Lampyre - Nyomozás a magyar fejlesztésű hírszerző (információszerző) szoftver után

lampyre.jpg

OSINT-mester ismerősöm (BA) hívta fel a figyelmemet egy nagyon érdekes sztorira. Megjelent egy poszt a Lampyre nevű nyílt forrású hírszerző/információszerző (kinek hogy tetszik, továbbiakban: OSINT) szoftverrel kapcsolatban, amely azt állítja, hogy a szoftvert Budapesten fejlesztik, és feltételezi, hogy oroszok működnek közre vagy állnak mögötte.

Matthias Wilson „Be careful what you OSINT with” posztja a Key Findigs blogon jelent meg egy hete, és nagyon kellemetlen állításokat és feltételezéseket tartalmaz a Maltego kihívójaként is ismert Lampyre OSINT eszközzel kapcsolatban.

Matthias megvizsgálta a Lampyre hátterét, mivel szeretett volna többet tudni a szoftver gyártójáról, mielőtt éles projektben is alkalmazza.

A Lampyre egyébként valóban egy igen erős és jó funkcionalitásokkal felvértezett megoldás, szerintem sokan kezdték el használni, akik a Maltego fizetős verziójára már nem tudták kicsengetni a lóvét.

Matthias tiszteletreméltó paranoiával alapossággal próbálta ellenőrizni a gyártót.

„Before I use any type of software, I try to vet it as good as possible. This includes OSINT research on the company, asking tech-savy people I know for their opinion and ultimately reaching out to the company itself. No one had really heard of the software at that time [2019 januárja volt – KB], no one was using it, and I couldn’t really find much background information online.“

Matthias nyomozása meglehetősen érdekes információkat tárt fel.

A szoftvert az adatvédelmi tájékoztató alapján a magyar Data Tower Kft fejleszti.

A Data Tower tulajdonosa és ügyvezetője Schmidt László az ugyanazon a székhelyen működő ügyvédi iroda munkatársa is egyben. Matthias ezért azt feltételezte, hogy a fejlesztő csak egy fedőcég, így elkezdték jobban megvizsgálni a szoftvert és a kommunikációt.

A lekérdezések vizsgálatakor megállapították, hogy a lekérdezések leírásában angol és orosz nyelvű magyarázatok is találhatók.

2-2.png

3-1.png

A további kutatás elvezette őket egy Andrey Skhomenko nevű úriemberhez, aki már 2018 márciusában posztolt a Lampyre-ről, még mielőtt a szoftver 2018 októberében hivatalosan megjelent volna. (A Twitteren 2018 október 16-án jelent meg először a Lampyre-el kapcsolatos poszt).

4-1.png

Andrey Skhomenko a Linkedin szerint 2016 óta az orosz Norsi-Trans munkatársa, korábban pedig az orosz Szövetségi Biztonsági Szolgálat, a KGB-utódnak tartott FSB munkatársa volt.

(Az úriember egyébként a Lampyre modulfejlesztéséről tartott előadást a 2019-es nyizsnyij novgorodi Def Con Group-os rendezvényen mint magán informatikai biztonsági tanácsadó.) 

A Norsi-Trans lehallgató és egyéb speciális berendezéseket, illetve szoftvereket gyárt az orosz kormánynak, többek között egy Vitok-OSINT vagy Vitok-ROI nevű alkalmazást, amely Matthias szerint kinézetében és funkciójában igen csak emlékeztet a Lampyre-re.

5-1.png

A Vitok és a Lampyre kapcsolatára Matthias szerint más is utal. Ellenőrizték a tanúsítványokat és konkrét kapcsolatot találtak a Vitok és a Lampyre között.

We pulled the certificates used by Lampyre and saw that they were registered in Russia and even more compelling: one of the certificates made a direct reference to Vitok.

7-1.png

A Censys segítségével ez könnyen ellenőrizhető.

vitok-stage.png

io-stage.png

(A Vitok-os tanúsítvány már lejárt, a Censys alapján még 2018-ban kezdték el használni és folyamatosan megújítani, de 2019 közepe óta már nem található érvényes tanúsítvány. A lampyre.io reverse history ellenőrzésének eredménye itt megnézhető.)

A tanúsítványok alapján Matthias állítja, hogy a Lampyre és a Norsi Trans kapcsolatban vannak egymással, és azt feltételezi, hogy a Lampyre-ben elvégzett keresések és az adatok orosz szervereken köthetnek ki.

Meglehetősen nyugtalanító ez a feltételezés, amelyre Schmidt László a Data Tower nevében nyilvános választ is adott.

A válaszban a Data Tower leszögezi, hogy nem adnak át senkinek ügyfél adatokat, illetve, hogy a szoftvert lehetőség van teljesen anonim módon is használni.

Szintén fontos információ, hogy a Data Tower állítása szerint a Norsi Trans a Lampyre nyílt API interfészét használja a saját OSINT termékében (ez akár érthető úgy is számomra, hogy a Norsi Trans termékének semmi köze a Lampyre szoftverhez, saját fejlesztésű megoldás), illetve, hogy a Norsi Trans megosztja az analitikai rendszerek fejlesztésének tapasztalatait a Lampyre-el.

Hogy használjuk-e vagy ne a Lampyre-t? A szoftver funkcióit tekintve a Lampyre egy nagyon jó eszköznek tűnik, de ahogy a nyilvános válaszban is megfogalmazták (és ez alapján én maradok a Maltego használata mellett):

„We’re offering you an accessible analytical tool and it’s up to you whether to use it or not.”