FinFisher
FinFisher (также известно как FinSpy[1]) — программное обеспечение британской компании Gamma Groupu, является программой-шпионом (англ. spyware)[2][3]. Троянская программа, относится к подтипу Remote Accesex, устанавливается на компьютер жертвы, «притворяясь» доверенным программным обеспечением, занимается отслеживанием данных пользователя[2][1][4].
FinFisher | |
---|---|
Тип | Троянская программа |
Сайт | finfisher.com/Fin… (англ.) |
История
- В марте 2011 года в ходе Арабской весны вскрылся факт использования FinFisher правительством Египта. Подтверждением данной информации стал контракт, найденный оппозицией правительства, на лицензионное использование FinFisher стоимостью €287,000 ($353,000)[5][2].
- В ноябре 2011 года WikiLeaks опубликовала серию видео, наглядно демонстрирующую, как можно использовать FinFisher для получения данных пользователя. В видео показали такие возможности программы как отслеживание активностей пользователей в сети отеля, прерываний скайп-сессий, чтение паролей и приватных файлов[6]. Также WikiLeaks продемонстрировала использование уязвимости iTunes для заражения компьютера пользователя[7][6]. Статья об использованной уязвимости в iTunes была опубликована ещё в 2008 году журналистом Брайоном Кребсом (англ. Brian Krebs), однако к 2011 году компания Apple не устранила её[6][8].
- В апреле 2013 года сообщество Mozilla опубликовало в своем блоге информацию об использовании FinFisher под видом продукта Mozilla Firefox[9].
- В 2014 году Kидане (англ. Kidane), гражданин США, подал иск в суд на Эфиопское правительство о нарушении гражданских прав, об отслеживании личной информации. Агентами правительства Эфиопии было направлено электронное письмо с файлом Word, при нажатии на который, на компьютер Кидане незаметно установилась программа FinFisher. Программой отслеживались и передавались Эфиопскому правительству такие данные, как просматриваемые web-cтраницы, электронная переписка, записи скайп-звонков[10][11].
Согласно анализу Моргана Маркус-Боира (англ. Morgan Marquis-Boire), исследователя Citizen Lab университета в Торонто (англ.University of Toronto’s Munk School of Global Affairs) и Билла Маркзака (англ. Bill Marczak), аспиранта Калифорнийского университета в Беркли более 25 стран использовали программное обеспечение FinSpy к 2013 году[12]. На 2013 год в этот список стран вошли Австрия, Бахрейне, Бангладеш, Великобритания, Бруней, Болгария, Канада, Чехия, Эстония, Эфиопия, Финляндия, Германия, Венгрия, Индия, Индонезия, Япония, Латвия, Литва , Малайзия, Мексика, Монголия, Нидерланды, Нигерия, Пакистан, Панама, Румыния, Сербия, Сингапур, страны Южной Африки, Турция, Туркмения, Объединенные Арабские Эмираты, Соединенные Штаты, Венесуэла и Вьетнам[12].
В сентябре 2017 года компания ESET опубликовала информацию о том, что около семи стран пострадало от обновленной версии FinFisher. Для заражения использовалась атака посредника, и, вероятно, в заражении принимали участие крупные интернет провайдеры. По словам аналитика компании при загрузке лицензионного программного обеспечения такого как Skype, WhatsApp, пользователь перенаправлялся провайдером на страницу с фальшивым программным обеспечением[13].
Описание
FinFisher предоставляет решение для удаленного отслеживания действий пользователей. Это позволяет правительствам решать задачи мониторинга мобильных целей, которые регулярно меняют местоположение, используют зашифрованные и анонимные каналы связи и поездки на международном уровне[10][2][3].
Для работы программы используется сервер FinSpy Master и сервера FinSpy Relay, которые являются промежуточным звеном и берут на себя функциональность C&C-cерверов[14].
