenetekhez is hozzáférhet, miután bejutott a rendszerbe.

Mindezeket korábban az izraeli Háárecnek kiszivárogtatott, titkos céges dokumentumokból is tudjuk, azok akkor még csak arról szóltak, hogy a Candirou nagyban üzletel az Izraellel akkor épp enyhülési folyamatba lépő arab öbölállamokkal is, a velük kötött szerződéseket küldte át valaki a hírportál szerkesztőségének.

A tervezet szerint a Candiru készítői az előzetes tervezeteben ugyan közlik, nem vállalják célszemélyek megfigyelését az Egyesült Államokban, Kínában, Oroszországban és Irán területén, de iráni célpont a CitizenLab elemzése szerint még így is volt a Candiru áldozatai között.

A CitizenLab munkatársai végül a kémprogram által hagyott nyomokban, egy szokványos e-mail titkosítási kódban (TLS) találtak egy, a Candiru dolgozói által védett hibát, itt szerepelt egyik munkatársuk céges emailje, innen visszafejtve azonosították be, melyik társaság célozta meg az aktivistákat, és pontosan honnan.

Magyarország kormánya korábban, 2018-ban már belekeveredett egy botrányba, amikor az ugyancsak izraeli, a Candiruhoz hasonló elven működő Black Cube elismerte, digitális eszközökkel kémkedtek magyar ellenzéki civilek után – ebben benne volt például a menekültsegítő Migration Aid egyik munkatársa, akit Bécsbe csaltak, hogy végül a médiában fel nem használt hangfelvételeket készítsenek róla. Azt viszont a Black Cube akkor cáfolta, hogy a magyarországi választásokat akarták volna befolyásolni.

NYITÓKÉP: Pixabay