Index Vakbarát Hírportál

A magyar titkosszolgálatnak még a kémprogram telepítése sem sikerült

2014. augusztus 12., kedd 10:28

Már korábban is felmerült, hogy a magyar titkosszolgálatok is használják a Gamma nevű cég FinSpy nevű kémprogramját, most viszont egyértelmű bizonyítékokat találtunk erre. Ismeretlen hekkerek ugyanis feltörték a cég honlapját, majd mindent, amit ott találtak, feltették torrentre. A letölthető tartalmak között ott a magyar Nemzetbiztonsági Szakszolgálat levelezése is. Volt, hogy nem boldogultak a telepítéssel, vagy éppen elromlott a programhoz kapott laptop. Problémái másoknak is voltak. Kicsengő kémhívás és követésnél megjelenő GPS-jel - ilyen egy állami kémprogram.

Sok munkahelyen van évente egyszer nyílt nap, amikor az érdeklődők vagy a dolgozók családjai megnézhetik, mit dolgozik apuka, anyuka. Ha van olyan hely Magyarországon, ahol tuti nincs ilyen nap, az minden bizonnyal a magyar titkosszolgálatok operatív munkáját támogató Nemzetbiztonsági Szakszolgálat. Márpedig most egy ilyen nap következik itt az Indexen, miután egy hekker feltörte a FinFisher / FinSpy nevű trójai program weblapját és közzétette az interneten, amit ott talált.

A FinSpy és Magyarország kapcsolatáról eddig annyit lehetett biztosan tudni, hogy a programnak itthon is vannak irányítószerverei. A most kiszivárgott 38 gigás csomag dokumentumai ennél sokkal mélyebbre engednek betekintést. Bár ne tennék. A hatalmas méret egyébként abból adódik, hogy a dokumentumok, forráskódok mellett például videófájlok is voltak a szerveren, szabályos termékbemutató kisfilmek a kémprogramok használatáról, ezeket a cikkbe beágyazva is megnézheti most.

Zoltan, a kiberkém

Az egész weboldal tartalmát tömörítő torrent fájl nemcsak a program dokumentációját, de azt a levelezést tartalmazza, ami a megrendelők és a cég között folyt. Az ott hagyott levelekből egyértelműen látszik, hogy a FinSpyt használja a magyar szakszolgálat is, ők voltak az egyetlenek, akik úgy írták alá a leveleket, hogy

 Zoltan Hungary SSNS

ami az országon kívül azt is elárulja, hogy Zoltán az SSNS, azaz a Special Service of National Security, magyarul az Nemzetbiztonsági Szakszolgálat alkalmazottja. Felettese pedig Balogh Péter mérnök ezredes. Ezt sem lehallgatókészülékek segítségével találtuk ki: a programot a torrentes fájl alapján több tucat ország több tucat szolgálata használja, de a kiszivárgott levelezésben ő volt az egyetlen, aki a munkahelyi, nbsz.gov.hu végű, kormányzati emailcímét adta meg kapcsolattartásra. A névvel bukott még Nasser Alnuaimi, a katari és Sanjin Custovic, a bosznia-hercegovinai állami szolgálat munkatársa is.

Dear support, nem megy a telepítés

A kiszivárgott információk alapján Zoltan gyakori vendége volt a FinSpy helpdeskjének, a magyar szakszolgálat operatív emberi többször futottak bele problémába, amikor éppen sietősen kémkedni kellett volna. 

Egyszer például nem sikerült megfelelő, fertőzött telepítőt előállítani:

Dear Support Team,
We cannot generate either bootable iso image or bootable infection dongle, I attached the error massage and our software version is 4.40.1427 Please help us find a solution,
Regards,
Zoltan Hungary SSNS

Magyarul: kedves support, nem sikerült fertőző cd-t előállítani. A hibajegyhez csatoltak egy képet is, az is megvan:

A support válaszából az is kiderül, mi volt a baj:

nem írták alá a megfelelő digitális aláírással a szoftvert.
 

Mivel ez a telepítés részt megoldotta, nyugodtan kijelenthetjük, hogy ennyi volt a probléma. Pedig ez olyan dolog, amit rendszerint a hekkerkedő tizenévesek  is tudnak: nem véletlenül írnak alá minden fontos szoftvert, pont azért, hogy ne lehessen módosított verziókkal visszaélni (mondjuk kémkedni a kémkedők után).

A telepítés után a magyar szolgálat újabb problémába ütközött, a levelezés alapján ezt már csak Skype-os beszélgetés alapján sikerült megoldani. Apropó, aki a Nemzeti Biztonsági Szolgálattal csevegne, a

címet vegye fel Skype-on, akit pedig a kémprogram érdekel, a

FinUSB-Suite-Video
A termékbemutató szerint a kémkedés tényleg úgy megy, mint a filmekben

Tönkrement a laptop

A törpök élete nem csak játék és mese, és nincs ez máshogy a magyar titkosszolgálatoknál sem. Egy alkalommal például, amikor nagyon siettek volna a kémkedéssel, tönkrement a Lenovo laptop, amit a kémprogram gyártójától kaptak. Kicserélték a merevlemezt, de így sem boldogult a rendszer. 