Как только FinSpy установлен в компьютерной системе, он будет доступным, как только подключится к Интернету, независимо от того, где в мире система находится[15][10].
Продукт FinFisher компании Gamma предоставляет пользователю следующую функциональность:
- Отслеживание онлайн активностей по Skype, Messenger, VoIP, электронной почте, web-страницам;
- Отслеживание активностей в интернете в социальных сетях, блогах, файловых хранилищах;
- Доступ к файлам, хранящимся на жестком диске;
- Использование встроенного в компьютер жертвы оборудования, например, микрофона или камеры;
Компания Gamma представляет использование программы, как замкнутый цикл из шести пунктов:
- Планирование и определение жертвы;
- Сбор информации;
- Обработка полученной информации;
- Интеллектуальный анализ данных;
- Распространение информации;
- Переоценка[15].
Поддерживаемые операционные системы
В 2011 году WikiLeaks опубликовала продуктовую документацию FinFisher. На момент 2011 года программой поддерживались следующие операционные системы:
- Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
- Microsoft Windows XP Clean / SP1 / SP2 / SP3
- Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32 Bit & 64 Bit)
- Microsoft Windows 7 (32 Bit & 64 Bit)
- Mac OS X 10.6.x
Обновление программы
Программное обеспечение FinFisher устроено таким образом, что все обновления передаются сервером обновлений Gamma через определенный промежуток времени.
Каждое обновление передается зашифрованным файлом. Количество обновлений в год зависит от развития IT индустрии[15] [7].
Метод заражения
Для заражения компьютера пользователя распространенным методом является выдача FinFisher за лицензионное доверенное обновление[4][2][1]. Наглядным примером такого метода является незаконное использование бренда Mozilla, выплывшее на свет в 2014 году[9].
В 2017 компания ESET опубликовала подробный анализ FinFIsher. Одна из схем, используемых для заражения — атака посредника. При загрузке лицензионного программного обеспечения пользователь перенаправляется на сайт с фальшивым программным обеспечением. Для изменения ссылки для скачивания используется ответ Tempory Redirect протокола HTTP, который говорит о том, что запрашиваемый контент перенесен на другую страницу. Таким образом, всё изменение происходит «внутри» протокола HTTP, и пользователь не догадывается о подмене[16].
Также используется отправка сообщений на электронную почту, содержащих файлы, имитирующие обычные документы, но по факту устанавливающие FinSpy[4][2][1]. Например, компьютер Кидане (англ. Kidane), гражданина США, пострадавшего от слежки Эфиопским правительством, был заражен посредством запуска фальшивого документа Word [10][11].
Продукт FinFisher компании Gamma содержит два компонента:
- FinSpy Master and Proxy — компонент, отвечающий за контроль отслеживаемых систем;
Меры предосторожности и обнаружение
Билл Марчак (англ. Bill Marczak), кандидат наук Калифорнийского университета в Беркли, провел анализ FinFisher и сделал вывод, что стоит опасаться программного обеспечения FinFisher для мобильных устройств.
Программное обеспечение FinSpy Mobile содержит в себе гораздо большую функциональность, чем программное обеспечение FinFisher для компьютера.
В основную функциональность программы для мобильного входит сбор сообщений, местоположения, списков контактов, записывание данных, поступающих на микрофон и других распространенных функций мобильных устройств[17][18][14].
Чтобы обезопасить себя, пользователю не стоит загружать и открывать файлы от недоверенных отправителей. Также необходимо ограничить доступ к мобильному устройству посторонним людям. Хорошей практикой является установление на устройство пароля[14].
В 2012 году международный разработчик антивирусного программного обеспечения компания ESET заявила, что троянская программа FinFisher обнаруживается их программным обеспечением и имеет идентификатор «Win32 / Belesak.D»[19][20].
В 2013 году эксперты из Citizen Lab обнаружили более 25 стран, использующих FinFisher. Для обнаружение использовалась утилита Zmap[14].
