Tíz ország legalább száz aktivistáját, újságíróját, ellenzéki politikusát figyelhették meg a Candiru nevű izraeli szoftvercég kémprogramjával, írta a Bloomberg a Torontói Egyetemen működő Citizen Lab kiberbiztonsági kutatóintézet egy tanulmányára hivatkozva.
A tanulmány szerint a cég kémprogramjai a Windows sebezhetőségeit használják ki számtalan támadási vektoron keresztül. A Citizen Lab riasztotta is a Microsoftot, a gyáeró pedig egy tegnapi blogbejegyzése szerint javította is a feltárt sérülékenységeket.
Átláthatatlan cég, átláthatatlan termék
A kanadai kutatók tanulmánya a technikai leíráson túl kevés konkrétummal szolgál. A rejtélyes céget először a Haaretz mutatta be mint az egyik legtitkosabb izraeli kiberfegyvergyártót, amelynek működését jól jellemzi, hogy 2014-es alapítása óta már az ötödik cégnéven fut. Candiruként alapították, majd 2017-ben DF Associates, 2018-ban Grindavik Solutions, 2019-ben Taveta, tavaly pedig Saito Tech névre keresztelték. Nincs honlapja, tevékenységére csak kiszivárgott dokumentumokból lehet következtetni, az ügyfeleiről pedig szinte semmit sem tudunk.
Évek alatt, sokszor csak közvetett információkból lehetett összerakni például azt is, hogy a társaságnak többek között Szaúd-Arábiában, az Egyesült Arab Emirátusokban, Izraelben, Üzbegisztánban, Indonéziában, illetve Európában is vannak ügyfelei. A kanadai kutatók internetes szkennelés alapján feltételezik, hogy Magyarországról is használják a Candiru kémprogramjait, amelyekkel számítógépeket, telefonokat, hálózati infrastruktúrákat és internethez csatlakoztatott eszközöket lehet észrevétlenül lehallgatni.
Hogy pontosan kik és kik ellen alkalmazták, arról a Citizen Lab csak általánosságban írt: sok esetben használták politikusok és emberjogi aktivisták megfigyelésére. A működési mechanizmust egy Nyugat-Európában élő, politikailag aktív személy segítségével sikerült felgöngyölíteni (az elemzésben ez a legkonkrétabb adat a megfigyeltekre vonatkozóan), akinek a számítógépén találtak egy a Candiru-hoz köthető kémprogramot, amelyet végül sikerült visszafejteni.
Ezzel kémkedni nem olcsó mulatság
A szóban forgó kémeszközök nem kispályásoknak készültek. A tanulmányban bemutatnak egy olyan ajánlatot, amely szerint az ügyfélnek 16 millió eurójába kerül egy korlátlan számú kémprogram-fertőzési kísérletet lehetővé tévő rendszer. Ezzel egy időben maximum 10 eszközt lehet figyelni, további 15 eszköz megfigyelését plusz 1,5 millió euróért számítják meg.
Ez azonban csak egyetlen országra érvényes licenc: egy újabb 5,5 millió eurós kiegészítéssel már öt további országban és újabb 25 eszköz megfigyelésére alkalmazható a kémprogram. A licencszerződésekben van állítólag területei megkötés, nem alkalmazható például az USA-ban, Oroszországban, Kínában, Iránban és Izraelben, de a Microsoft állítása szerint megtalálta a kémprogramok nyomait Iránban is.
A megfigyeltek körére a targetáló infrastruktúra is utal. Több mint 750 olyan megtévesztő domaint találtak, ami a Candiruhoz köthető. Az oldalak egy része civil szervezetek oldalaira hasonlít (Amnesty International, Black Lives Matter mozgalom), de találtak olyan domaineket is, amelyek ismert médiaoldalak (CNN, Deutsche Welle), nemzetközi szervezetek (ENSZ, WHO) vagy politikai mozgalmak, közösségi oldalak webhelyének álcázták magukat.
Van köze az NSO-hoz
A Bloomberg szerint elég közel állhat egymáshoz a Candiru és az NSO Group, amely több korábbi, súlyos hekkertámadással is hírbe hozott Pegasus kémszoftvert fejleszti. (Egy esetben az Apple iOS, egy esetben pedig a WhatsApp sérülékenységén keresztül támadtak.) A legszorosabb kapocs Isaac Zack, aki az NSO alapítója, de ott ül a Candiru vezetőségében is. Az összefonódás azért érdekes, mert mindkét cég esetében felmerült a gyanú, hogy autoriter kormányzatoknak adják el kémeszközeiket. Az NSO válaszul nyilvánosságra hozta például annak az ötvenöt országnak a listáját, ahová nem adnak el kémprogramot.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak