FinFisher

FinFisher
FinFisher
Тип	Троянская программа
Сайт	finfisher.com/Fin… (англ.)
	Медиафайлы на Викискладе

FinFisher (также известно как FinSpy^[1]) — программное обеспечение британской компании Gamma Groupu, является программой-шпионом (англ. spyware)^[2]^[3]. Троянская программа, относится к подтипу Remote Access (удаленный просмотр рабочего стола), устанавливается на компьютер жертвы, «притворяясь» доверенным программным обеспечением, занимается отслеживанием данных пользователя^[1]^[2]^[4].

История

В марте 2011 года в ходе Арабской весны вскрылся факт использования FinFisher правительством Египта. Подтверждением данной информации стал контракт, найденный оппозицией правительства, на лицензионное использование FinFisher стоимостью €287,000 ($353,000)^[2]^[5].
В ноябре 2011 года WikiLeaks опубликовала серию видео, наглядно демонстрирующую, как можно использовать FinFisher для получения данных пользователя. В видео показали такие возможности программы как отслеживание активностей пользователей в сети отеля, прерываний скайп-сессий, чтение паролей и приватных файлов^[6]. Также WikiLeaks продемонстрировала использование уязвимости iTunes для заражения компьютера пользователя^[6]^[7]. Статья об использованной уязвимости в iTunes была опубликована ещё в 2008 году журналистом Брайоном Кребсом (англ. Brian Krebs), однако к 2011 году компания Apple не устранила её^[6]^[8].
В апреле 2013 года сообщество Mozilla опубликовало в своем блоге информацию об использовании FinFisher под видом продукта Mozilla Firefox^[9].
В 2014 году Kидане (англ. Kidane), гражданин США, подал иск в суд на Эфиопское правительство о нарушении гражданских прав, об отслеживании личной информации. Агентами правительства Эфиопии было направлено электронное письмо с файлом Word, при нажатии на который, на компьютер Кидане незаметно установилась программа FinFisher. Программой отслеживались и передавались Эфиопскому правительству такие данные, как просматриваемые web-cтраницы, электронная переписка, записи скайп-звонков^[10]^[11].

Согласно анализу Моргана Маркус-Боира (англ. Morgan Marquis-Boire), исследователя Citizen Lab университета в Торонто (англ.University of Toronto’s Munk School of Global Affairs) и Билла Маркзака (англ. Bill Marczak), аспиранта Калифорнийского университета в Беркли более 25 стран использовали программное обеспечение FinSpy к 2013 году^[12]. На 2013 год в этот список стран вошли Австрия, Бахрейне, Бангладеш, Великобритания, Бруней, Болгария, Канада, Чехия, Эстония, Эфиопия, Финляндия, Германия, Венгрия, Индия, Индонезия, Япония, Латвия, Литва , Малайзия, Мексика, Монголия, Нидерланды, Нигерия, Пакистан, Панама, Румыния, Сербия, Сингапур, страны Южной Африки, Турция, Туркмения, Объединенные Арабские Эмираты, Соединенные Штаты, Венесуэла и Вьетнам^[12].

В сентябре 2017 года компания ESET опубликовала информацию о том, что около семи стран пострадало от обновленной версии FinFisher. Для заражения использовалась атака посредника, и, вероятно, в заражении принимали участие крупные интернет провайдеры. По словам аналитика компании при загрузке лицензионного программного обеспечения такого как Skype, WhatsApp, пользователь перенаправлялся провайдером на страницу с фальшивым программным обеспечением^[13].

Описание

FinFisher предоставляет решение для удаленного отслеживания действий пользователей. Это позволяет правительствам решать задачи мониторинга мобильных целей, которые регулярно меняют местоположение, используют зашифрованные и анонимные каналы связи и поездки на международном уровне^[2]^[3]^[10].

Для работы программы используется сервер FinSpy Master и сервера FinSpy Relay, которые являются промежуточным звеном и берут на себя функциональность C&C-cерверов^[14].

Как только FinSpy установлен в компьютерной системе, он будет доступным, как только подключится к Интернету, независимо от того, где в мире система находится^[10]^[15].

Продукт FinFisher компании Gamma предоставляет пользователю следующую функциональность:

Отслеживание онлайн активностей по Skype, Messenger, VoIP, электронной почте, web-страницам;
Отслеживание активностей в интернете в социальных сетях, блогах, файловых хранилищах;
Доступ к файлам, хранящимся на жестком диске;
Использование встроенного в компьютер жертвы оборудования, например, микрофона или камеры;
Отслеживание местонахождения жертвы^[6]^[15].

Компания Gamma представляет использование программы, как замкнутый цикл из шести пунктов:

Планирование и определение жертвы;
Сбор информации;
Обработка полученной информации;
Интеллектуальный анализ данных;
Распространение информации;
Переоценка^[15].

Поддерживаемые операционные системы

В 2011 году WikiLeaks опубликовала продуктовую документацию FinFisher. На момент 2011 года программой поддерживались следующие операционные системы:

Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
Microsoft Windows XP Clean / SP1 / SP2 / SP3
Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32 Bit & 64 Bit)
Microsoft Windows 7 (32 Bit & 64 Bit)
Mac OS X 10.6.x
Linux 2.6^[6]^[7]

Обновление программы

Программное обеспечение FinFisher устроено таким образом, что все обновления передаются сервером обновлений Gamma через определенный промежуток времени.

Каждое обновление передается зашифрованным файлом. Количество обновлений в год зависит от развития IT индустрии^[7]^[15].

Метод заражения

Для заражения компьютера пользователя распространенным методом является выдача FinFisher за лицензионное доверенное обновление^[1]^[2]^[4]. Наглядным примером такого метода является незаконное использование бренда Mozilla, выплывшее на свет в 2014 году^[9].

В 2017 компания ESET опубликовала подробный анализ FinFIsher. Одна из схем, используемых для заражения — атака посредника. При загрузке лицензионного программного обеспечения пользователь перенаправляется на сайт с фальшивым программным обеспечением. Для изменения ссылки для скачивания используется ответ Tempory Redirect протокола HTTP, который говорит о том, что запрашиваемый контент перенесен на другую страницу. Таким образом, всё изменение происходит «внутри» протокола HTTP, и пользователь не догадывается о подмене^[16].

Также используется отправка сообщений на электронную почту, содержащих файлы, имитирующие обычные документы, но по факту устанавливающие FinSpy^[1]^[2]^[4]. Например, компьютер Кидане (англ. Kidane), гражданина США, пострадавшего от слежки Эфиопским правительством, был заражен посредством запуска фальшивого документа Word ^[10]^[11].

Продукт FinFisher компании Gamma содержит два компонента:

FinSpy Master and Proxy — компонент, отвечающий за контроль отслеживаемых систем;
FinSpy Agent — компонент, отвечающий за графический интерфейс для пользователя^[6]^[7].

Меры предосторожности и обнаружение

Билл Марчак (англ. Bill Marczak), кандидат наук Калифорнийского университета в Беркли, провел анализ FinFisher и сделал вывод, что стоит опасаться программного обеспечения FinFisher для мобильных устройств.

Программное обеспечение FinSpy Mobile содержит в себе гораздо большую функциональность, чем программное обеспечение FinFisher для компьютера.

В основную функциональность программы для мобильного входит сбор сообщений, местоположения, списков контактов, записывание данных, поступающих на микрофон и других распространенных функций мобильных устройств^[14]^[17]^[18].

Чтобы обезопасить себя, пользователю не стоит загружать и открывать файлы от недоверенных отправителей. Также необходимо ограничить доступ к мобильному устройству посторонним людям. Хорошей практикой является установление на устройство пароля^[14].

В 2012 году международный разработчик антивирусного программного обеспечения компания ESET заявила, что троянская программа FinFisher обнаруживается их программным обеспечением и имеет идентификатор «Win32 / Belesak.D»^[19]^[20].

В 2013 году эксперты из Citizen Lab обнаружили более 25 стран, использующих FinFisher. Для обнаружение использовалась утилита Zmap^[14].

В октябре 2014 Лаборатория Касперского в своем блоге в статье о легальном вредоносном ПО, в число которого входит FinFisher, упоминала, что начиная с Kaspersky Antivirus 6 (MP4) программное обеспечение FinFisher успешно обнаруживает^[21].

В 2014 году FinFisher было также добавлено в базу данных троянских программ антивируса Dr. Web^[22].