В октябре 2014 Лаборатория Касперского в своем блоге в статье о легальном вредоносном ПО, в число которого входит FinFisher, упоминала, что начиная с Kaspersky Antivirus 6 (MP4) программное обеспечение FinFisher успешно обнаруживает[21].
В 2014 году FinFisher было также добавлено в базу данных троянских программ антивируса Dr. Web[22].
Примечания
- Nicole Perlroth. Software Meant to Fight Crime Is Used to Spy on Dissidents (30 августа 2012). Дата обращения 31 августа 2012.
- UK firm denies supplying spyware to Mubarak's secret police (англ.). Дата обращения 19 декабря 2017.
- Perlroth, Nicole. FinSpy Software Is Tracking Political Dissidents (англ.), The New York Times (30 August 2012). Дата обращения 20 декабря 2017.
- Rosenbach, Marcel. Troublesome Trojans: Firm Sought to Install Spyware Via Faked iTunes Updates, Spiegel Online (22 ноября 2011). Дата обращения 19 декабря 2017.
- Perlroth, Nicole. Elusive FinSpy Spyware Pops Up in 10 Countries (англ.), Bits Blog. Дата обращения 19 декабря 2017.
- Greenberg, Andy. WikiLeaks Posts Spy Firm Videos Offering Tools For Hacking iTunes, Gmail, Skype (англ.), Forbes. Дата обращения 20 декабря 2017.
- WikiLeaks - SpyFiles 4 (англ.). wikileaks.org. Дата обращения: 20 декабря 2017.
- [http://voices.washingtonpost.com/securityfix/2008/07/holes_in_software_autoupdate_f_1.html Security Fix — Exploit Prods Software Firms to Update Their Updaters]. Дата обращения 20 декабря 2017.
- Protecting our brand from a global spyware provider – The Mozilla Blog (англ.). The Mozilla Blog. Дата обращения: 19 декабря 2017.
- Janus Kopfstein. Hackers Without Borders (англ.) // The New Yorker : magazine. — Condé Nast, 2014-03-10. — ISSN 0028-792X.
- Kidane v. Ethiopia (англ.), Electronic Frontier Foundation (17 February 2014). Дата обращения 20 декабря 2017.
- Perlroth, Nicole. Researchers Find 25 Countries Using Surveillance Software (англ.), Bits Blog. Дата обращения 19 декабря 2017.
- ESET finds internet providers may be involved in latest FinFisher surveillance campaigns (англ.). www.eset.com. Дата обращения: 22 декабря 2017.
- Lessons Learnt From FinFisher Mobile Spyware (англ.), PCMAG. Архивировано 3 сентября 2012 года. Дата обращения 19 декабря 2017.
- FinFisher - Excellence in IT Investigation (англ.). www.finfisher.com. Дата обращения: 20 декабря 2017.
- FinFisher campaigns using infamous spyware FinSpy, is in the wind (англ.), WeLiveSecurity (21 September 2017). Дата обращения 22 декабря 2017.
- You Only Click Twice: FinFisher’s Global Proliferation - Citizen Lab (англ.), The Citizen Lab (13 March 2013). Дата обращения 24 декабря 2017.
- FinSpy and FinFisher spy on you via your cellphone and PC (англ.), ESET Ireland (3 September 2012). Дата обращения 24 декабря 2017.
- Finfisher and the Ethics of Detection (англ.), WeLiveSecurity (31 August 2012). Дата обращения 19 декабря 2017.
- FinFisher helps people spy on you via your cellphone, for good or evil? (англ.), WeLiveSecurity (30 August 2012). Дата обращения 19 декабря 2017.
- Kaspersky Lab. Кибернаемники и легальное вредоносное ПО . www.kaspersky.ru. Дата обращения: 22 декабря 2017.
- Dr.Web — библиотека бесплатных утилит . free.drweb.ru. Дата обращения: 22 декабря 2017.