Skip to content

Szele Tamás: Sherlock, a kém

„Állítsuk le az adatgyűjtés jövedelmezővé tételét, és ez megszűnik. Ha a viselkedésalapú reklámozást betiltanák, az iparág nem létezne”. Ahogyan a Facebook (Meta) és a Google leágazásai sem léteznének. Még jó, hogy azok nem kémkednek a felhasználók után. Jaj, bocsánat: de.

Table of Contents

Itt van a Pegasus utódja, kérem, kicsit sánta, kicsit furcsa, de egészen újszerű: a Sherlock kémszoftver a hirdetéseken keresztül támad. De mielőtt rátérnék a The Register idevágó írásának* ismertetésére, el kell magyaráznom valamit. A Sherlock ugyanis izraeli fejlesztésű kémszoftver, ahogy a Candiru és a Pegasus is azok.

Ez azonban nem jelenti azt, hogy Izrael állam valamiért különös vonzalmat érezne a kémkedés iránt, hanem arról van szó, hogy ők tartják fenn a világ talán legkorszerűbb és leghatékonyabb hírszerzését, elhárítását, hiszen az ország alapítása óta önvédelmi háborúban áll. Már a középiskolában elkezdik a toborzást a tehetséges fiatalok között az online felderítők, elhárítók, a seregben kiemelt zsoldot kapnak és a legjobb ajánlásokkal szerelnek le, kisebb vagyon birtokában: aztán vállalkozásba kezdenek. És hát mihez ért egy online hírszerző? A hírszerzéshez, ilyen szoftvereket tud fejleszteni. Szóval, nem azért sok az izraeli kémprogram, mert szándékosan ilyeneket akarnak fejleszteni, hanem azért, mert sok az obsitos gumitalpú.

Akkor lássuk, mit tud ez a Sherlock nevű szoftver.

Az Insanet izraeli szoftvergyártó a hírek szerint kifejlesztett egy Sherlock nevű kereskedelmi terméket, amely online hirdetéseken keresztül képes megfertőzni az eszközöket, hogy a célszemélyekről adatokat gyűjtsön az ügyfelei számára.

Ez a Haaretz nyomozása szerint derült ki, amely a héten azt állította, hogy a kémprogramrendszert egy olyan országnak adták el, amely nem demokrácia.

Ez az első alkalom, hogy az Insanet megfigyelőszoftverének részletei nyilvánosságra kerültek. A Sherlock ráadásul az idézett marketingszöveg szerint képes behatolni a Microsoft Windows, a Google Android és az Apple iOS eszközökbe.

„A vizsgálat megállapításai szerint ez az első eset a világon, amikor egy ilyen rendszert technológiaként, nem pedig szolgáltatásként árulnak” – írta Omer Benjakob újságíró, hozzátéve, hogy az Insanet engedélyt kapott az izraeli védelmi minisztériumtól arra, hogy a Sherlockot világszerte katonai termékként értékesítse, bár különböző szigorú korlátozások mellett, például csak nyugati országoknak adják el.

„Még ahhoz is, hogy egy potenciális nyugati ügyfélnek bemutassák, külön engedélyt kell kérni a védelmi minisztériumtól, és ezt nem mindig adják meg” – jegyezte meg Benjakob.

A 2019-ben alapított cég tulajdonosai volt katonák és nemzetvédelmi szakemberek. Alapítói között van az izraeli nemzetbiztonsági tanács korábbi vezetője, Dani Arditi, valamint Ariel Eisen és Roy Lemkin kibervállalkozók.

Arditi, aki LinkedIn-profilja szerint az IFG Security nevű izraeli technológiai cég vezérigazgatója, nem válaszolt a The Register megkeresésére. Lemkin, az Exceed Ventures, egy kibernetikai hírszerzési alap vezérigazgatója sem válaszolt. Eisen-t sem lehetett elérni.

„Az Insanet egy izraeli vállalat, amely az izraeli törvények és szigorú szabályozói irányelvek teljes és abszolút betartásával működik” – közölte a lap érdeklődésére a sajtóosztályuk.

Az Insanet a szoftver forgalmazása érdekében állítólag összefogott az Egyesült Államokban szankciókkal sújtott izraeli székhelyű Candiru kémprogramgyártóval, hogy a Candiru kémprogramjával együtt kínálja a Sherlockot – ne feledjük azonban, egy Sherlock-fertőzés a jelek szerint hatmillió euróba (6,7 millió dollár, 5,2 millió font) kerül az ügyfélnek.

A dokumentumból az is kiderült, hogy a Sherlock képes betörni a Windows-alapú számítógépekbe, valamint az iPhone-okba és az Androidokba is. Eddig a különböző cégek különböző eszközök feltörésére specializálódtak. A Candiru a PC-kre koncentrált, az NSO iPhone-okat tudott feltörni, versenytársai pedig az Androidokra specializálódtak. Ezzel a rendszerrel azonban, mint a dokumentumokból kiderül, gyakorlatilag minden eszközt fel lehetne törni.

