FinFisher

FinFisher (také známý jako FinSpy [1] ) je software od britské společnosti Gamma Groupu, což je spyware [2] [3] . Trojan , patřící do podtypu Remote Accesex, je nainstalován na počítači oběti, „předstírá, že je“ důvěryhodným softwarem, a monitoruje uživatelská data [2] [1] [4] .

Historie

• V březnu 2011 vyšlo najevo používání FinFisher egyptskou vládou během arabského jara . Tyto informace byly potvrzeny smlouvou, kterou našla vládní opozice na licencované použití FinFisher v hodnotě 287 000 EUR (353 000 $) [5] [2] .
• V listopadu 2011 WikiLeaks zveřejnila sérii videí demonstrujících, jak lze FinFisher použít k získání uživatelských dat. Video ukazovalo takové funkce programu, jako je sledování aktivit uživatelů v hotelové síti, přerušování Skype relací, čtení hesel a soukromých souborů [6] . WikiLeaks také demonstrovaly použití zranitelnosti iTunes k infikování počítače uživatele [7] [6] . Článek o použité zranitelnosti v iTunes publikoval již v roce 2008 novinář Brian Krebs, ale do roku 2011 ji Apple neopravil [6] [8] .
• V dubnu 2013 zveřejnila komunita Mozilly na svém blogu příspěvek o používání FinFisher pod rouškou produktu Mozilla Firefox [9] .
• V roce 2014 podal americký občan Kidane žalobu na občanská práva proti etiopské vládě za sledování osobních údajů. Etiopští vládní agenti poslali e-mail obsahující soubor Wordu , který po kliknutí tiše nainstaloval FinFisher na Kidaneův počítač. Program monitoroval a předával etiopské vládě taková data, jako jsou prohlížené webové stránky , e-mailová korespondence, záznamy hovorů Skype [10] [11] .

Do roku 2013 FinSpysoftwarepoužívalo více než 25 _ _ zemí [12] . Pro rok 2013 tento seznam zemí zahrnoval Rakousko , Bahrajn , Bangladéš , Velká Británie , Brunej , Bulharsko , Kanada , Česká republika , Estonsko , Etiopie , Finsko , Německo , Maďarsko , Indie , Indonésie , Japonsko , Lotyšsko , Litva , Malajsie , Mexiko , Mongolsko , Nizozemsko , Nigérie , Pákistán , Panama , Rumunsko , Srbsko , Singapur , země Jižní Afriky, Turecko , Turkmenistán, Spojené arabské emiráty , Spojené státy americké , Venezuela a Vietnam [12] .

V září 2017 ESET zveřejnil informaci, že aktualizovaná verze FinFisher se dotkla asi sedmi zemí. K infekci byl použit útok typu man-in-the-mid a je pravděpodobné, že se na infekci podíleli velcí ISP. Podle analytika společnosti byl uživatel při stahování licencovaného softwaru, jako je Skype, WhatsApp, přesměrován poskytovatelem na stránku s falešným softwarem [13] .

Popis

FinFisher poskytuje řešení pro vzdálené sledování aktivity uživatelů. To umožňuje vládám čelit výzvě sledování mobilních cílů, které pravidelně mění polohu, používají šifrované a anonymní komunikační kanály a cestují do zahraničí [10] [2] [3] .

Program využívá FinSpy Master server a FinSpy Relay servery, které jsou mezičlánkem a přebírají funkcionalitu C&C serverů [14] .

Jakmile je FinSpy nainstalován na počítačový systém, bude dostupný, jakmile se připojí k internetu, bez ohledu na to, kde na světě se systém nachází [15] [10] .

Produkt FinFisher společnosti Gamma poskytuje uživateli následující funkce:

• Sledování online aktivit přes Skype , Messenger , VoIP , e-mail, webové stránky;
• Sledování aktivit na internetu v sociálních sítích, blozích, úložištích souborů;
• Přístup k souborům uloženým na pevném disku;
• Použití zařízení zabudovaného do počítače oběti, jako je mikrofon nebo kamera;

• Sledování polohy oběti [6] [15] .

Gamma představuje použití programu jako uzavřený cyklus šesti bodů:

• Plánování a definování oběti;
• Shromažďování informací;
• Zpracování přijatých informací;
• Dolování dat;
• Šíření informací;
• Přehodnocení [15] .

