Az első bombát a Microsoft és a Torontói Egyetem Citizen Lab kiberbiztonsági kutatóinak csapata robbantotta, akik nyilvánosságra hozták, hogy a világ 10 országában valakik közel 100 aktivistát, újságírót és disszidenst figyeltek meg a Candiru névre hallgató, izraeli cég által gyártott kémprogrammal.
A kiberbűnözők a hagyományosnak mondható nulladik napi Windows sebezhetőségekre építve telepíthették az ártalmas kódot, név szerint az izraeli Candiru cég által készített kémprogramot többek között Magyarországon, Izraelben, Indonéziában, Szaúd-Arábiában és még számos más országban. Cristin Goodwin, a Microsoft digitális biztonsági részlegének vezérigazgatója szerint a kémprogramot
"precíziós támadásokra használták, a célszemélyek számítógépei, telefonjai, hálózati infrastruktúrája és az internethez csatlakozó eszközei ellen.”
A támadássorozatot elsőként a Citizen Lab kutatói fedezték fel, akik azonnal szóltak a Microsoftnak, és a nagyvállalat hetekig elemezte amit találtak. Ezek után július 13-án javításokat adtak ki a Candiru programja által használt belépési pontokként szolgáló Windows-sebezhetőségekre. A Microsoft egy „izraeli székhelyű, magánszektorban tevékenykedő támadó szereplőre” hivatkozik, amelyet valamiért "Sourgumnak" nevez.
A Candiru, avagy vámpírhal egy olyan angolnához hasonló parazita életmódot folytató harcsaféle, ami az Amazonas folyóban él és állítólag képes az ember húgycsövén felúszva majd abban rövid tüskéivel megtapadva vért szívni. A tudósok között nincs teljes egyetértés ennek valóságtartalmáról, azzal együtt, hogy 1997-ben két órás műtéttel távolítottak el egy ilyen halat egy 23 éves férfi húgycsövéből.
Candiru
A megfigyelőprogram irányítói állítólag politikusokat és emberi jogi aktivistákat is megfigyeltek, de sem a Microsoft, sem a Citizen Lab nem tett közzé neveket. John Scott-Railton, az utóbbi vezető kutatója elmondta:
"a Candiru-kutatás azt mutatja, hogy egész ökoszisztémát árulnak az autoriter rezsimek számára. A Candiruhoz hasonló eszközök a félelem exportjának eszközei."
A Citizen Lab betekintést nyújtott a titkosszolgálati eszközök árazásába is. Az izraeli gyártó 16 millió euróért (5 milliárd 760 millió forint) adja a Candirut korlátlan számú eszköz megfigyelésére, de így egyidejűleg csak 10 eszközt engednek megfigyelni. További 1,5 millió euróért (540 millió forint) további 15 ember privát szféráját függeszthetik fel tetszés szerint.
A Haaretz izraeli lap úgy tudja, hogy a Candiru Európában, Oroszországban, a Közel-Keleten, Ázsiában és Latin-Amerikában is aktív. A Citizen Lab ezt a listát Üzbegisztánnal, Szaúd-Arábiával, az Egyesült Arab Emírségekkel, Szingapúrral és Katarral egészítette ki. Hozzátették azt is, hogy a Candirut - dacára borsos árának - csak előre egyeztetett országokban használhatják a vásárlók, melyet szerződésekben szabályoznak. Az Egyesült Államok, Oroszország, Kína, Izrael és Irán tiltott területnek számítanak. A Microsoft ugyanakkor a közelmúltban olyan Candiru tevékenységről számolt be, amit Iránban észleltek.
Nemhogy el sem ült az első botrány bombájának füstje, de szinte még fel sem szállt, a repeszek még csupán a levegőben repültek a céljaik felé, amikor felrobbant a második is.
A francia Forbidden Stories nonprofit újságíró-szervezet által vezetett Pegasus-projekt ugyanis bejelentette, hogy Magyarország vastagon érintett egy másik izraeli vállalat, az NSO Group Ltd. Pegasus kémprogramjainak felhasználásával végzett újabb megfigyelési ügyben is.
Ez a szervezet éppen azt csinálja, mint a Candiru, kémprogramokat ad el olyan kormányoknak, melyek újságírókat és aktivistákat figyelnek meg velük. Az NSO saját megfogalmazásában a megfigyelt emberek mind terroristák és a közrend ellenségei, bár az nem derül ki, hogy ezt hogyan ellenőrzik.
A Pegasus kémprogrammal távolról és észrevétlenül fel lehet törni az iOS-t vagy Androidot futtató mobil eszközöket, olyan megoldásokkal, amik a gyártók és fejlesztők előtt is ismeretlenek. Ha ez megtörtént, már gyakorlatilag bármit megtehetnek, rögzíthetik a beszélgetéseket bármilyen csevegőszoftverrel is történjenek, illetve tetszés szerint bekapcsolhatják a készülék mikrofonját. Az NSO megfigyelési ügyben érintettek több esetben törvényszéki elemzéssel voltak képesek igazolni a készülékekbe történt behatolásokat.
A Pegasust 2016 augusztusában azonosították először egy emberjogi aktivista iPhone-ján. A Kaspersky Lab 2017-es jelentése szerint: „A Pegasus moduláris malware (kártékony szoftver). Miután leszkenneli a célszemély eszközét, telepíti a szükséges modulokat, amelyeket az illető üzeneteinek és leveleinek elolvasására, a hívások lehallgatására, képernyőfotók készítésére, billentyűzetfigyelésre, a böngészési előzmények és a kontaktlista kinyerésére, és hasonló tevékenységekre használnak. Gyakorlatilag a célszemély életének minden aspektusát kifürkészhetik vele.”