Az Electronic Frontier Foundation aktivizmusért felelős igazgatója, Jason Kelley szerint különösen aggasztó, hogy az Insanet a reklámtechnológiát használja az eszközök megfertőzésére és az ügyfelek célpontjainak kikémlelésére. A gyanús online hirdetések nem csupán potenciális eszközként szolgálnak rosszindulatú programok terjesztésére, például a hirdetésekben gondosan kidolgozott képek vagy JavaScript segítségével, amelyek kihasználják a böngészők és operációs rendszerek sebezhetőségeit, hanem arra is felhasználhatók, hogy olyan konkrét embercsoportokat keressenek meg - például azokat, akiket érdekel a nyílt forráskód, vagy akik gyakran utaznak Ázsiába -, akik után valaki esetleg szimatolni szeretne.

„Ez a megfigyelési és célzási módszer olyan kereskedelmi forgalomban elérhető adatokat használ, amelyeket nagyon nehéz kitörölni az internetről” – mondta Kelley a The Register című lapnak. „A legtöbb embernek fogalma sincs arról, hogy az adatbrókerek és a reklámtechnológiai cégek mennyi információt gyűjtöttek össze vagy osztottak meg róla, és kevés lehetőségük van arra, hogy ezeket kitöröljék.”

Úgy tűnik, a Sherlockot úgy tervezték, hogy a Big Tech és az online média által kedvelt legális adatgyűjtési és digitális hirdetési technológiákat arra használja, hogy kormányzati szintű kémkedés céljából célba vegye az embereket. Más kémprogramok, mint például az NSO Group Pegasus vagy a Cytrox Predator és Alien, általában sokkal pontosabban célzottan működnek.

„Fenyegetés szempontjából ez a malvertisinghoz hasonlítható, amikor egy rosszindulatú hirdetést juttatnak el a gyanútlan felhasználókhoz” – mondta Mayuresh Dani, a Qualys fenyegetéskutatási menedzsere a The Registernek.

„Ebben az esetben azonban úgy tűnik, hogy ez egy kétlépcsős támadás, amelyben a felhasználókat először a hirdetési intelligencia (AdInt) segítségével profilozzák, majd a hirdetéseken keresztül rosszindulatú tartalmakat szolgáltatnak ki nekik. A gyanútlan felhasználók mindenképpen fogékonyak az ilyen támadásokra”.

A jó hír az, hogy a legtöbb emberre valószínűleg minimális fenyegetést jelent, figyelembe véve a Sherlockot használó megfigyelési kampány kifejlesztésének több millió dolláros árát és egyéb követelményeit - jegyezte meg Kelley.

Mégis, „ez csak egy újabb módja annak, hogy a kémprogramgyártó cégek megfigyelhessék és célba vehessék az aktivistákat, riportereket és kormánytisztviselőket” – mondta.

Vannak olyan intézkedések, amelyekkel a netezők védekezhetnek a Sherlock és más adatgyűjtő technológiák ellen.

„Mivel ezeket a hirdetéseket ismert hirdetési hálózatokon keresztül szolgáltatják ki, az olyan anti-adware technológiák, mint a JavaScript betöltésének megakadályozása, a reklámblokkolók vagy az adatvédelemre érzékeny böngészők használata, valamint a hirdetésekre való kattintás mellőzése védelmet nyújthatnak e támadás ellen” – javasolta Dani.

Tágabb értelemben véve: „Hozzunk törvényt a fogyasztók adatainak védelméről” – mondta Kelley.

„Az adatok folyamatosan megtalálják az utat a megfigyelésre való felhasználáshoz, és ami még rosszabb” – folytatta. „Állítsuk le az adatgyűjtés jövedelmezővé tételét, és ez megszűnik. Ha a viselkedésalapú reklámozást betiltanák, az iparág nem létezne”.

Ahogyan a Facebook (Meta) és a Google leágazásai sem léteznének. Még jó, hogy azok nem kémkednek a felhasználók után. Jaj, bocsánat: de.

*Probe reveals previously secret Israeli spyware that infects targets via ads

Latest

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

Palo Alto Networks released security updates for two actively exploited zero-day vulnerabilities in Palo Alto Networks PAN-OS. If exploited, these vulnerabilities could allow a remote unauthenticated attacker to gain administrator privileges, or a PAN-OS administrator to perform actions on the firewall with root privileges. It recommended applying the updates and

Members Public
Modern zsarolóvírusok

Modern zsarolóvírusok

A Magyar Védelmi Beszerzési Ügnynökséget az INC Ransom csoport támadta és zsarolta meg 2024. októberében. Az elmúlt időszakban megszaporodtak azok a magyarországi zsarolóvírus támadások, amelyek során az INC és a vele csaknem 71%-ban azonos Lynx zsarolóvírusokat használták a támadók.

Members Public