Ezt lehet tudni a Candiru-féle kémprogramról, amit Magyar Péter szerint bevetettek a Tisza ellen

2026-03-26 - 10:31

Orbánék illegális titkosszolgálati módszereibe a beépülésen, a zsaroláson és a fenyegetésen kívül a Pegasus utódjaként ismert, izraeli fejlesztésű kémszoftver, a Candiru alkalmazása is beletartozik. Okkal feltételezzük, hogy a magyar szolgálatok keleti hatalmakkal kooperálva küldték ezt az eredetileg katonai célra fejlesztett kémszoftvert. Pontosan azért akarta kiiktatni az orbáni titkosszolgálat a Tisza informatikai biztonsági szakembereit, mert ők éppen feltárták a Candiru alkalmazását – jelentette ki csütörtökön közzétett videójában Magyar Péter. A vélhetően több milliárd forintba kerülő kémprogramról nem most hallani először idehaza: az Insikt Group ugyanis 2025. augusztus 6-án közzétett, nemzetközi kiberbiztonsági jelentése szerint Magyarország is aktív felhasználója a DevilsTongue nevű, Windows rendszereket támadó fejlett kártevőnek. Az „ördög nyelve” megnevezéssel illetett, kizárólag kormányoknak értékesített szoftver egy rendkívül nehezen észlelhető, moduláris kártevő, amely Windows rendszereket támad, és képes valós időben megfigyelni a felhasználó tevékenységét. Többek közt hozzáfér jelszavakhoz, üzenetarchívumokhoz, köztük a titkosított üzenetküldő alkalmazásokhoz (például a Signalhoz, a WhatsApphoz és a Messengerhez is), a böngészési adatokhoz, és teljes távoli hozzáférést ad a támadónak. Az erről szóló cikkünkben Frész Ferenc kiberbiztonsági szakértő kifejtette: ez nem csak fájlok és adatok letöltésére, hanem akár inkrimináló bizonyítékok feltöltésére is lehetőséget ad a megfertőzött eszközre, ami azt jelenti, hogy politikai játszmák részeként is bevethető. A szakértő elmondta, ahogy a Pegasus esetében, itt sem csupán egyetlen szoftverről beszélhetünk, hanem egy csomagról. Egyes elemek kompromittálódása esetén, magyarul a lebukás után a cég vélhetően garanciát vállal arra, hogy egy új, még fejlettebb eszközzel fertőzze meg a célpont eszközét. Kalandos hátterű cég fejlesztette A DevilsTongue és Sourgum néven is számon tartott kártevőt a 2014-ben alapított Candiru Ltd. izraeli vállalat hozta létre, amelyet azóta legalább négyszer neveztek át: 2025-ben például Saito Tech Ltd. néven futott. A vállalat elég sok téren mutat kapcsolatot a szintén izraeli NSO Grouppal, amely a Pegasus fejlesztőjeként vált ismertté. Isaac Zack, az NSO Group korai befektetője állítólag egy időben a Candiru elnöke is volt, és ha ez még nem lenne elég, kiderült, hogy a vállalat kezdetekor a Founders Grouptól, az NSO Group társalapítói, Omri Lavie és Shalev Hulio által közösen alapított szervezettől kapott finanszírozást. Egy volt vezető beosztású alkalmazott által indított per dokumentumaiból elég sok mindent tudni a cégről, például hogy a Candiru alkalmazottainak száma 2015-ben még csak 12 volt, ezt követően viszont dinamikus növekedésbe kezdett: 2018-ra pedig már 70 főt foglalkoztatott. A vállalat 2016-ban kezdett kormányzati ügyfelekkel szerződni Európában, a Közel-Keleten, Ázsiában és Latin-Amerikában. Ezt követően vált gyakorivá a névváltás, miközben a profit és a vállalat értéke folyamatosan nőtt. Az első saját gyártású kémszoftverről 2017-ben jelentek meg cikkek, ezek szerint ez még csak mobileszközöket célzott meg. 2019-ben aztán a Kaspersky Lab is azonosított egy, az Üzbég Állambiztonsági Szolgálat (SSS) által használt Candiru kémprogramot. 2021 áprilisában az ESET kiberbiztonsági cég leleplezett egy olyan műveletet, amely során egy Candiru által fejlesztett szoftvert használtak a brit Middle East Eye hírportál, a húszikhoz és a Hezbollahhoz köthető hírportálok, valamint egy disszidens szaúdi médiaorgánum elleni támadásra. 2021 júliusában már a Citizen Lab és a Microsoft radarjára is felkerült a cég, ugyanis itt figyelték meg először a DevilsTongue-nak nevezett kártevőt, amelynek akkoriban már legalább 100 áldozata volt, ez a szám pedig azóta vélhetően tovább nőtt. A Microsoft jelentése szerint a megfigyelt áldozatok körülbelül fele Palesztinában élt. A többi érintett Izraelben, Iránban, Libanonban, Jemenben, Spanyolországban (azon belül is leginkább Katalóniában), az Egyesült Királyságban, Törökországban, Örményországban és Szingapúrban. A kémprogram infrastruktúráját több országra is visszavezették, köztük Szaúd-Arábiára, Izraelre, az Egyesült Arab Emírségekre, Indonéziára és Magyarországra is. Az Insikt Group 2025-ben nyolc felhasználói klasztert tartott számon világszerte, ezek közül öt, köztük a magyar és a szaúdi ekkor is aktív volt. 2021 novemberében az Egyesült Államok Kereskedelmi Minisztériuma felvette a Candirut és az NSO Groupot is a „feketelistájára”, mondván, kémprogramokat szállítottak támadási célból külföldi kormányoknak. 2025-ban azonban a Candirut felvásárolta az Integrity Partners, egy 30 millió dolláros üzlet keretében. A korábban a Pegasus kémprogram-fejlesztő NSO Group felvásárlásával is megpróbálkozó amerikai befektetési cég az izraeli vállalat összes eszközét és alkalmazottját átvette, és egy újonnan létrehozott, jelenleg az amerikai kormányzati szankciók hatálya alól mentes szervezetbe helyezte át. Kapcsolódó Milliárdokba kerül a DevilsTongue néven ismert kémprogram, amit egy jelentés szerint használhat Magyarország is A Windows-eszközöket támadó DevilsTongue kémfegyverről évek óta tudni, mégis ma is veszélyt jelent a célpontokra.