Примечания

↑ ¹ ² ³ ⁴ Nicole Perlroth (30 августа 2012). "Software Meant to Fight Crime Is Used to Spy on Dissidents". The New York Times. Архивировано 31 августа 2012. Дата обращения: 31 августа 2012.
↑ ¹ ² ³ ⁴ ⁵ ⁶ "UK firm denies supplying spyware to Mubarak's secret police" (англ.). Архивировано 27 ноября 2011. Дата обращения: 19 декабря 2017.
↑ ¹ ² Perlroth, Nicole (30 августа 2012). "FinSpy Software Is Tracking Political Dissidents". The New York Times (англ.). Архивировано 31 августа 2012. Дата обращения: 20 декабря 2017.
↑ ¹ ² ³ Rosenbach, Marcel (22 ноября 2011). "Troublesome Trojans: Firm Sought to Install Spyware Via Faked iTunes Updates". Spiegel Online. Архивировано 4 января 2018. Дата обращения: 19 декабря 2017.
↑ Perlroth, Nicole (13 августа 2012). "Elusive FinSpy Spyware Pops Up in 10 Countries". Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
↑ ¹ ² ³ ⁴ ⁵ ⁶ Greenberg, Andy. "WikiLeaks Posts Spy Firm Videos Offering Tools For Hacking iTunes, Gmail, Skype". Forbes (англ.). Архивировано 22 декабря 2017. Дата обращения: 20 декабря 2017.
↑ ¹ ² ³ ⁴ WikiLeaks - SpyFiles 4 (англ.). wikileaks.org. Дата обращения: 20 декабря 2017. Архивировано 24 декабря 2017 года.
↑ "Security Fix — Exploit Prods Software Firms to Update Their Updaters". Архивировано 25 сентября 2016. Дата обращения: 20 декабря 2017.
↑ ¹ ² Protecting our brand from a global spyware provider – The Mozilla Blog (англ.). The Mozilla Blog. Дата обращения: 19 декабря 2017. Архивировано 2 мая 2013 года.
↑ ¹ ² ³ ⁴ Janus Kopfstein. Hackers Without Borders (англ.) // The New Yorker : magazine. — Condé Nast, 2014-03-10. — ISSN 0028-792X. Архивировано 22 декабря 2017 года.
↑ ¹ ² "Kidane v. Ethiopia". Electronic Frontier Foundation (англ.). 17 февраля 2014. Архивировано 28 февраля 2018. Дата обращения: 20 декабря 2017.
↑ ¹ ² Perlroth, Nicole (13 марта 2013). "Researchers Find 25 Countries Using Surveillance Software". Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
↑ ESET finds internet providers may be involved in latest FinFisher surveillance campaigns (англ.). www.eset.com. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
↑ ¹ ² ³ ⁴ "Lessons Learnt From FinFisher Mobile Spyware". PCMAG (англ.). Архивировано 3 сентября 2012. Дата обращения: 19 декабря 2017.
↑ ¹ ² ³ ⁴ FinFisher - Excellence in IT Investigation (англ.). www.finfisher.com. Дата обращения: 20 декабря 2017. Архивировано из оригинала 15 октября 2017 года.
↑ "FinFisher campaigns using infamous spyware FinSpy, is in the wind". WeLiveSecurity (англ.). 21 сентября 2017. Архивировано 22 сентября 2017. Дата обращения: 22 декабря 2017.
↑ "You Only Click Twice: FinFisher's Global Proliferation - Citizen Lab". The Citizen Lab (англ.). 13 марта 2013. Архивировано 10 января 2018. Дата обращения: 24 декабря 2017.
↑ "FinSpy and FinFisher spy on you via your cellphone and PC". ESET Ireland (англ.). 3 сентября 2012. Архивировано 24 декабря 2017. Дата обращения: 24 декабря 2017.
↑ "Finfisher and the Ethics of Detection". WeLiveSecurity (англ.). 31 августа 2012. Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
↑ "FinFisher helps people spy on you via your cellphone, for good or evil?". WeLiveSecurity (англ.). 30 августа 2012. Архивировано 5 октября 2017. Дата обращения: 19 декабря 2017.
↑ Kaspersky Lab. Кибернаемники и легальное вредоносное ПО (неопр.). www.kaspersky.ru (9 октября 2014). Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
↑ Dr.Web — библиотека бесплатных утилит (неопр.). free.drweb.ru. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.

[NYT83012-1] ¹ ² ³ ⁴ Nicole Perlroth (30 августа 2012). "Software Meant to Fight Crime Is Used to Spy on Dissidents". The New York Times. Архивировано 31 августа 2012. Дата обращения: 31 августа 2012.

