Vasárnap éjjel óta hozzáférhetők az olasz Hacking Team cég szervereiről lelopott információk. Ez azért különösen érdekes/kínos/szenzációs, mert a Hacking Team egy olyan vállalkozás, amely saját bevallása szerint kormányzati szereplőknek szállít megfigyelési eszközöket illetve ad el szolgáltatásokat. Magyarul: a titkosszolgálatok beszállítója. A Hacking Team feltört szervereiről megszerzett 400 gigabájtnyi adat átböngészése elég időigényes, de egyik kedves kommentelőnk, a témában nagyon is jártas BitFigyelő már kibányászott az adatok közül kilenc, az Információs Hivatalnak (IH) illetve a Nemzetbiztonsági Szakszolgálatnak (NBSZ) kiállított számlát.

• Az Információs Hivatal (IH) Magyarország külföldi hírszerzése, itt dologznak azok, akiket a köznyelvben kémnek neveznénk;
• az NBSZ a magyar titkosszolgálatok technikai kiszolgálója, ők szolgáltatják a lehallgatást a megrendelőnek, legyen az az NBH, az IH, a katonai felderítés vagy akár a rendőrség.

Az eddig előkerült számlák közül az első kettőt 2010 végén, novemberben, illetve decemberben állították ki. Az elsőt az IH-nak, ez előfizetés egy ún. exploit portálra. A másik, NBSZ-nek kiállított számla a Hacking Team sztártermékének, a Remote Control Systemnek (RCS) az éves licenszdíja - ez utóbbit az NBSZ azóta évről évre meghosszabbította, a legutóbb 2014 novemberében fizették ki 2015 egészére a 64 000 eurós licenszdíjat.

A 2010 óta eltelt időben az NBSZ kétszer is upgrade-elte az RCS-t:

elsőként közvetlenül a vásárlás után szerzett hozzá 150 000 euróért egy olyan kiegészítőt, amivel Symbian rendszerű, vagyis régebbi, még a Microsoft-idők előtti Nokia telefonok lehallgatására, pontosabban minden tárolt és forgalmazott adatának ellopására is alkalmassá tették, majd 2012-ben újabb injector proxy upgradet vásároltak 36 000 euróért – a dokumentációk alapján az eszköz Apple Iphone-ok lehallgatására is alkalmas.

De mik ezek a szoftverek, amikre az eddig előkerült számlák alapján képzéssel, licenszdíjakkal, upgrade-ekkel együtt már legalább 571 ezer eurót (~181,5 millió forintot), egy, a webre felkerült összesítés szerint pedig már akár 1,896 millió eurót (~600 millió forintot) költött a magyar állam?

UPDATE: Az Index témába vágó cikke szerint az IH 2008-ban vásárolt először a Hacking Teamtől, három R210-es Dell szervert. A Hacking Team júliusi kimutatásai alapján azt írják, hogy az IH eddig 885 000 eurót, az NBSZ 1 011 000 eurót költött a cégnél.

Távolról ellenőrzött rendszer

A Hacking Team fő terméke a nem túl hivalkodó nevű Remote Control System, ami még DaVinci vagy Galileo néven is szoktak emlegetni. Ezt a cég marketinganyagai szerint kizárólag kormányzati partnereknek értékesítik, és mert ők egy nagyon etikus cég, állításuk szerint „a szakmában egyedülálló módon” minden értékesítésről egy független etikai tanácsadó testületük dönt, nehogy aztán eszközeiket gonosz célokra használják.

A valóságban a cég ügyfelei között az emberi jogok olyan bajnokai is ott vannak, mint például

Egyiptom, Etiópia, Marokkó, Szudán, Azerbajdzsán, Kazahsztán, Szaud-Arábia, Üzbegisztán és az Egyesült Arab Emírségek.

Ez utóbbi például arra a nemes célra használta a szoftvert, hogy megfigyelje Ahmed Manszur emberi jogi aktivistát.

Az RCS tökéletesen alkalmas megfigyelésre.

2013-ban a Kaspersky Lab vírusírtó cég szakértői két ártalmas programot is azonosítottak, amiket Krablinnak és Morcutnak neveztek el. A digitális nyomok alapján kutatni kezdték az eredetét. A hosszú történet röviden:

a vírusírtó cég valójában a Hacking Team RCS-ét fedezte fel.

A kódot elemezve hamar felderítették az RCS képességeit:

• a kémszoftverrel bármelyik, gépen tárolt fájlt le lehet másolni;
• van benne keylogger, vagyis megjegyez mindent, amit az adott gép billentyűzetén beütöttek;
• screenshotokat készít;
• felderíti a jelszavakat;
• még a titkosított adatátvitelt is monitorozza;
• sőt, a hálózatra amúgy nem csatlakozott gépekről is be tud gyűjteni adatokat;
• vagy aktiválhatja a géphez csatlakoztatott webkamerát, amivel így a gép környékén zajló beszélgetéseket is lehallgathatják.