Podporované operační systémy

V roce 2011 WikiLeaks zveřejnila dokumentaci k produktu FinFisher. Od roku 2011 program podporoval následující operační systémy:

• Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
• Microsoft Windows XP Clean / SP1 / SP2 / SP3
• Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32bitový a 64bitový)
• Microsoft Windows 7 (32bitový a 64bitový)

• Mac OS X 10.6.x

• Linux 2.6 [6] [7]

Aktualizace programu

Software FinFisher je navržen tak, že všechny aktualizace jsou po určité době přenášeny aktualizačním serverem Gamma.

Každá aktualizace je odeslána jako zašifrovaný soubor. Počet aktualizací za rok závisí na vývoji IT průmyslu [15] [7] .

Způsob infekce

K infikování počítače uživatele je běžnou metodou vydávat FinFisher za licencovanou důvěryhodnou aktualizaci [4] [2] [1] . Jasným příkladem této metody je nelegální používání značky Mozilla , které vyšlo najevo v roce 2014 [9] .

V roce 2017 ESET zveřejnil podrobnou analýzu FinFIsher. Jedním ze schémat používaných pro infekci je útok typu man-in-the-mid . Při stahování licencovaného softwaru je uživatel přesměrován na stránku s falešným softwarem. Ke změně odkazu ke stažení se používá odpověď HTTP Tempory Redirect , která označuje, že požadovaný obsah byl přesunut na jinou stránku. Veškerá změna se tedy děje „uvnitř“ protokolu HTTP a uživatel o substituci neví [16] .

Používá se také k odesílání e-mailových zpráv obsahujících soubory napodobující běžné dokumenty, ale ve skutečnosti se instaluje FinSpy [4] [2] [1] . Například počítač Kidana, amerického občana , který byl sledován etiopskou vládou, byl infikován spuštěním falešného dokumentu Word [10] [11] .

Produkt FinFisher společnosti Gamma obsahuje dvě složky:

• FinSpy Master and Proxy je komponenta zodpovědná za monitorování monitorovaných systémů;

• FinSpy Agent je komponenta zodpovědná za grafické uživatelské rozhraní [6] [7] .

Preventivní opatření a detekce

Bill Marczak, UC Berkeley PhD, analyzoval FinFisher a dospěl k závěru, že mobilní software FinFisher stojí za to mít se na pozoru.

Software FinSpy Mobile obsahuje mnohem více funkcí než stolní software FinFisher.

Mezi hlavní funkcionalitu mobilní aplikace patří sběr zpráv, poloh, seznamů kontaktů, nahrávání dat přijatých mikrofonem a další běžné funkce mobilních zařízení [17] [18] [14] .

Aby se uživatel chránil, neměl by stahovat a otevírat soubory od nedůvěryhodných odesílatelů. Je také nutné omezit přístup k mobilnímu zařízení neoprávněným osobám. Je dobrým zvykem nastavit si na zařízení heslo [14] .

V roce 2012 společnost ESET , mezinárodní vývojář antivirového softwaru, tvrdila, že trojský kůň FinFisher byl detekován jejich softwarem a měl identifikátor „Win32/Belesak.D“ [19] [20] .

V roce 2013 našli odborníci z Citizen Lab více než 25 zemí, které používají FinFisher. Pro detekci byla použita utilita Zmap [14] .

V říjnu 2014 společnost Kaspersky Lab v blogovém příspěvku o legitimním malwaru, který zahrnuje FinFisher, zmínila, že od Kaspersky Antivirus 6 (MP4) software FinFisher úspěšně detekoval [ 21] .

V roce 2014 byl FinFisher také přidán do Dr. Web [22] .