[:6-2] ¹ ² ³ ⁴ ⁵ ⁶ "UK firm denies supplying spyware to Mubarak's secret police" (англ.). Архивировано 27 ноября 2011. Дата обращения: 19 декабря 2017.

[:11-3] ¹ ² Perlroth, Nicole (30 августа 2012). "FinSpy Software Is Tracking Political Dissidents". The New York Times (англ.). Архивировано 31 августа 2012. Дата обращения: 20 декабря 2017.

[:0-4] ¹ ² ³ Rosenbach, Marcel (22 ноября 2011). "Troublesome Trojans: Firm Sought to Install Spyware Via Faked iTunes Updates". Spiegel Online. Архивировано 4 января 2018. Дата обращения: 19 декабря 2017.

[:5-5] Perlroth, Nicole (13 августа 2012). "Elusive FinSpy Spyware Pops Up in 10 Countries". Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.

[:1-6] ¹ ² ³ ⁴ ⁵ ⁶ Greenberg, Andy. "WikiLeaks Posts Spy Firm Videos Offering Tools For Hacking iTunes, Gmail, Skype". Forbes (англ.). Архивировано 22 декабря 2017. Дата обращения: 20 декабря 2017.

[:2-7] ¹ ² ³ ⁴ WikiLeaks - SpyFiles 4 (англ.). wikileaks.org. Дата обращения: 20 декабря 2017. Архивировано 24 декабря 2017 года.

[8] "Security Fix — Exploit Prods Software Firms to Update Their Updaters". Архивировано 25 сентября 2016. Дата обращения: 20 декабря 2017.

[:8-9] ¹ ² Protecting our brand from a global spyware provider – The Mozilla Blog (англ.). The Mozilla Blog. Дата обращения: 19 декабря 2017. Архивировано 2 мая 2013 года.

[:3-10] ¹ ² ³ ⁴ Janus Kopfstein. Hackers Without Borders (англ.) // The New Yorker : magazine. — Condé Nast, 2014-03-10. — ISSN 0028-792X. Архивировано 22 декабря 2017 года.

[:10-11] ¹ ² "Kidane v. Ethiopia". Electronic Frontier Foundation (англ.). 17 февраля 2014. Архивировано 28 февраля 2018. Дата обращения: 20 декабря 2017.

[:4-12] ¹ ² Perlroth, Nicole (13 марта 2013). "Researchers Find 25 Countries Using Surveillance Software". Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.

[13] ESET finds internet providers may be involved in latest FinFisher surveillance campaigns (англ.). www.eset.com. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.

[:7-14] ¹ ² ³ ⁴ "Lessons Learnt From FinFisher Mobile Spyware". PCMAG (англ.). Архивировано 3 сентября 2012. Дата обращения: 19 декабря 2017.

[:9-15] ¹ ² ³ ⁴ FinFisher - Excellence in IT Investigation (англ.). www.finfisher.com. Дата обращения: 20 декабря 2017. Архивировано из оригинала 15 октября 2017 года.

[16] "FinFisher campaigns using infamous spyware FinSpy, is in the wind". WeLiveSecurity (англ.). 21 сентября 2017. Архивировано 22 сентября 2017. Дата обращения: 22 декабря 2017.

[17] "You Only Click Twice: FinFisher's Global Proliferation - Citizen Lab". The Citizen Lab (англ.). 13 марта 2013. Архивировано 10 января 2018. Дата обращения: 24 декабря 2017.

[18] "FinSpy and FinFisher spy on you via your cellphone and PC". ESET Ireland (англ.). 3 сентября 2012. Архивировано 24 декабря 2017. Дата обращения: 24 декабря 2017.

[19] "Finfisher and the Ethics of Detection". WeLiveSecurity (англ.). 31 августа 2012. Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.

[20] "FinFisher helps people spy on you via your cellphone, for good or evil?". WeLiveSecurity (англ.). 30 августа 2012. Архивировано 5 октября 2017. Дата обращения: 19 декабря 2017.

[21] Kaspersky Lab. Кибернаемники и легальное вредоносное ПО (неопр.). www.kaspersky.ru (9 октября 2014). Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.

[22] Dr.Web — библиотека бесплатных утилит (неопр.). free.drweb.ru. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]