Egy dolgot viszont nem tud az RCS:

hiteles másolatot készíteni a gépen tárolt adatokról.

Magyarán: bármit le lehet másolni a gépről, de mert az RCS-t akár arra is használhatják, hogy fájlokat másoljanak fel a megtámadott gépre, a bíróság előtt bizonyítékként nem lehet használni az így megszerzett információkat. Ami elég nagy hiányossága egy szoftvernek, amit a gyártója azzal reklámoz, hogy a rendfenntartó szervek használhatják nyomozásaikhoz.

A hiteles másolat hiánya akkor már nem hátrány, ha nem is bizonyítékok gyűjtése, hanem szimplán csak a megfigyelés a cél.

Jó, de hogyan teszik fel a célgépre?

Azt, hogy Ahmed Manszurt megfigyelte az Emírségek titkosszolgálata, onnan tudjuk, hogy Manszur egy phishing támadás áldozata lett. Emailben kapott egy veryimportant.doc nevű fájlt, ami az RCS-szel volt szennyezve.

Az egyik módszer tehát a vírusterjesztők legegyszerűbb eszköze, a phishing. Ezzel az a baj, hogy a célszemélynek magának is cselekednie kell: rá kell kattintania a fertőzött fájlra.

A másik lehetőség a számítógépen futó programok hibáit kihasználó exploit. Mint az a már előkerült számlákból látszik, az NBSZ a szoftver licenszét, upgrade-jeit vásárolta meg, az IH csak egy szolgáltatásra, egy exploit portálhoz való hozzáférésre fizetett elő. Ez pont azt tudja, amire a neve alapján gondolnak: lehetőséget ad a felhasználónak a szoftverhibák kihasználására, hogy aztán az így nyitott kapukon keresztül észrevétlenül telepíthesse a kémszoftvert, ez esetben az RCS-t.

Az, hogy ehhez az erőforráshoz az IH vásárolt hozzáférést, jelzi a magyar szolgálatok közti munkamegosztást is:

az NBSZ szolgáltatja a technológiát, az IH pedig célba juttatja azt.

Az RCS után nyomozók a digitális ujjlenyomatok alapján feltételezik, hogy a Hacking Team a francia VUPEN-nel állhat kapcsolatban - ez a cég egy exploitation portált üzemeltet: kutatják a sérülékenységeket, a dokumentációt, és a hibákat kihasználó "weaponized" kódot pedig eladják. Kredites rendszerben működnek, 10 kredit 250 000 eurót ér, egy ún. weaponized exploit pedig a célpont nehézségétől függően 3-5 kreditbe kerül.

A hálózatról leválasztott gépeket pedig flashdrive-okkal tudják megfertőzni, amire az RCS szintén tökéletesen alkalmas, ezúton is képes önmaga replikálására.

Az eddig előkerült dokumentumok alapján tehát

• a magyar nemzetbiztonságnak élő előfizetése van az RCS-re;
• van hozzáférése exploitation portalhoz;
• vagyis megvannak a képességei számítógépes rendszerek és mobilkészülékek teljes megfigyelésére.

Amihez disclaimerként idetenném a Belügyminisztériumnak azt a nyilatkozatát, amit a magyar titkosszolgálatok eszközparkjáról szóló legutóbbi cikkem után kaptam:

„Az NBSZ kizárólag a vonatkozó - a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. - törvény rendelkezéseinek betartásával végzi tevékenységét. Az NBSZ alapvető feladata, hogy a törvényi kereteken belül a titkos információgyűjtés, illetve a titkos adatszrezés eszközeivel és módszereivel - írásbeli megkeresésre - szolgáltatást végezzen a titkos információgyűjtésre, illetve a titkos adatszerzésre feljogosított szervek ezen tevékenységéhez”,

amit csak azzal egészítenék ki, hogy egy titkosszolgálatnak – pláne a külföldi hírszerzésért felelős IH-nak - valóban a titkos adatgyűjtés a dolga, és a jelek szerint ehhez jelentős befektetések árán megfelelő eszközt is találtak.

Hamarosan azt is feldolgozom.

(A cikk elkészülésében nélkülözhetetlen segítséget nyújtott BitFigyelő. Felhasznált szakirodalom: Mapping Hacking Team’s “Untraceable” Spyware - Citizenlab; Spyware. HackingTeam - SecureList.)