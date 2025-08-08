megfigyelés;kémprogram;

2025-08-08 13:28:00 CEST

A kutatók jelentős átfedést látnak a Candiru jelenlegi felhasználói és a korábban a Pegasus kémszoftvert használó megrendelők között.

Magyarország nagy valószínűséggel a világ egyik legfejlettebb kémprogramja, a Windows-eszközöket támadó DevilsTongue aktív felhasználói között szerepel – írta pénteki Facebook-bejegyzésében a VSquare újságírója, Panyi Szabolcs.

A szoftvert az izraeli Candiru fejleszti, és hivatalosan kizárólag kormányzati ügyfeleknek értékesíti. A „DevilsTongue” elnevezést nem a gyártó adta, hanem a Microsoft kutatói használták a program felfedezésekor. Az Insikt Group kutatói több olyan aktív infrastruktúrát azonosítottak, amelyek alkalmasak a Candiru terjesztésére, köztük egyet, amelyet nagy valószínűséggel magyar megrendelő működtet. A program magyarországi használatáról korábban is jelentek meg hírek: a kanadai Citizen Lab 2021 és 2023 között több Candiru-nyomot talált Magyarországon, 2024-ben pedig Daniel Freund német zöldpárti európai parlamenti képviselő – Orbán Viktor ismert kritikusa – állította, hogy a számítógépét ezzel próbálták feltörni. A politikus egy ukrán diáklány nevében kapott meghívót egy nem létező szemináriumra, amelynek mellékelt linkje feltehetően a program telepítését célozta.

A program Windows rendszeren fut, képes rejtve maradni a számítógép mélyebb rétegeiben, feltérképezni a teljes rendszert, másolatot készíteni az adatokról, megszerezni a böngészőkben tárolt jelszavakat, előzményeket és sütiket, valamint hozzáférni titkosított üzenetküldő alkalmazások – például a Signal asztali verziója – üzenetarchívumához. A támadók így a célpont fiókjait úgy használhatják, mintha ők lennének a tulajdonosok. A szoftver a memóriában fut, újraindítás után is aktív marad, és „remote shell” funkciójával teljes hozzáférést ad a fertőzött eszközhöz: nemcsak adatokat tölthet le, hanem új fájlokat is feltölthet, akár olyat is, ami később terhelő bizonyítékként használható az áldozat ellen. A telepítés történhet célzott adathalász e-maillel, fertőzött dokumentummal, feltört weboldalon keresztül vagy hirdetésbe rejtve.

A Candiru árlistája szerint az alapcsomag 16 millió euró 10 célpont megfigyelésére, további 1,5 millió euróért 15 új eszköz és egy új ország vonható be, míg 5,5 millió euróért 25 további eszköz és öt új ország figyelése érhető el. A „remote shell” funkció 1,5 millió euróba kerül. Bár használatát földrajzilag korlátozzák, a kutatók szerint ezek a korlátozások megkerülhetők. A célpontok elsősorban politikusok, üzleti vezetők és más, magas hírszerzési értékkel bíró személyek lehetnek.

Panyi Szabolcs szerint a programot 2019 óta egészen napjainkig használhatják Magyarországon, és a kutatók jelentős átfedést látnak a Candiru jelenlegi felhasználói és a korábban a Pegasus kémszoftvert használó megrendelők között.