Alább a panaszos angol levél rövidített változata:

Dear Martin,
Today the Lenovo e520 laptop you had given us had died. Since we were/are in a hurry we pulled out the HDD and switched it into another Lenovo but L420 laptop. Windows7 started, we reinstalled the graphic drivers and chipset drivers also. [...] it cannot create infections. Ill attach a screenshot. In the meantime we started a fresh windows7 install on another laptop, but got another error. [...] Do you have any idea what should we do?
best regards, Zoltan

A megoldásról sajnos nem tudunk, nem a honlapon beszélték meg, hanem TeamVieweren, ahogy az egy másik beszélgetésből kiderül. Utóbbi szoftverről azt kell tudni, hogy a hekkerek ki-be járnak rajta, konkrétan Magyarországot is érte támadás ezen keresztül. Minden bizonnyal jó választás állami kémprogramok telepítési gondjainak megoldásához. Esetleg a leendő megfigyelt is besegíthet, ha úgy adódik.

A legfrissebb levelezés, amit a kémprogram supportja és a magyar szolgálat között találtunk, 2014. május 23-án keletkezett, ami valószínűsíti, hogy a programot még mindig használják: igaz, már augusztus van, de valószínűleg a hekkelés sem volt teljesen friss, és korábban is voltak több hónapos kimaradások a kérdések között.

FinIntrusion-Kit-Video
Az ügynöknek elég a program meg a hotel nyílt wifije, megint, mint a filmekben

Véletlenül telefonál a lehallgató

Bár a magyarok a levelezés alapján gyakori vendégek voltak a supportnál, igazságtalanság lenne csak az ő ténykedésüket kiemelni. A legtöbb hibajelentő nem olyan problémákba ütközött, mint magyar kollégáik, főleg programhibákat jelentettek, amiket a következő kiadásban javítottak is. Akadtak azért olyan titkosügynökök is, akik ravasz álcázási trükként a 12 évesek fogalmazási készségét vették fel, akik nem tudnak tőmondatnál hosszabban írni, és halmozzák az írásjeleket. Elég rossz belegondolni, micsoda hatalom van a kezükben. Íme egy példa:

After updating from version 4.32 to 4.40 I have noticed that you have added a new field into the meta file called Record ID, this is great !! but in some case i have some issue, for example, in a day a have multiple keylogger sessions, but in some case the record id is different for the same day, without a master reboot see attached file for more inforamtion.

A másik elképesztő dolog, hogy milyen programhibákat jelentettek a felhasználók. Nyilván minden szoftvert, így a kémprogramokat is emberek készítik, de ha mondjuk egy - divatos példával élve - terrortámadás megakadályozásáról van szó, azért elég nehéz elnézni a csúcs kémprogramnak, hogy bizonyos verzióját simán felismerte

Az androidos verzió pedig lehallgatásra szánt kamuhívás helyett (ami annyit tud, hogy bekapcsolja a mikrofont, talán a kamerát is) valóban kicsörgött, 

8888-ként kijelzett telefonszámmal.

Már csak hab a tortán az a hiba, ami megakadályozta, hogy a speedtest.net nevű sebességmérő oldal rendesen mérje a feltöltési sebességet. Aki mostantól ebbe fut bele, kezdhet gyanakodni. Ahogy az is, akinek indokolatlanul megjelent a GPS-ikon a telefonján, ugyanis a program ezt is produkálta néha.

FinSpy-Mobile-Video
Elég egyetlen kamu frissítés és annyi a BlackBerry biztonságának

Frissítés után többen fellélegezhettek: volt olyan, hogy a célpont gépe nem jelentett többé a szolgálatnak, miután áttértek új verzióra. Jól járt az is, aki két monitort használt, és a másodikra tette ki az érzékeny adatait: jó ideig nem tudtak róla lementeni semmit.

A jelszógenerálók sem segítenek

A FinSpy nem azért értékes szoftver, mert olyat tud, amit más programok ne tudnának, hanem mert folyamatosan dolgoznak rajta: az eddigi bizonyítékok alapján az egyébként nagyon igényesnek tartott Vupen csapattól vásárolnak friss sebezhetőségeket, amiket beleépítenek a szoftverbe.

A felhasználók pedig gyakran kérnek újításokat:  például valaki olyan letöltési funkciót szeretne a programba, ami elküldhető nem online gépnek is, aztán elindul, ha a címzett felmegy a netre, és folytatódik akkor is, ha megszakadna a kapcsolat. 

Kérés volt az is, hogy a program elkapja a Lastpass és társai által létrehozott jelszavakat is: ezek úgy működnek, hogy felhasználónak csak egy bonyolult mesterjelszót kell megjegyeznie, a program pedig böngészőkiegészítőként generál még bonyolultabb darabokat minden egyes regisztrációhoz, aztán be is gépeli őket, így a felhasználó anélkül tud belépni a szolgáltatásokba, hogy akár ő maga tudná a jelszót. Ezt a fejlesztést áprilisban kérték, valószínűleg már nincsenek biztonságban a programot használók a titkosszolgálatok elől.

Rovatok