Poznámky

1. ↑ 1 2 3 4 Nicole Perlroth . Software určený k boji proti zločinu se používá ke špehování disidentů  (30. srpna 2012). Archivováno z originálu 31. srpna 2012. Staženo 31. srpna 2012.
2. ↑ 1 2 3 4 5 6 Britská firma popírá, že by Mubarakově tajné  policii dodávala spyware . Archivováno z originálu 27. listopadu 2011. Staženo 19. prosince 2017.
3. ↑ 12 Perlroth , Nicole . FinSpy Software sleduje politické disidenty  , The New York Times (  30. srpna 2012). Archivováno z originálu 31. srpna 2012. Staženo 20. prosince 2017.
4. ↑ 1 2 3 Rosenbach, Marcel . Problémové trojské koně: Firma se snažila nainstalovat spyware prostřednictvím falešných aktualizací iTunes , Spiegel Online  (22. listopadu 2011). Archivováno z originálu 4. ledna 2018. Staženo 19. prosince 2017.
5. ↑ Perlroth, Nicole . Nepolapitelný FinSpy Spyware se objevuje v 10 zemích  , Bits Blog . Archivováno z originálu 22. prosince 2017. Staženo 19. prosince 2017.
6. ↑ 1 2 3 4 5 6 Greenberg, Andy . WikiLeaks zveřejňuje videa o špionážních firmách nabízejících nástroje pro hackování iTunes, Gmail, Skype  (anglicky) , Forbes . Archivováno z originálu 22. prosince 2017. Staženo 20. prosince 2017.
7. ↑ 1 2 3 4 WikiLeaks - SpyFiles 4  . wikileaks.org. Získáno 20. prosince 2017. Archivováno z originálu 24. prosince 2017.
8. ↑ [ http://voices.washingtonpost.com/securityfix/2008/07/holes_in_software_autoupdate_f_1.html Oprava zabezpečení – využívání softwarových firem k aktualizaci jejich aktualizátorů]. Archivováno z originálu 25. září 2016. Staženo 20. prosince 2017.
9. ↑ 1 2 Ochrana naší značky před globálním poskytovatelem spywaru –  Blog Mozilla . Blog Mozilly. Datum přístupu: 19. prosince 2017. Archivováno z originálu 2. května 2013.
10. ↑ 1 2 3 4 Janus Kopfstein. Hackeři bez hranic  //  The New Yorker  : magazín. — Conde Nast , 2014-03-10. — ISSN 0028-792X . Archivováno z originálu 22. prosince 2017.
11. ↑ 1 2 Kidane v. Etiopie  (anglicky) , Electronic Frontier Foundation  (17. února 2014). Archivováno z originálu 28. února 2018. Staženo 20. prosince 2017.
12. ↑ 12 Perlroth , Nicole . Výzkumníci našli 25 zemí používajících sledovací software  , Bits Blog . Archivováno z originálu 22. prosince 2017. Staženo 19. prosince 2017.
13. ↑ ESET zjistil , že do nejnovějších sledovacích kampaní FinFisher  mohou být zapojeni poskytovatelé internetu . www.eset.com. Získáno 22. prosince 2017. Archivováno z originálu dne 23. prosince 2017.
14. ↑ 1 2 3 4 Lekce získané od FinFisher Mobile  Spyware , PCMAG . Archivováno z originálu 3. září 2012. Staženo 19. prosince 2017.
15. ↑ 1 2 3 4 FinFisher - Excellence in IT Investigation  (anglicky)  (odkaz není k dispozici) . www.finfisher.com Získáno 20. prosince 2017. Archivováno z originálu 15. října 2017.
16. ↑ Kampaně FinFisher využívající nechvalně známý spyware FinSpy, je ve větru  , WeLiveSecurity (  21. září 2017). Archivováno z originálu 22. září 2017. Staženo 22. prosince 2017.
17. ↑ Kliknete jen dvakrát: Globální proliferace společnosti FinFisher – Citizen Lab  , The Citizen Lab (  13. března 2013). Archivováno z originálu 10. ledna 2018. Staženo 24. prosince 2017.
18. ↑ FinSpy a FinFisher vás špehují přes váš mobil a PC  , ESET Ireland (  3. září 2012). Archivováno z originálu 24. prosince 2017. Staženo 24. prosince 2017.
19. ↑ Finfisher a etika detekce  , WeLiveSecurity (  31. srpna 2012). Archivováno z originálu 22. prosince 2017. Staženo 19. prosince 2017.
20. ↑ FinFisher pomáhá lidem špehovat vás prostřednictvím vašeho mobilního telefonu, ať už v dobrém nebo ve zlém?  (anglicky) , WeLiveSecurity  (30. srpna 2012). Archivováno z originálu 5. října 2017. Staženo 19. prosince 2017.
21. ↑ Kaspersky Lab. Kybernetické žoldáky a legální malware . www.kaspersky.ru Získáno 22. prosince 2017. Archivováno z originálu dne 23. prosince 2017. (neurčitý)
22. ↑ Dr.Web - knihovna bezplatných nástrojů . free.drweb.ru. Získáno 22. prosince 2017. Archivováno z originálu dne 23. prosince 2017. (neurčitý)