Ez a verzió még csak a spearfishing metódust használta, ami az ártó kódot tartalmazó linkre kattintó felhasználó közreműködésével fertőzte meg a készüléket. Az újabb változatok már az úgynevezett zero-click attackra is képesek (ennél kattintani sem kell semmin), és elegendő egy nem is fogadott WhatsApp hívás a megfertőződéshez. A szoftver kontrollja annyira teljes, hogy a saját nyomait is képes eltüntetni.
A Pegasust nem ismerik fel az antivírus-szoftverek, és távolról is eltávolíthatja az aki telepítette. Nem is a telefon adattárolójában, hanem az átmeneti memóriában fut, ami kikapcsolás után törlődik. Akad olyan kiberbiztonsági szakértő is, aki szerint az egyetlen megoldás a fertőzött telefon eldobása, mivel még a gyári helyreállítás sem oldja meg a problémát.
A kiszivárgott adatokban, az 50 ezer telefonszám között több mint 300 magyar érintett is szerepelt, köztük tíz magyar ügyvéd, egy ellenzéki politikus és öt újságíró, akik valószínűleg nemzetbiztonsági vagy bűnügyi nyomozás célpontjai voltak.
Direkt36-nál dolgozó Panyi Szabolcs magában a bombát robbantó Pegasus-projektben is dolgozott, mobiltelefonján pedig az Amnesty International végzett igazságügyi elemzést. A szervezet állítása szerint meggyőző bizonyítékokat találtak arra, hogy a Pegasus kémszoftvert többször futtatták rajta 2019-ben, összesen 11 alkalommal egy-két nappal azt követően, hogy az újságíró kérdéseket tett fel a magyar kormánynak.
Megcélzás: A behatolást indító személy elküldi az úgynevezett csapda linket egy okostelefonra, mely igyekszik rávenni az áldozatot, hogy klikkeljen rá vagy érintse meg és ezzel aktiválja. Esetleg bármilyen akció nélkül, a legkifinomultabb, kattintás nélküli módszerrel aktiválódik a kémszoftver.
Megfertőzés: A kémprogramok rögzítik és lemásolják a telefon legalapvetőbb funkcióit, ezt az NSO marketing anyagai is bemutatják. Rögzítés a kamerákról és mikrofonról, helyadatok, hívásnaplók és névjegyek gyűjtése, mindez lehetségessé válik.
Megfigyelés: A telepített kémszoftver titokban feltölti az összes megszerzett adatot egy szerverre, az elkövető pedig felhasználhatja azt az áldozat életvitelének és kapcsolatrendszerének feltérképezésére.
Az arcvesztés hatalmas kockázata miatt az NSO is kénytelen volt megszólalni az ügyben, és tagadták, hogy összefüggés lenne a telefonlista és a technológiájuk között. Kijelentették, hogy cégük „nem működteti azokat a rendszereket, amelyeket ellenőrzött kormányzati ügyfeleknek ad el, és nem fér hozzá ügyfelei célpontjainak adataihoz”.
Salev Hulio, az NSO vezérigazgatója a The Washington Postnak úgy nyilatkozott, hogy a történtek nyugtalanítóak. "A rendszerrel való visszaélés minden állítása engem érint. Megsérti az ügyfelek iránti bizalmat. Minden állítást kivizsgálunk ... és ha kiderül, hogy igaz, akkor határozottan fellépünk" - mondta. Az NSO egyik volt alkalmazottja névtelenséget kérve megerősítette, hogy a magyar kormány az ügyfelük.
Szijjártó Péter külügyminiszter egy mai sajtótájékoztatón a Pegasus-botrányról a következőket nyilatkozta a Telexnek: „Erről a vélelmezett vagy állítólagos adatgyűjtésről semmilyen információval nem rendelkezem.” Hozzátette azt is, hogy az általa felügyelt Információs Hivatal vezetője szerint ebben az ügyben nem folytattak együttműködést sem az izraeli, sem más szolgálatokkal, a szóban forgó szoftvert nem használják, rá vonatkozó megállapodást nem kötöttek.
„Magyarországon, mint minden rendezett alkotmányos jogállamban, a titkosszolgálati tevékenység el van választva a politikától” - nyilatkozta ma Varga Judit igazságügyi miniszter az MTI-nek, Pintér Sándor belügyminiszter pedig úgy kommentálta a dolgot, hogy "2010. május 29. óta a magyar nemzetbiztonsági szolgálatok illegális megfigyelést nem folytattak és nem folytatnak."
Az ügy magyar érintettjei között eddig nevesítették Bánáti Jánost, az ügyvédi kamara elnökét, Nagy Ajtony Csabát, Simicska Lajos egykori oligarcha ügyvédjét, Gémesi György gödöllői polgármestert, Panyi Szabolcsot és Szabó Andrást a Direkt36 két munkatársát, Varga Zoltánt, a Centrál Médiacsoport tulajdonosát, Chikán Attilát, az első Orbán-kormány gazdasági miniszterét, Simicska Lajos egykori oligarcha fiát és egyik legközelebbi bizalmasát, valamint a CEU egyik külföldi diákját, Adrien Beauduint.
(Forrás: WP, Direkt36, Bloomberg, Telex, Qubit Wikipédia Kép: Pixabay)